Noll
En akademisk uppsats som publicerades förra månaden har kastat nytt ljus på en ny användare spårning teknik som tar fördel av en legitim mekanism i samband med TLS (Transport Layer Security) protokoll som utgör stommen i moderna HTTPS-anslutningar.
De misshandlade TLS mekanism kallas TLS-Session Återupptagande (RFC 8447), en mekanism som skapades i mitten av 2000-talet för att tillåta TLS-servrar för att komma ihåg tidigare användarens sessioner och undvika att slösa bort resurser på servern genom att förhandla fram en TLS-anslutning med en återkommande användare.
För närvarande finns det tre olika sätt att servrar kan välja att använda och har stöd för TLS-Session Återupptagande. Det är TLS-Session Återupptagande via sessions-Id: n, det är TLS-Session Återupptagande via session biljetter, och det är TLS-Session Återupptagande via pre-shared keys (PSKs).
De två första är kompatibla med äldre TLS 1.2 protokoll, medan den tredje mekanism har utvecklats för de nyare och nyligen godkänd TLS 1.3 standard. I alla tre fallen, ägare server har frihet att ställa livslängd servern minns en användares session.
I en forskningsrapport som publicerades i början av September, fyra forskare från Universitetet i Hamburg, Tyskland, har visat att online reklam företag kan missbruka den TLS-Session Återupptagande mekanism för att spåra användare när de navigerar på webben.
Konceptet är enkelt. Om ett online reklam massor av annonser via en TLS (HTTPS) server, då kan det aktivera TLS-Session Återupptagande för att servern.
När en användare åt En Webbplats som visar annonser från reklam, det leder också till en TLS-session med reklam företagets server. När användaren besöker Webbplatsen B med annonser från samma företag, i stället för att förhandla om en annan TLS-session, användaren återupptar den befintliga, så att den reklambyrå för att spåra användare som han rör sig över webbplatser.
Sy et al.
Den forskargrupp säger att det testas hur både webbplatser och webbläsare itu med TLS-Session Återuppta inställningar.
En översyn av 45 stationära och mobila webbläsare visade att spåra användare är möjligt på 38 webbläsare.
Tre av de sju webbläsare inte har stöd för TLS-Session Återupptagande, till att börja med –Tor Browser (desktop), JonDoBrowser (skrivbordet), och Orbot (Android).
De andra fyra webbläsare kom med standardkonfigurationer som blockerade TLS-Session Återupptagande spårning via tredje part domäner, även om de stödde TLS-Session Återupptagande för den huvudsakliga domän (hemsida som nås) –360 Säkerhet Webbläsare (desktop), Konqueror (desktop), Microsoft Kant (skrivbordet), och Sleipnir (desktop).
Sy et al.
“Våra resultat visar att tredje part för att spåra via TLS-session återupptagande är möjligt för den stora majoriteten av undersökta populära webbläsare. Men våra resultat […] indikerar att sessionen återupptagande livstid är begränsad inom de flesta undersökta webbläsare,” forskarna säger. Genom begränsade, forskargruppen är att hänvisa till det faktum att de allra flesta webbläsare klart TLS-session information efter en timme.
Forskare tror att webbläsaren beslutsfattare inte är medvetna om detta möjligt user tracking-metoden, annars skulle de har kortare TLS-session återupptagande gånger.
Som när det gäller vem som använder TLS-Session Återuppta spårningen, forskare var inte i stånd att ge ett slutgiltigt svar, men de gjorde påpeka att både Google och Facebook, två av världens största företag reklam, som används onormalt stora TLS-Session Återupptagande livslängd 28 timmar och 48 timmar, respektive.
Forskarna fann att 80% av Alexa Top 1 Miljon webbplatser som används TLS anställd en TLS-Session Återupptagande livslängd på 10 minuter eller mindre.
Allt som allt, spårning via TLS-Session Återupptagande identifierare verkar inte vara en utbredd praxis, men det kan också vara för att TLS antagande har nyligen gått upp bland internet-användare.
Som TLS blir en mer tillgänglig teknik för att köra webbplatser, reklam företag förväntas också att utforska och implementera denna teknik i framtiden, om de inte gör det redan.
För att förhindra denna teknik från att bli en mainstream-tracking-metoden, den tyska forskargruppen rekommenderar att webbläsaren leverantörer för att inaktivera TLS-Session Återupptagande för tredje part domäner, och endast tillåta det för den huvudsakliga domän, den nås via webbläsaren direkt. På detta sätt, annonser levererade via HTTPS kommer att förhandla fram en unik TLS-session varje gång, de är laddade inne i en användarens webbläsare, oavsett vilken domän de ska visas på.
Mer teknisk information finns i forskargruppen vitbok med titeln “att Spåra Användare på Webben via TLS-Session Återupptagande,” tillgängliga för att ladda ner här eller här.
Mer webbläsare täckning:
Google Chrome Bild-i-Bild-stöd är nu live för desktop-användare
Mozilla meddelar ProtonVPN partnerskap i ett försök att diversifiera intäkterChrome 70 släpps med förnyade Google-konto för att logga in systemetChrome, Edge, IE, Firefox och Safari för att inaktivera TLS 1.0 och TLS 1.1 år 2020Version 2.0 ger Vivaldi webbläsare inline med tävlingen TechRepublicProof-of-concept kod publicerad för Microsoft Kanten fjärrkörning av kod buggMozilla ger Firefox Fokus en webbläsare hjärnan transplantation på Android CNETFirefox kommer att kunna visa meddelanden inne i Windows 10 Action Center
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0