长期以来,那些把隐私看得比什么都重要的人一直在大喊大叫。他们认为,包括cookies、各种形式的网络信标和指纹识别。
意识到这个问题真的很有帮助。最近,苹果对隐私问题非常敏感macOS Mojave和iOS 12上发布了Safari升级版跟踪保护。在此之前,Firefox还推出了名为脸书容器的反跟踪扩展。此外,像Brave和Tor浏览器等浏览器继续提供更广泛的隐私功能。
隐私危机一直与网络跟踪密切相关。然而,汉堡大学的研究人员最近发现,恶意的人可以通过另一种机制跟踪互联网上的其他人。
本周ArXiv一篇关于这个问题的论文。计算机科学家埃里克·西、汉尼斯·费德勒,克里斯蒂安·伯克特和马蒂亚斯·菲舍尔在他们的论文中描述了一种跟踪技术,包括TLS会话重用。
1 困难“谈判”
TLS(SSL早期化身应该为公众所熟知,因为作为一种加密协议,它用于保护客户端和服务器之间的传输web通信的。TLS最新版本是1.3。
当访问HTTPS将建立网站TLS连接,包括网络上的一些谈判“拔河”。于是,复用——TLS session此前建立session这样,就变少了“仪式”题中应有的意义。需要注意的是,TLS 1.3技术不同于旧版本规范。预共享密钥(PSK)传统的解决方案代表了最新的机制,涉及会话ID和会话“票证”。
然而,这个问题的关键是会话的恢复取决于“初始握手”在此期间,将标识符传递给客户端设备,如会话ID、会话“票证”或PSK这样的标识符将存储在浏览器的TIL因此,黑客可以跟踪其他数字标志符一样跟踪缓存。
这对桌面浏览器用户来说不是问题,因为浏览器重启相当频繁。然而,移动设备已经成为灾区。
2 情况可能会变得更糟。
研究人员发现,TLS会话“门票”授权网站占Alexa80%的列表。他们强调脸书和谷歌有更多的广告,所以用于对话重用“门票”使用寿命比其他网站长。Facebook的使用寿命高于48小时99.99%的门票。即使谷歌的分数只有28%,它仍然被击败97.13个竞争对手(Alexa排名前100万的网站)。
但即使会话被重用,“票”过期并不意味着黑客无法跟踪用户。
如果客户试图恢复会话,它将发送到服务器TLS会话恢复标识符,无论会话是恢复还是拒绝。研究人员发现,该网站可以在每次访问时分配一个新的会话标识符,然后在会话重用期间无限期地跟踪用户。
3 有解决问题的办法吗?
有趣的是,大多数人都很有趣web默认设置浏览器可以降低用户跟踪的风险。研究人员调查了45个浏览器,其中三分之二不到60分钟。然而,即便如此,黑客也可以在大多数浏览器上轻松跟踪用户一周。
最后,研究人员推荐了三种擅长隐私保护的浏览器,即JonDoBrowser、Orbot和Tor Browser,因为他们根本不支持会话的重用。据研究人员介绍,将TLS 1.3的使用寿命调整到10分钟是降低风险的最佳解决方案。当然,完全禁止TLS会话重用是最激进的解决方案。