Wprowadzenie
W ubiegłym tygodniu badacze bezpieczeństwa z Uniwersytetu w Hamburgu opublikowali papier opisujący nową metodę, której mogą używać strony internetowe do śledzenia historii użytkowników przeglądarki. Ich technika wykorzystuje funkcję wznawiania sesji zaimplementowaną w TLS protokół.
TLS Sesje
TLS jest protokołem kryptograficznym używanym przez przeglądarki do zabezpieczania komunikacji z serwerami internetowymi HTTPS poprzez ustanowienie szyfrowanego połączenia między przeglądarką a serwerem. W TLS żargon, serwer tworzy plik Sesja dla każdego takiego TLS połączenia.
Utworzenie sesji wymaga wymiany dodatkowych danych - takich jak certyfikaty cyfrowe i klucze szyfrowania - przed wszelkimi danymi sieciowymi. Proces tworzenia TLS sesja nazywa się negocjacje uzgadniania
Uścisk dłoni dla każdego TLS połączenie wymaga większej przepustowości niż niezaszyfrowany protokół HTTP i jest to jeden z głównych problemów poruszonych w niedawno opublikowanym TLS 1.3 protokół.
Jeśli chcesz przeczytać więcej na temat narzutów wydajności narzuconych przez TLS i co TLS 1.3, aby go zmniejszyć, zapoznaj się z ten artykuł.
TLS wznowienie sesji
Aby zmniejszyć obciążenie związane z uściskiem dłoni, TLS pozwala wznowienie sesji, który umożliwia przeglądarce pominięcie procesu uzgadniania z serwerem, z którym niedawno nawiązała sesję.
Sesja trwa przez określony czas, od kilku minut do kilku godzin. Jeśli przeglądarka ponownie odwiedzi serwer w oknie sesji, proces trwa TLS sesję można wznowić za pomocą pojedynczego prośba o wznowienie, zamiast pełnej negocjacji uzgadniania (TLS 1.3 w rzeczywistości umożliwia przeglądarce wysyłanie danych aplikacji wraz z żądaniem wznowienia sesji, skutecznie oferując taką samą szybkość działania jak niezaszyfrowany HTTP).
Śledzenie użytkowników za pomocą TLS wznowienie sesji
Niestety, w większości przypadków bezpieczeństwo i użyteczność są odwrotnie proporcjonalne, a badacze z Hamburga wykazali, że wznowienie sesji poprawia wydajność kosztem prywatności użytkowników.
Przez lata wykorzystywano wiele technik śledzenia użytkowników Internetu, takich jak trwałe pliki cookie lub odciski palców przeglądarki. Wszystkie zostały zaprojektowane tak, aby umożliwić witrynom internetowym jednoznaczną identyfikację użytkownika podczas odwiedzin, niezależnie od ich adresu IP, lokalizacji lub preferencji dotyczących prywatności.
W związku z tym a TLS wznawianie sesji, jako unikalne powiązanie z określoną przeglądarką, może służyć do śledzenia użytkowników w taki sam sposób, jak pliki cookie. Zasadniczo, gdy przeglądarka wznawia sesję, witryna internetowa może skorelować połączenie z połączeniem, które pierwotnie utworzyło sesję, nawet jeśli użytkownik odwiedza inną sieć (tj. Inny adres IP) lub z innymi ustawieniami prywatności (np. Agent użytkownika ).
Atak przedłużający
Korzystając z metody opisanej powyżej, każdego użytkownika można śledzić przez (najwyżej) kilka godzin, w zależności od długości wynegocjowanego okna sesji.
Jednak witryna internetowa może odnawiać sesję na inny czas przy każdym wznowieniu sesji, resetując okno sesji i skutecznie przedłużając czas trwania sesji w nieskończoność. Artykuł nazywa tę technikę a atak przedłużający.
Naukowcy wykazali, że można zastosować tę technikę na stałe śledzą 65% użytkowników w swoim zbiorze danych, ponieważ ci użytkownicy odwiedzają strony internetowe śledzące częściej niż sesje wygasają.
Ponadto wykazali, że witryny internetowe mogą wykorzystywać osadzone treści do śledzenia użytkowników nawet w różnych witrynach. Na przykład sieć reklamowa z osadzonymi reklamami w milionach witryn internetowych może śledzić poszczególnych użytkowników cała kolekcja te strony. (Należy zauważyć, że niektóre przeglądarki, jak wspomniano w artykule, blokują żądania wznowienia sesji z witryn internetowych stron trzecich).
Czy jestem wrażliwy?
Wszystkie protokoły TLS wersje (w tym najnowsze TLS 1.3) zapewniają mechanizm wznawiania sesji, co oznacza, że użytkownicy mogą być śledzeni za pomocą tej techniki, niezależnie od TLS wersja.
Ponadto spośród 48 przeglądarek testowanych w artykule tylko 3 zostały wyłączone TLS wznowienie sesji. Te przeglądarki to:
- Przeglądarka JonDo
- Tor Browser
- Orbot (na urządzenia mobilne)
Aby sprawdzić, czy Twoja przeglądarka (lub inne oprogramowanie klienckie) jest podatna na tę technikę śledzenia, możesz użyć narzędzie to aby wygenerować raport o Twoim kliencie TLS Wsparcie.
Sprawdź sekcję „Szczegóły protokołu” - jeśli „Bilety sesji” są ustawione na „Tak”, to wznawianie sesji jest włączone w Twojej przeglądarce i jesteś wykrywalny.
Czy jest poprawka?
TLS bilety wznowienia sesji są przechowywane w przeglądarce TLS pamięć podręczna, która jest niszczona za każdym razem, gdy proces przeglądarki jest zamykany.
Jeśli regularnie zamykasz przeglądarkę, a ekstremalna prywatność nie jest absolutną koniecznością, powinieneś być bezpieczny od tej metody.
Niestety, większość nowoczesnych mobilnych systemów operacyjnych utrzymuje aplikacje „zawsze włączone”, co oznacza, że instancja przeglądarki nie jest niczym niezwykłym, że pozostaje aktywna przez kilka dni. Chociaż jest to nieco nieprawdopodobne, są przypadki, w których możliwe jest śledzenie użytkownika w prawdziwym świecie.
Z tego powodu różne grupy użytkowników zorientowane na prywatność namawiają przeglądarki do wyłączenia tej funkcji (lub przynajmniej dodania opcji jej wyłączenia). Jednak w chwili pisania tego tekstu żadna duża przeglądarka nie dyskutowała publicznie o tej sprawie.
W międzyczasie, jeśli potrzebujesz większej prywatności, możesz odwiedzić witrynę internetową w trybie „incognito” lub „prywatności”. Przeglądarka korzystająca z trybu prywatności utworzy nowy plik TLS pamięć podręczna, która nie będzie miała dostępu do normalnych biletów wznowienia sesji.
W przeciwnym razie możesz tymczasowo przełączyć się na jedną z trzech przeglądarek, które nie obsługują wznawiania sesji. Alternatywnie możesz ręcznie wyłączyć tę funkcję w przeglądarce Firefox, stosując następującą metodę.
Wyłącz identyfikatory sesji w Mozilla Firefox
Mozilla Firefox była załatany w 2014 r. w celu obsługi nieudokumentowanej opcji w konfiguracji przeglądarki, aby wyłączyć wznawianie sesji.
Aby wyłączyć wznawianie sesji, musisz odwiedzić about:config
w przeglądarce Firefox (kliknij „Akceptuję ryzyko”, aby kontynuować). Firefox wyświetli wtedy listę preferencji Twojej przeglądarki.
Kliknij prawym przyciskiem dowolne preferencje i wybierz „Nowy” i „Boolean”, jak pokazano na poniższej ilustracji.
Wyświetli się wyskakujące okienko z prośbą o podanie nazwy preferencji. Rodzaj:
security.ssl.disable_session_identifiers
I wybierz „prawda” jako wartość. Jeśli zrobiłeś wszystko poprawnie, powinieneś zobaczyć coś podobnego do poniższego obrazu.
Jeśli teraz odwiedzasz Narzędzie do sprawdzania przeglądarki SSL w przeglądarce Firefox powinien zgłosić, że „Bilety sesji” są wyłączone, co oznacza, że jesteś bezpieczny TLS śledzenie sesji.
Mozilla zacznie blokować wszystkie narzędzia do śledzenia innych firm
Wreszcie Mozilla ma Niedawno ogłosił,], że zmieniają swoją politykę treści. Wprowadzili nową funkcję o nazwie Blokowanie treści w (obecnie najnowszy) wersja 63, który pozwala użytkownikom blokować wszelkie treści stron trzecich, które Firefox wykrywa w witrynach internetowych.
Co więcej, w wersji 65 Firefox zacznie się blokować cała kolekcja treści stron trzecich domyślnie; W ten sposób użytkownicy będą musieli udzielić wyraźnej zgody przed renderowaniem treści zewnętrznych.
Oprócz ogromnych ulepszeń w zakresie prywatności użytkowników, ta nowa polityka blokowania treści nieumyślnie zmniejszy również wpływ na bezpieczeństwo TLS technika wznawiania sesji. Chociaż nie jest to całkowita poprawka, witryny internetowe będą mogły śledzić użytkowników Firefoksa tylko wtedy, gdy faktycznie ich odwiedzają, ponieważ śledzenie między witrynami opiera się na zawartości stron trzecich.
Podsumowanie
Na szczęście śledzenie użytkowników za pomocą TLS okazało się wiarygodne, ale niepraktyczne dla większości użytkowników Internetu. Niezależnie od tego, istnieją przypadki, w których wymagana jest absolutna prywatność i chociaż istnieją tymczasowe rozwiązania (takie jak opisana powyżej poprawka do Firefoksa), wkrótce możemy spodziewać się odpowiedniego ograniczenia ze strony głównych dostawców przeglądarek.
Jak zawsze dziękujemy za wybranie SSL.com - tam, gdzie wierzymy, że domena bezpieczniej Internet to lepszy Internet.