개요
지난주 함부르크 대학교의 보안 연구원들은 종이 웹 사이트가 브라우저 사용자의 기록을 추적하는 데 사용할 수있는 새로운 방법을 설명합니다. 그들의 기술은 세션 재개 기능을 활용합니다. TLS 실험 계획안.
TLS 세션
TLS 브라우저와 서버 간의 암호화 된 연결을 설정하여 브라우저가 HTTPS 웹 서버와의 통신을 보호하는 데 사용하는 암호화 프로토콜입니다. 에 TLS 전문 용어, 서버는 세션 각각의 TLS 연결.
세션을 생성하려면 디지털 인증서 및 암호화 키와 같은 추가 데이터를 실제 웹 데이터보다 먼저 교환해야합니다. 설립 과정 TLS 세션은 악수 협상
모든 사람에 대한 악수 수행 TLS 연결에는 암호화되지 않은 HTTP보다 더 많은 대역폭이 필요하며 이는 최근에 출판 된 주요 문제 중 하나입니다. TLS 1.3 프로토콜.
성능 오버 헤드에 대한 자세한 내용을 보려면 TLS 그리고 뭐 TLS 1.3 그것을 줄이기 위해 참조하십시오 이 문서.
TLS 세션 재개
핸드 셰이크와 관련된 오버 헤드를 완화하기 위해 TLS 수 세션 재개브라우저에서 최근에 세션을 설정 한 서버와의 핸드 셰이크 프로세스를 건너 뛸 수 있습니다.
세션은 몇 분에서 몇 시간까지 미리 정해진 시간 동안 지속됩니다. 브라우저가 세션 창에서 서버를 다시 방문하면 TLS 세션은 단일을 통해 다시 시작할 수 있습니다 재개 요청전체 핸드 셰이크 협상 대신TLS 1.3은 실제로 브라우저가 세션 재개 요청과 함께 응용 프로그램 데이터를 전송하도록하여 암호화되지 않은 HTTP와 동일한 빠른 성능을 효과적으로 제공합니다.)
로 사용자 추적 TLS 세션 재개
불행히도 대부분의 경우 보안과 유틸리티는 반비례하며 함부르크 연구원은 세션 재개가 사용자의 개인 정보를 희생하여 성능을 향상 시킨다는 것을 입증했습니다.
영구 쿠키 또는 브라우저 지문과 같은 수년간 인터넷 사용자를 추적하기 위해 수많은 기술이 사용되었습니다. 이들은 모두 IP 주소, 위치 또는 개인 정보 기본 설정에 관계없이 웹 사이트가 방문시 사용자를 고유하게 식별 할 수 있도록 설계되었습니다.
이와 관련하여 TLS 세션 재개는 특정 브라우저에 고유하게 연결되어 쿠키와 같은 방식으로 사용자를 추적하는 데 사용될 수 있습니다. 기본적으로 브라우저가 세션을 다시 시작하면 웹 사이트는 사용자가 다른 네트워크 (예 : 다른 IP 주소) 또는 다른 개인 정보 설정 (예 : 사용자 에이전트)에서 방문하더라도 원래 세션을 만든 것과 연결을 연결할 수 있습니다. ).
연장 공격
위에서 설명한 방법을 사용하면 협상 된 세션 창의 길이에 따라 각 개별 사용자를 최대 몇 시간 동안 추적 할 수 있습니다.
그러나 웹 사이트는 각 세션 재개시 다른 기간 동안 세션을 갱신하여 세션 창을 재설정하고 세션의 수명을 무기한으로 효과적으로 연장 할 수 있습니다. 이 논문은이 기술을 연장 공격.
연구원들은이 기술이 영구적으로 사용자가 세션이 만료되는 것보다 더 자주 웹 사이트 추적을 방문하는 경향이 있기 때문에 데이터 세트에서 사용자의 65 %를 추적합니다.
또한 웹 사이트는 내장 된 콘텐츠를 사용하여 다른 사이트에서도 사용자를 추적 할 수 있음을 보여주었습니다. 예를 들어 수백만 개의 웹 사이트에 광고가 포함 된 광고 네트워크에서 개별 사용자를 추적 할 수 있습니다. 모든 그 사이트. (본 백서에서 언급 한 일부 브라우저는 타사 웹 사이트의 세션 재개 요청을 차단합니다.)
내가 취약한가?
프로토콜 측면에서 모두 TLS 버전 (최신 버전 포함) TLS 1.3) 세션 재개 메커니즘을 제공하여 사용자가이 기술을 사용하여 추적 할 수 있음을 의미 TLS 번역.
또한이 논문에서 테스트 한 48 개 브라우저 중 3 개만이 비활성화 된 것으로 밝혀졌습니다. TLS 세션 재개. 이러한 브라우저는 다음과 같습니다.
- 존도브라우저
- 토르 브라우저
- Orbot (모바일 용)
브라우저 (또는 다른 클라이언트 소프트웨어)가이 추적 기술에 취약한 지 테스트하려면 이 도구를 귀하의 클라이언트에 대한 보고서를 생성하려면 TLS 지원합니다.
"프로토콜 세부 정보"섹션을 확인합니다. "세션 티켓"이 "예"로 설정되어 있으면 브라우저에서 세션 재개가 활성화되고 추적 할 수 있습니다.
수정 사항이 있습니까?
TLS 세션 재개 티켓은 브라우저의 TLS 브라우저 프로세스가 닫힐 때마다 캐시가 삭제됩니다.
브라우저를 정기적으로 닫고 극단적 인 개인 정보 보호가 절대적으로 필요하지 않은 경우이 방법으로부터 안전해야합니다.
안타깝게도 대부분의 최신 모바일 OS는 애플리케이션을 "항상 켜짐"상태로 유지하므로 브라우저 인스턴스가 한 번에 며칠 동안 활성 상태를 유지하는 것이 드문 일이 아닙니다. 이것은 다소 믿기지 않지만 실제 세계에서 사용자를 추적 할 수있는 경우가 있습니다.
이러한 이유로 다양한 개인 정보 보호 지향 사용자 그룹은 브라우저에이 기능을 비활성화하도록 촉구하고 있습니다 (또는 적어도 비활성화 옵션을 추가). 그러나이 글을 쓰는 시점에서이 문제를 공개적으로 논의한 주요 브라우저는 없습니다.
그 동안 더 많은 개인 정보 보호가 필요한 경우 "시크릿"또는 "개인 정보 보호"모드로 웹 사이트를 방문 할 수 있습니다. 프라이버시 모드를 사용하는 브라우저는 새로운 TLS 일반 세션 재개 티켓에 액세스 할 수없는 캐시.
그렇지 않으면 세션 재개를 지원하지 않는 XNUMX 개의 브라우저 중 하나로 일시적으로 전환 할 수 있습니다. 또는 다음 방법을 사용하여 Firefox에서이 기능을 수동으로 비활성화 할 수 있습니다.
Mozilla Firefox에서 세션 식별자 비활성화
Mozilla Firefox는 패치 된 2014 년에 브라우저 구성에서 문서화되지 않은 옵션을 지원하여 세션 재개를 비활성화합니다.
세션 재개를 끄려면 방문해야합니다. about:config Firefox에서 (계속하려면 "위험을 감수합니다"를 클릭하십시오). 그러면 Firefox는 브라우저에 대한 기본 설정 목록을 표시합니다.
다음 이미지와 같이 기본 설정을 마우스 오른쪽 버튼으로 클릭하고 "새로 만들기"및 "부울"을 선택합니다.
기본 설정 이름을 묻는 팝업 메시지가 표시됩니다. 유형:
security.ssl.disable_session_identifiers
그리고 값으로 "true"를 선택합니다. 모든 것을 올바르게 수행했다면 아래 이미지와 유사한 내용이 표시되어야합니다.
지금 방문하면 SSL 브라우저 확인 도구 Firefox에서는 "세션 티켓"이 비활성화되어 있다고보고해야합니다. TLS 세션 추적.
Mozilla는 모든 타사 추적기를 차단하기 시작합니다
마지막으로 Mozilla는 최근 발표 된] 콘텐츠 정책을 변경하고 있습니다. 그들은 새로운 기능을 도입했습니다 콘텐츠 차단 에 (현재 최신) 버전 63을 사용하면 Firefox가 웹 사이트에서 감지하는 모든 타사 컨텐츠를 차단할 수 있습니다.
또한 버전 65에서는 Firefox가 차단을 시작합니다. 모든 기본적으로 타사 컨텐츠; 이렇게하면 사용자는 외부 콘텐츠를 렌더링하기 전에 명시적인 권한을 부여해야합니다.
이 새로운 콘텐츠 차단 정책은 사용자 개인 정보 보호에 대한 엄청난 개선 외에도 부주의하게 보안에 미치는 영향을 줄입니다. TLS 세션 재개 기술. 이것이 완전한 수정은 아니지만, 사이트 간 추적은 타사 컨텐츠에 의존하기 때문에 웹 사이트는 Firefox 사용자가 실제로 방문 할 때만 추적 할 수 있습니다.
결론
다행스럽게도 TLS 대부분의 인터넷 사용자에게는 그럴듯하지만 실용적이지 않은 것으로 입증되었습니다. 그럼에도 불구하고, 절대적인 프라이버시가 필요한 경우가 있으며, 위에서 설명한 Firefox 수정과 같은 임시 솔루션이 존재하지만 곧 주요 브라우저 공급 업체로부터 적절한 완화 조치를 기대할 수 있습니다.
항상 그렇듯이 SSL.com을 선택해 주셔서 감사합니다. 안전 인터넷은 더 인터넷.
