Zero
Accademici in un articolo pubblicato il mese scorso ha gettato nuova luce su un nuovo utente tecnica di monitoraggio che approfitta di un legittimo meccanismo associato con il TLS (Transport Layer Security) protocollo -la spina dorsale della moderna connessioni HTTPS.
Abusato di TLS meccanismo è chiamato Sessione TLS Ripresa (RFC 8447), un meccanismo che è stato creato a metà degli anni 2000 per consentire TLS server di ricordare il passato di sessioni utente ed evitare sprechi di risorse del server da ri-negoziazione di una connessione TLS con un ritorno dell’utente.
Attualmente ci sono tre modi diversi server possono optare per l’utilizzo e il supporto TLS Sessione di Ripresa. C’è Sessione TLS Ripresa tramite l’Id di sessione, c’è Sessione TLS Ripresa tramite ticket di sessione, e c’è una Sessione TLS Ripresa tramite pre-shared keys (PSKs).
I primi due sono compatibili con il vecchio protocollo TLS 1.2, mentre il terzo meccanismo è stato sviluppato per le più recenti e, di recente approvata, TLS 1.3 standard. In tutti e tre i casi, i proprietari dei server hanno la libertà di impostare la durata della vita il server si ricorda di una sessione utente.
In un documento di ricerca pubblicato all’inizio di settembre, quattro ricercatori dell’Università di Amburgo, in Germania, hanno rivelato che la pubblicità online, le imprese possono abusare della Sessione TLS Ripresa meccanismo per monitorare gli utenti durante la navigazione web.
Il concetto è semplice. Se una ditta di pubblicità carichi annunci via TLS (HTTPS) server, quindi è possibile attivare la Sessione TLS Ripresa per il server.
Quando un utente di accedere a Un Sito web mostrando annunci di una ditta di pubblicità, inoltre, stabilisce una sessione TLS con la ditta di pubblicità del server. Quando l’utente visita il Sito web di B con gli annunci della stessa ditta, invece di negoziare un’altra sessione TLS, l’utente riprende quello già esistente, consentendo la ditta di pubblicità per tracciare l’utente come si muove tra i siti.
Sy et al.
Il gruppo di ricerca dice che testate come entrambi i siti web e i browser affrontare Sessione TLS impostazioni di ripristino.
Una recensione di 45 desktop e mobile browser, ha rivelato che il tracciamento degli utenti è possibile su 38 browser.
Tre dei sette browser non supporta TLS Sessione di Ripresa, per cominciare –Tor Browser (desktop), JonDoBrowser (desktop), e Orbot (Android).
Gli altri quattro browser è venuto con le configurazioni di default che ha bloccato la Sessione TLS Ripresa il monitoraggio tramite domini di terze parti, anche se hanno sostenuto la Sessione TLS Ripresa per il dominio principale (il sito web a cui si accede) –360 di Sicurezza del Browser (desktop), Konqueror (desktop), Microsoft Bordo (desktop), e Sleipnir (desktop).
Sy et al.
“I nostri risultati mostrano, che di monitoraggio di terze parti tramite TLS sessione di ripresa è fattibile per la maggior parte degli indagati browser più diffusi. Tuttavia, i nostri risultati […] indicare la sessione di ripresa di vita è limitata all’interno della maggioranza di indagato browser”, hanno detto i ricercatori. Da limitata, il team di ricerca è in riferimento al fatto che la stragrande maggioranza dei browser chiaro sessione TLS informazioni dopo un’ora.
I ricercatori ritengono che i produttori di browser non sono a conoscenza di questo possibile per il tracciamento degli utenti tecnica, altrimenti, non avrebbero più breve sessione TLS ripresa tempi.
Come riferimento a chi utilizza la Sessione TLS Ripresa di monitoraggio, i ricercatori non sono stati in grado di dare una risposta definitiva, ma l’hanno fatto notare che Google e Facebook, due delle più grandi imprese di pubblicità, utilizzato in modo anomalo grande Sessione TLS Ripresa durata della vita è di 28 ore e 48 ore, rispettivamente.
I ricercatori hanno trovato che l ‘ 80% di Alexa Top 1 Milione di siti che hanno utilizzato TLS impiegato una Sessione TLS Ripresa durata di 10 minuti o più piccolo.
Tutto in tutti, tracking tramite TLS Sessione di Ripresa identificatori non sembra essere una pratica diffusa, ma questo potrebbe anche essere dovuto al fatto che il protocollo TLS adozione solo recentemente è salito tra gli utenti di internet.
Come TLS diventa più accessibile la tecnologia per l’esecuzione di siti web, pubblicità aziende è previsto per esplorare e anche l’implementazione di questa tecnica in futuro, se non sta facendo così già.
Per evitare questa tecnica di diventando il più diffuso metodo di verifica, il tedesco del team di ricerca raccomanda che i produttori di browser disattivare la Sessione TLS Ripresa per domini di terze parti, e che solo per il dominio principale, uno a cui si accede tramite il browser direttamente. In questo modo, annunci inviati tramite HTTPS dovrà negoziare un unica sessione TLS ogni volta che vengono caricati all’interno del browser di un utente, a prescindere dal dominio vengono mostrati sul.
Maggiori dettagli tecnici sono disponibili nel team di ricerca white paper intitolato “il Tracciamento degli Utenti attraverso il Web tramite TLS Sessione di Ripresa”, disponibile per il download da qui o qui.
Più browser copertura:
Google Chrome Picture-in-Picture supporto è ora live per gli utenti desktop
Mozilla annuncia ProtonVPN di partenariato nel tentativo di diversificare il flusso di entrateChrome 70 rilasciato con rinnovato account Google per il sistema di loginChrome, Edge, IE, Firefox e Safari, per disattivare TLS TLS 1.0 e 1.1, nel 2020la Versione 2.0 porta Vivaldi browser web in linea con la concorrenza TechRepublicProof-of-concept code pubblicato per Microsoft Bordo di esecuzione di codice remoto bugdi Mozilla dà Firefox messa a Fuoco di un browser trapianto di cervello su Android CNETFirefox sarà in grado di mostrare le notifiche all’interno di Windows 10 Centro di Azione
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0