|
腳本之家
你與百萬(wàn)開(kāi)發(fā)者在一起
作者:OSC-局長(zhǎng) 來(lái)自:開(kāi)源中國(guó)(oschina2013) 如需轉(zhuǎn)載請(qǐng)?jiān)谖恼伦⒚鱽?lái)源和作者
由于隱私瀏覽器技術(shù)的日漸成熟��,網(wǎng)站越來(lái)越無(wú)法通過(guò) Cookie 和網(wǎng)頁(yè)瀏覽器特征來(lái)追蹤用戶(hù)��,但道高一尺魔高一丈��,現(xiàn)在這些網(wǎng)站會(huì)用 TLS 1.3 中的 TLS 對(duì)話(huà)恢復(fù)機(jī)制追蹤用戶(hù)����。
你以為禁用瀏覽器 Cookie 就能避免被網(wǎng)站追蹤嗎?倡導(dǎo)將 Cookie 追蹤選擇權(quán)還給用戶(hù)的說(shuō)法��,可能只是煙霧彈�����,實(shí)際上仍能使用最新 TLS 1.3 傳輸層安全協(xié)議追蹤用戶(hù)。
目前網(wǎng)站追蹤用戶(hù)的手段�����,比較流行的仍然是 Cookie 或通過(guò)網(wǎng)頁(yè)瀏覽器特征進(jìn)行辨識(shí)�����,而較少受到關(guān)注的技術(shù)是基于傳輸層安全協(xié)議(Transport Layer Security�,TLS)的用戶(hù)跟蹤,特別是使用 TLS 對(duì)話(huà)恢復(fù)(TLS Session Resumption)機(jī)制����,而漢堡大學(xué)研究員率先對(duì) TLS 對(duì)話(huà)恢復(fù)機(jī)制的適用性進(jìn)行了研究。
包括 Facebook 以及 Google 在內(nèi)的等公司�����,過(guò)去都會(huì)使用 HTTP Cookie 以及網(wǎng)頁(yè)瀏覽器特征追蹤用戶(hù)�����,但隨著用戶(hù)越來(lái)越注意保護(hù)自己的隱私,更多的人開(kāi)始使用強(qiáng)化隱私的瀏覽器�����,以隱私模式或是擴(kuò)展來(lái)限制網(wǎng)頁(yè)追蹤��,這使得上述兩項(xiàng)技術(shù)幾乎失靈��。另外���,通過(guò) IP 位置追蹤用戶(hù)也受到限制,因?yàn)橛脩?hù)有可能以 NAT 共享公共 IP 地址����,而且網(wǎng)站也無(wú)法跨過(guò)不同的網(wǎng)絡(luò)追蹤裝置。
網(wǎng)站于是開(kāi)始把目光瞄向了最新的 TLS 1.3 協(xié)議上���,它們的追蹤技術(shù)開(kāi)始轉(zhuǎn)向使用 TLS 對(duì)話(huà)恢復(fù)機(jī)制�����。TLS 對(duì)話(huà)恢復(fù)機(jī)制允許網(wǎng)站利用早前的 TLS 對(duì)話(huà)中交換的密鑰�����,來(lái)縮減 TLS 握手程序����,而這也開(kāi)啟了讓網(wǎng)站可以鏈接兩個(gè)對(duì)話(huà)的可能性。由于重啟瀏覽器會(huì)順便清空緩存����,所以這個(gè)方法僅在瀏覽器未重啟的情況下,網(wǎng)站才能通過(guò) TLS 對(duì)話(huà)恢復(fù)進(jìn)行連續(xù)的用戶(hù)追蹤��。但是這個(gè)使用習(xí)慣在移動(dòng)設(shè)備上完全不同�����,移動(dòng)設(shè)備用戶(hù)很少重啟瀏覽器�����。
漢堡大學(xué)研究員系統(tǒng)性地研究了 48 種熱門(mén)瀏覽器以及 Alexa 前百萬(wàn)熱門(mén)網(wǎng)站的配置�,以評(píng)估這些追蹤機(jī)制的實(shí)際配置以及用戶(hù)追蹤可持續(xù)時(shí)間。研究人員使用了延長(zhǎng)攻擊(Prolongation Attack)����,延長(zhǎng)追蹤周期至超過(guò) TLS 對(duì)話(huà)恢復(fù)的生命周期,接著根據(jù)額外的 DNS 數(shù)據(jù)���,分析延長(zhǎng)攻擊對(duì)于追蹤時(shí)間的影響��,以及可永久追蹤的用戶(hù)比例�,最終導(dǎo)出用戶(hù)的瀏覽行為。
研究顯示��,即便標(biāo)準(zhǔn)瀏覽器將 TLS 對(duì)話(huà)恢復(fù)生命周期設(shè)置為僅維持一天����,用戶(hù)仍可以被追蹤長(zhǎng)達(dá)8天之久,TLS 1.3 草稿版本建議 TLS 對(duì)話(huà)恢復(fù)生命周期為7天上限�,研究人員通過(guò) Alexa 資料集中的至少一個(gè)網(wǎng)站�,便可永久追蹤實(shí)驗(yàn)中的 65% 用戶(hù)。
研究人員也觀察到����,Alexa 前百萬(wàn)熱門(mén)網(wǎng)站中,有超過(guò) 80% 的 TLS 對(duì)話(huà)恢復(fù)生命周期都在 10 分鐘以下���,但是大約 10% 的網(wǎng)站使用大于24小時(shí)的周期設(shè)定�,特別是廣告商 —— Google 的 TLS 對(duì)話(huà)生命周期達(dá)28小時(shí)�����,而 Facebook 對(duì)話(huà)恢復(fù)生命周期的設(shè)定更是高達(dá)48小時(shí),在 Alexa 前百萬(wàn)熱門(mén)網(wǎng)站中位于 99.99 百分位數(shù)之上�。
漢堡大學(xué)研究員指出,要防止網(wǎng)站通過(guò) TLS 對(duì)話(huà)恢復(fù)追蹤用戶(hù)��,需要修改 TLS 標(biāo)準(zhǔn)和常見(jiàn)瀏覽器的配置����,而目前最有效的方式就是完全禁用 TLS 對(duì)話(huà)恢復(fù)功能。 ? 版權(quán)聲明:轉(zhuǎn)載文章和圖片均來(lái)自公開(kāi)網(wǎng)絡(luò)��,版權(quán)歸作者本人所有��,推送文章除非無(wú)法確認(rèn)����,我們都會(huì)注明作者和來(lái)源�。如果出處有誤或侵犯到原作者權(quán)益與我們聯(lián)系刪除或授權(quán)事宜。 |
