介绍
上周,汉堡大学的安全研究人员发表了一篇 纸 描述了一种网站可以用来跟踪浏览器用户历史的新方法。 他们的技术利用了在 TLS 协议。
TLS 招生面试
TLS 是一种加密协议,浏览器通过在浏览器和服务器之间建立加密连接来保护与HTTPS Web服务器的通信安全。 在 TLS 术语,服务器创建一个 会议 对于每个这样的 TLS 连接。
创建会话需要在其他任何实际Web数据之前交换其他数据(例如,数字证书和加密密钥)。 建立一个过程 TLS 会话称为 握手谈判
为每个人执行一次握手 TLS 连接需要比未加密的HTTP更多的带宽,这是最近发布的解决的主要问题之一 TLS 1.3协议。
如果您想了解更多有关以下方面的性能开销的信息, TLS 什么 TLS 1.3确实减少了它,请参考 本文.
TLS 会话恢复
为了减轻与握手相关的开销, TLS 允许 会话恢复,它使浏览器可以跳过与最近与其建立会话的服务器的握手过程。
会话会持续一段预定的时间,从几分钟到几小时不等。 如果浏览器在会话窗口中重新访问服务器,则正在进行 TLS 会话可以通过一个恢复 恢复请求,而不是进行完整的握手协商(TLS 1.3实际上允许浏览器将应用程序数据与会话恢复请求一起发送,从而有效地提供与未加密的HTTP相同的快速性能。)
跟踪用户 TLS 会话恢复
不幸的是,在大多数情况下,安全性和实用性成反比,汉堡研究人员证明,恢复会话可以提高性能,但会损害用户的隐私。
多年来,已经使用了许多技术来跟踪互联网用户,例如持久性Cookie或浏览器指纹。 它们的设计都是为了允许网站在访问期间唯一地标识用户,而不管其IP地址,位置或隐私偏好如何。
在这方面, TLS 会话恢复(唯一地绑定到特定的浏览器)可用于以cookie相同的方式跟踪用户。 本质上,当浏览器恢复会话时,即使用户从不同的网络(即,不同的IP地址)或不同的隐私设置(例如,用户代理)访问,该网站也可以将连接与最初创建该会话的连接相关联。 )。
延长攻击
使用上述方法,基于协商的会话窗口的长度,可以跟踪每个单独的用户(最多)几个小时。
但是,网站可以在每次恢复会话时将会话续期另一个时间段,从而重置会话窗口并有效地无限期延长会话的生存期。 本文称这种技术为 延长发作.
研究人员证明,该技术可用于 永久 跟踪其数据集中65%的用户,因为这些用户倾向于访问跟踪网站的次数比会话过期的次数还要多。
此外,他们还表明,即使在不同的网站上,网站也可以使用嵌入的内容来跟踪其用户。 例如,在数百万个网站上嵌入广告的广告网络可以跟踪以下用户的个人信息: 所有 这些网站。 (应注意,如本文所述,某些浏览器确实阻止了来自第三方网站的会话恢复请求。)
我容易受到伤害吗?
协议意义上的所有 TLS 版本(包括最新版本) TLS 1.3)提供会话恢复的机制,这意味着可以使用此技术跟踪用户,而无论 TLS 版。
此外,在本文测试的48种浏览器中,只有3种被禁用 TLS 会话恢复。 这些浏览器是:
- 琼都浏览器
- Tor浏览器
- Orbot(移动版)
要测试您的浏览器(或其他客户端软件)是否容易受到此跟踪技术的影响,可以使用 这个工具 生成有关您客户的报告 TLS 支持。
检查“协议详细信息”部分-如果“会话票证”设置为“是”,则在浏览器中启用了会话恢复,并且可以追溯。
有解决办法吗?
TLS 会话恢复票证存储在浏览器的 TLS 缓存,每次关闭浏览器进程时都会被破坏。
如果您定期关闭浏览器并且绝对不需要绝对的隐私,那么使用此方法应该是安全的。
不幸的是,大多数现代移动操作系统都使应用程序“始终处于打开状态”,这意味着浏览器实例连续几天保持活动状态并不少见。 即使这有些难以置信,在某些情况下也有可能在现实世界中跟踪用户。
因此,各种面向隐私的用户组都在敦促浏览器禁用此功能(或至少添加一个禁用此功能的选项)。 但是,在撰写本文时,还没有主流浏览器公开讨论此事。
同时,如果您需要更多的隐私,则可以以“隐身”或“隐私”模式访问网站。 使用隐私模式的浏览器将创建一个新的 TLS 不能访问正常会话恢复票证的缓存。
否则,您可以暂时切换到不支持会话恢复的三种浏览器之一。 或者,您可以使用以下方法在Firefox中手动禁用此功能。
在Mozilla Firefox中禁用会话标识符
Mozilla Firefox原为 修补 (2014年)支持浏览器配置中的未记录选项来禁用会话恢复。
要关闭会话恢复,您必须访问 about:config 在Firefox中(单击“我接受风险”继续进行)。 然后,Firefox将显示浏览器的首选项列表。
右键单击任何首选项,然后选择“新建”和“布尔值”,如下图所示。
将显示一个弹出消息,询问您的首选项名称。 类型:
security.ssl.disable_session_identifiers
并选择“ true”作为值。 如果您正确执行了所有操作,则应该会看到类似于下图的内容。
如果您现在访问 SSL浏览器检查工具 使用Firefox时,它应报告“会话票证”已禁用,这意味着您可以安全地进行 TLS 会话跟踪。
Mozilla将开始阻止所有第三方跟踪器
最后,Mozilla有 最近公布的]他们正在更改其内容政策。 他们引入了一项名为 内容封锁 在(当前最新) 63版,允许用户阻止Firefox在网站中检测到的任何第三方内容。
更重要的是,在65版中,Firefox将开始阻止 所有 默认情况下,第三方内容; 这样,用户将必须在呈现任何外部内容之前给予明确的许可。
除了对用户隐私的巨大改进外,此新的内容阻止策略还将无意中降低了对用户隐私的影响。 TLS 会话恢复技术。 尽管这绝对不是一个完整的解决方法,但是网站只能在实际访问Firefox用户时对其进行跟踪,因为跨站点跟踪依赖于第三方内容。
结论
幸运的是,通过 TLS 已被证明对大多数互联网用户来说是可行的,但并不实际。 无论如何,在某些情况下需要绝对的隐私,并且尽管存在临时解决方案(例如我们在上文中描述的Firefox修复程序),但我们可以期望主要浏览器供应商会尽快提供适当的缓解措施。
与往常一样,感谢您选择SSL.com-我们相信 更安全 互联网是一个 更好 互联网上。
