Nul
En akademisk rapport, der blev offentliggjort i sidste måned, har kastet nyt lys på en ny bruger tracking teknik, der tager fordel af en legitim ordning, der er forbundet med TLS (Transport Layer Security) – protokol -rygraden i moderne HTTPS forbindelser.
De misbrugte TLS-mekanisme kaldes TLS-Session Genoptagelse (RFC 8447), en mekanisme, der blev skabt i midten af 2000’erne for at tillade TLS-servere til at huske tidligere bruger-sessioner og undgå spild af server ressourcer ved at re-forhandling af en TLS-forbindelse med en tilbagevendende bruger.
Der er i øjeblikket tre forskellige måder at servere kan vælge at bruge og understøtter TLS Session Genoptagelse. Der er TLS-Session Genoptagelse via sessions-id ‘ er, der er TLS-Session Genoptagelse via session billetter, og der er TLS-Session Genoptagelse via pre-shared keys (PSKs).
De to første er kompatibel med ældre TLS-1.2-protokollen, mens den tredje mekanisme, udviklet for nyere og for nylig-godkendt TLS-1,3 standard. I alle tre tilfælde, server ejerne har frihed til at indstille levetid serveren husker en bruger-session.
I en videnskabelig artikel, der offentliggøres i begyndelsen af September, fire forskere fra Universitetet i Hamburg, Tyskland, har vist, at online reklame firmaer kan misbrug TLS-Session Genoptagelse mekanisme til at spore brugere, som de navigerer rundt på internettet.
Konceptet er enkelt. Hvis en online-annoncering firmaet indlæser annoncer via en TLS (HTTPS) server, så det kan gøre det muligt TLS-Session Genoptagelse for den pågældende server.
Når en bruger adgang til En Hjemmeside, der viser annoncer og reklame firma, der indføres også en TLS-session med reklame firma ‘ s server. Når brugeren besøger Hjemmesiden B med annoncer fra den samme virksomhed, i stedet for at forhandle en anden TLS-session, bruger genoptager de eksisterende, så den reklame firma med at spore brugeren, mens han bevæger sig på tværs af websteder.
Sy et al.
Forskerholdet, der siger, at det testet, hvor både hjemmesider og browsere beskæftige sig med TLS-Session Genoptagelse af indstillinger.
En gennemgang af 45 stationære og mobile browsere afsløret, at sporing af brugere er muligt på 38 browsere.
Tre af de syv browsere ikke understøtter TLS-Session Genoptagelse, til at begynde med –Tor Browser (desktop), JonDoBrowser (desktop), og Orbot (Android).
De fire andre browsere kom med standard konfigurationer, der blokerede TLS-Session Genoptagelse tracking via tredjeparts-domæner, selv om de støttede TLS-Session Genoptagelse for de vigtigste domæne (hjemmeside, der åbnes) –360 Sikkerhed Browser (desktop), Konqueror (desktop), Microsoft Kant (desktop), og Spyd (desktop).
Sy et al.
“Vores resultater viser, at tredje-parts tracking via TLS-session genoptagelse er muligt for det store flertal af de undersøgte populære browsere. Men vores resultater […] angiver session genoptagelse levetid er begrænset i de fleste af de undersøgte browsere,” siger forskerne. Ved begrænset, forskerholdet henviser til det faktum, at langt de fleste browsere klart, TLS information om session efter en time.
Forskere mener, at browseren beslutningstagere ikke er klar over dette mulige bruger-tracking teknik, ellers ville de har kortere TLS-session genoptagelse gange.
Så i forhold til, hvem der bruger TLS-Session Genoptagelse tracking, forskerne ikke var i stand til at give et endegyldigt svar, men de gjorde påpege, at både Google og Facebook, som er to af verdens største reklame virksomheder, der anvendes unormalt store TLS-Session Genoptagelse af levetiden på 28 timer og 48 timer.
Forskerne fandt, at 80% af Alexa Top 1 Million websteder, der anvendes TLS ansat en TLS-Session Genoptagelse levetid på 10 minutter eller mindre.
Alt i alt, tracking via TLS-Session Genoptagelse identifikatorer, der ikke synes at være en udbredt praksis, men det kan også være fordi, at TLS vedtagelse er først for nylig gået op blandt internet-brugere.
Som TLS bliver mere tilgængelige teknologi til at køre hjemmesider, reklame firmaer, forventes også at udforske og selv gennemføre denne teknik i fremtiden, hvis de ikke gør det allerede.
For at forhindre denne teknik bliver en mainstream tracking metode, den tyske forskning team anbefaler, at browseren leverandører deaktivere TLS-Session Genoptagelse for tredjeparts-domæner, og kun gøre det muligt for de vigtigste domæne, den ene med adgang via browseren direkte. På denne måde, annoncer, der leveres via HTTPS bliver nødt til at forhandle sig frem til en unik TLS-session, hver gang de er lagt inde i en brugers browser, uanset hvilket domæne de bliver vist på.
Flere tekniske oplysninger er tilgængelige i forskning team ‘ s hvidbog med titlen “Sporing af Brugere på Nettet via TLS-Session Genoptagelse,” som kan downloades fra her eller her.
Mere browser dækning:
Google Chrome Billede-i-Billede-støtte er nu live for desktop-brugere
Mozilla annoncerer ProtonVPN partnerskab i et forsøg på at diversificere indtægter streamChrome 70 udgivet med reviderede Google-konto, login-systemChrome, Edge, IE, Firefox og Safari for at deaktivere TLS 1.0 og TLS 1.1 i 2020Version 2.0 bringer Vivaldi web-browser, indbygget med den konkurrence, TechRepublicProof-of-concept kode, der offentliggøres for Microsoft Kant fjernkørsel af programkode fejlMozilla Firefox giver Fokus til en browser-hjerne transplantation på Android CNETFirefox vil være i stand til at vise meddelelser inde i Windows-10 Action Center
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0