A API Mozilla Speculative Connect é um novo recurso adicionado a muitas versões anteriores do Firefox, e sua missão é criar conexões HTTP antecipadamente no navegador, pelo qual o usuário provavelmente passará.
Basicamente, essa API aparece sempre que um usuário passa o mouse sobre um link. Em seguida, o navegador, interpretando essa ação como uma intenção de navegar para ela, começa a emitir solicitações HTTP neste site e prossegue com a criação de handshakes TCP e SSL, apenas no caso de o usuário clicar. no link específico para ir para a página específica.
Como você pode imaginar, esta API existe para melhorar o tempo de carregamento da página. E isso funciona bem em muitos casos.
O que você não sabe é que esse tipo de comportamento pode ser usado por agentes mal-intencionados (geralmente sites) para rastrear usuários, mesmo que eles não acabem navegando em seus sites.
Como Yuri Khan aponta no rastreador de erros da Mozilla, a versão atual da API Speculative Connect, que não possui uma GUI que permite aos usuários desativar esse recurso, adiciona um buraco no escudo de dados pessoais do Firefox.
Um invasor que deseja verificar uma lista de endereços de email pode facilmente obter uma lista de endereços IPv6, vinculá-los a um email, criar uma página HTML básica e hospedá-la nesse endereço.
O envio de uma mensagem para este email, especialmente projetado para conter um link grande que preencha o máximo de espaço possível no servidor de email, ajudaria o invasor, graças à API do Especulative Connect, a controlar em qual endereço de email ainda está usar.
Como o Firefox simplesmente iniciaria uma conexão com o servidor, o invasor poderia facilmente verificar se o email ainda está em uso e também aprender o IP do usuário sem nunca visitar o site da vítima.
Obviamente, você não pode realizar ataques sérios a um usuário que passa o mouse sobre uma conexão, mas o recurso da API de Especulative Connect levanta mais um problema de privacidade do que uma vulnerabilidade de segurança.
Como esse recurso é ativado por padrão para todos os usuários, até que a equipe do Firefox decida colocar uma caixa em algum lugar nas configurações do navegador que permita ao usuário decidir se deve ou não usar esse recurso, existem apenas uma maneira de desativar essa pré-conexão silenciosa. Apenas siga os passos abaixo.
Etapa 1: em uma nova guia, digite “about: config” e pressione o botão “Eu vou assistir” na pergunta que o Firefox fará.
Etapa 2: digite “network.http.speculative-parallel-limit” na caixa de pesquisa
Etapa 3: clique duas vezes na configuração e digite “0” na janela pop-up exibida.
Você acabou de desativar a API do Especulative Connect.
