Tracciamento degli utenti con TLS

Introduzione

La scorsa settimana, ricercatori di sicurezza dell'Università di Amburgo hanno pubblicato a carta descrivere un nuovo metodo che i siti web potrebbero utilizzare per tenere traccia della cronologia degli utenti del browser. La loro tecnica sfrutta la funzione di ripresa della sessione implementata in TLS protocollo.

TLS sessioni

TLS è un protocollo crittografico che i browser utilizzano per proteggere le loro comunicazioni con i server Web HTTPS stabilendo una connessione crittografata tra un browser e un server. Nel TLS gergo, il server crea un Sessione per ciascuno di questi TLS connessione.

La creazione di una sessione richiede lo scambio di dati aggiuntivi, come certificati digitali e chiavi di crittografia, prima di qualsiasi dato Web effettivo. Il processo di creazione di un file TLS la sessione si chiama negoziazione della stretta di mano

Esecuzione di una stretta di mano per tutti TLS la connessione richiede più larghezza di banda rispetto a HTTP non crittografato, e questo è uno dei problemi principali affrontati nel recente pubblicato TLS Protocollo 1.3.

Se vuoi leggere di più sul sovraccarico prestazionale imposto da TLS e cosa TLS 1.3 lo fa per ridurlo, fare riferimento a Questo articolo.

TLS ripresa della sessione

Per alleviare il sovraccarico associato alle strette di mano, TLS consente ripresa della sessione, che consente a un browser di saltare il processo di handshake con un server con cui ha recentemente avviato una sessione.

Una sessione dura per un periodo di tempo predeterminato, da pochi minuti a diverse ore. Se il browser visualizza nuovamente un server all'interno della finestra della sessione, il processo in corso TLS la sessione può riprendere tramite una singola richiesta di ripresa, anziché una trattativa completa per la stretta di mano (TLS 1.3 in realtà consente a un browser di inviare i dati dell'applicazione insieme alla richiesta di ripresa della sessione, offrendo effettivamente le stesse prestazioni veloci dell'HTTP non crittografato.)

Tracciamento degli utenti con TLS ripresa della sessione

Sfortunatamente, nella maggior parte dei casi la sicurezza e l'utilità sono inversamente proporzionali ei ricercatori di Amburgo hanno dimostrato che la ripresa della sessione migliora le prestazioni a scapito della privacy degli utenti.

Nel corso degli anni sono state utilizzate numerose tecniche per tracciare gli utenti di Internet, come i cookie persistenti o l'impronta digitale del browser. Sono tutti progettati per consentire ai siti Web di identificare in modo univoco un utente durante le visite, indipendentemente dal loro indirizzo IP, posizione o preferenza sulla privacy.

A questo proposito, a TLS la ripresa della sessione, essendo legata in modo univoco a un browser specifico, può essere utilizzata per tracciare gli utenti allo stesso modo dei cookie. In sostanza, quando un browser riprende una sessione, il sito Web può correlare la connessione con quella che ha originariamente creato la sessione, anche se l'utente visita da una rete diversa (ovvero un indirizzo IP diverso) o con impostazioni di privacy diverse (ad es. User-agent ).

Attacco di prolungamento

Utilizzando il metodo sopra descritto, ogni singolo utente può essere monitorato (al massimo) per diverse ore, in base alla durata della finestra della sessione negoziata.

Tuttavia, un sito Web può rinnovare una sessione per un altro periodo di tempo alla ripresa di ogni sessione, ripristinando la finestra della sessione ed estendendo effettivamente la durata della sessione a tempo indefinito. L'articolo chiama questa tecnica a attacco prolungato.

I ricercatori hanno dimostrato che questa tecnica può essere utilizzata permanentemente tracciare il 65% degli utenti nel loro set di dati, poiché tali utenti tendono a visitare i siti Web di monitoraggio più spesso della scadenza delle sessioni.

Inoltre, hanno dimostrato che i siti Web possono utilizzare il contenuto incorporato per tracciare i propri utenti anche su siti diversi. Ad esempio, una rete pubblicitaria con annunci incorporati su milioni di siti Web può tracciare singoli utenti contro tutti i quei siti. (Va notato che alcuni browser, come menzionato nel documento, bloccano le richieste di ripresa della sessione da siti Web di terze parti.)

Sono vulnerabile?

Dal punto di vista del protocollo, tutto TLS versioni (comprese le ultime TLS 1.3) fornire un meccanismo per la ripresa della sessione, il che significa che gli utenti potrebbero essere monitorati utilizzando questa tecnica, indipendentemente da TLS versione.

Inoltre, su 48 browser testati nel documento, solo 3 sono risultati disabilitati TLS ripresa della sessione. Questi browser sono:

  • JonDo Browser
  • Tor Browser
  • Orbot (per dispositivi mobili)

Per verificare se il tuo browser (o altro software client) è vulnerabile a questa tecnica di tracciamento, puoi utilizzare questo strumento per generare un rapporto sui tuoi clienti TLS supporto.

Controlla la sezione "Dettagli protocollo" - se "Ticket sessione" è impostato su "Sì", la ripresa della sessione è abilitata nel tuo browser e sei rintracciabile.

C'è una soluzione?

TLS i ticket di ripresa della sessione vengono memorizzati nel browser TLS cache, che viene distrutta ogni volta che il processo del browser viene chiuso.

Se chiudi regolarmente il tuo browser e l'estrema privacy non è una necessità assoluta, allora dovresti essere al sicuro da questo metodo.

Sfortunatamente, la maggior parte dei sistemi operativi mobili moderni mantiene le applicazioni "sempre attive", il che significa che non è insolito che un'istanza del browser rimanga attiva per giorni alla volta. Anche se questo è alquanto non plausibile, ci sono casi in cui è possibile che un utente venga rintracciato nel mondo reale.

Per questo motivo, vari gruppi di utenti orientati alla privacy stanno sollecitando i browser a disabilitare questa funzione (o almeno aggiungere un'opzione per disabilitarla). Al momento della stesura di questo documento, tuttavia, nessun browser principale ha discusso pubblicamente la questione.

Nel frattempo, se hai bisogno di maggiore privacy puoi visitare un sito web in modalità “in incognito” o “privacy”. Un browser che utilizza la modalità privacy creerà un nuovo file TLS cache che non avrà accesso ai normali ticket di ripresa della sessione.

Altrimenti, è possibile passare temporaneamente a uno dei tre browser che non supportano la ripresa della sessione. In alternativa, puoi disabilitare manualmente questa funzione in Firefox usando il seguente metodo.

Disabilita gli identificatori di sessione in Mozilla Firefox

Mozilla Firefox era rattoppato nel 2014 per supportare un'opzione non documentata nella configurazione del browser per disabilitare la ripresa della sessione.

Per disattivare la ripresa della sessione, devi visitare about:config in un Firefox (fare clic su "Accetto il rischio" per procedere). Firefox mostrerà quindi un elenco di preferenze per il tuo browser.

Fare clic con il pulsante destro del mouse su qualsiasi preferenza e selezionare "Nuovo" e "Booleano", come mostrato nell'immagine seguente.

 

Verrà visualizzato un messaggio pop-up che chiede il nome della preferenza. Genere:

security.ssl.disable_session_identifiers

E seleziona "vero" per il valore. Se hai fatto tutto correttamente, dovresti vedere qualcosa di simile all'immagine qui sotto.

 

 

Se ora visiti il Strumento di controllo del browser SSL con il tuo Firefox, dovrebbe segnalare che i "ticket di sessione" sono disabilitati, il che significa che sei al sicuro da TLS tracciamento della sessione.

 

 

Mozilla inizierà a bloccare tutti i tracker di terze parti

Infine, Mozilla ha ha recentemente annunciato] che stanno cambiando la loro politica sui contenuti. Hanno introdotto una nuova funzionalità chiamata Blocco dei contenuti in (attualmente più recente) Versione 63, che consente agli utenti di bloccare qualsiasi contenuto di terze parti rilevato da Firefox nei siti Web.

Inoltre, nella versione 65 Firefox inizierà a bloccarsi contro tutti i contenuti di terze parti per impostazione predefinita; In questo modo gli utenti dovranno concedere un'autorizzazione esplicita prima del rendering di qualsiasi contenuto esterno.

Oltre agli enormi miglioramenti sulla privacy degli utenti, questa nuova politica di blocco dei contenuti ridurrà anche inavvertitamente l'impatto sulla sicurezza di TLS tecnica di ripresa della sessione. Sebbene questa non sia affatto una soluzione completa, i siti web saranno in grado di tracciare gli utenti di Firefox solo quando li visitano effettivamente, poiché il tracciamento tra siti si basa su contenuti di terze parti.

Conclusione

Fortunatamente, tenere traccia degli utenti con TLS è stato dimostrato plausibile ma non pratico per la maggior parte degli utenti di Internet. Indipendentemente da ciò, ci sono casi in cui è richiesta la privacy assoluta e mentre esistono soluzioni temporanee (come la correzione di Firefox che abbiamo descritto sopra), possiamo aspettarci presto una mitigazione appropriata dai principali fornitori di browser.

Come sempre, grazie per aver scelto SSL.com, dove crediamo a più sicuro Internet è un better Internet.

 

Nick Naziridis

Amministratore CA - Autore tecnico
Tutti i messaggi

Articoli Correlati

Visualizza tutti gli articoli
Facebook Youtube Twitter Github

Iscriviti alla Newsletter di SSL.com

Cos'è SSL /TLS?

Riproduci video

Iscriviti alla Newsletter di SSL.com

Non perdere nuovi articoli e aggiornamenti da SSL.com

Rimani informato e sicuro

SSL.com è un leader globale nella sicurezza informatica, PKI e certificati digitali. Iscriviti per ricevere le ultime notizie del settore, suggerimenti e annunci di prodotti da SSL.com.

Ci piacerebbe il tuo feedback

Partecipa al nostro sondaggio e facci sapere cosa ne pensi del tuo recente acquisto.

Partecipa al sondaggio