頁:
[1]
〈研究:不靠Cookie,臉書、Google也能透過TLS協定追蹤你〉〈iThome〉〈2018-09-07〉
本帖最後由 iiifgh 於 2018-9-7 11:54 PM 編輯研究:不靠Cookie,臉書、Google也能透過TLS協定追蹤你
由於隱私瀏覽器技術成熟,網站越來越無法透過Cookie和網頁瀏覽器特徵追蹤使用者,但道高一尺魔高一丈,現在這些網站會用TLS 1.3中的TLS對話恢復機制追蹤使用者。
iThome粉絲團 文/李建興 | 2018-09-07發表
你以為禁用瀏覽器Cookie就能避免被網站追蹤嗎?倡導將Cookie追蹤選擇權還給使用者的說法,可能只是煙霧彈,實則還能使用最新TLS 1.3傳輸層安全協定追蹤用戶。
目前網站使用者追蹤技術比較有名的仍然是Cookie或是網頁瀏覽器特徵辨識,較少受到關注的技術是基於傳輸層安全性協定(Transport Layer Security,TLS)的使用者追蹤,特別是使用TLS對話恢復(TLS Session Resumption)機制,而漢堡大學研究員率先對TLS對話恢復機制適用性進行研究。
過去網站包括臉書以及Google等公司,都會使用HTTP Cookie以及網頁瀏覽器特徵追蹤使用者,但隨著使用者隱私意識抬頭,越來越多人使用強化隱私的瀏覽器,以隱私模式或是擴充套件來限制網頁追蹤,這使得上述兩項技術幾乎失靈。另外,透過IP位置追蹤用戶也受到限制,因為使用者有可能以NAT共享公共IP位置,而且網站也無法跨不同的網路追蹤裝置。
網站開始把追蹤主意打到最新的TLS 1.3協定上,追蹤技術開始轉向使用TLS對話恢復機制。TLS對話恢復機制允許網站利用早前的TLS對話中交換的密鑰,來縮減TLS握手程序,而這也開啟了讓網站可以鏈結兩個對話的可能性。由於重新啟動瀏覽器會順便清空快取,所以這個方法僅在瀏覽器未重新啟動的情況下,網站才能透過TLS對話恢復進行連續用戶追蹤。但是這個使用習慣在行動裝置完全不同,行動裝置使用者鮮少重新開啟瀏覽器。
漢堡大學系統性的研究了48種熱門瀏覽器以及Alexa前百萬熱門網站的配置,以評估這些追蹤機制的實際配置以及用戶追蹤可持續時間。研究人員使用了延長攻擊(Prolongation Attack),延長追蹤周期超過TLS對話恢復的生命週期,接著根據額外的DNS資料集,分析延長攻擊對於追蹤時間的影響以及可永久追蹤的用戶比例,最終導出使用者瀏覽行為。
研究顯示,即便標準瀏覽器設定TLS對話恢復生命週期僅維持一天,但用戶可以被追蹤長達8天之久,TLS 1.3草稿版本建議TLS對話恢復生命週期上限為7天,研究人員透過Alexa資料集中至少一個網站,可以永久追蹤實驗中的65%使用者。
研究人員也觀察到,Alexa前百萬熱門網站中,有超過80%的TLS對話票券生命周期都在10分鐘以下,但是大約10%的網站使用大於24小時的週期設定,特別是廣告商,Google的TLS對話生命周期票券達28小時,而臉書對話票券生命周期設定更是高達48小時,在Alexa前百萬熱門網站位於99.99百分位數之上。漢堡大學研究指出,要防止網站透過TLS對話恢復追蹤使用者,需要修改TLS標準和常見瀏覽器的配置,而目前最有效的方式就是完全禁用TLS對話恢復功能。
...<div class='locked'><em>瀏覽完整內容,請先 <a href='member.php?mod=register'>註冊</a> 或 <a href='javascript:;' onclick="lsSubmit()">登入會員</a></em></div><div></div> 原來全民公敵的時代不用靠衛星也可辦得到,只要上網就無所遁形 那就怪了美國都可察別人 怎川普就禁止用中國的5G呢 自已可以追縱別人 別人就不可以察你 正所謂凡走過必留下痕跡 感謝iiifgh大大無私分享-thank you<br><br><br><br><br><div></div>
頁:
[1]