广告商可以通过TLS会话恢复来跟踪互联网上的用户

2020-01-05 11:44:34 来源: INeng财经

上个月发表的一篇学术论文揭示了一种新的用户跟踪技术,该技术利用了与TLS(传输层安全)协议相关的合法机制-现代HT TPS连接的主干。

滥用的TLS机制被称为TLS会话恢复(R FC8447),这种机制是在2000年代中期创建的,目的是允许TLS服务器记住过去的用户会话,并通过与返回的用户重新协商TLS连接来避免浪费服务器资源。

目前有三种不同的方式,服务器可以选择使用和支持TLS会话恢复。有TLS会话恢复通过会话ID,有TLS会话恢复通过会话票证,有TLS会话恢复通过预共享键(PSK)。

前两个与较旧的TLS1.2协议兼容,而第三个机制是为较新的和最近批准的TLS1.3标准开发的。在所有三种情况下,服务器所有者都有权设置服务器记住用户会话的寿命。

德国汉堡大学的4名研究人员在9月初发表的一篇研究论文中透露,在线广告公司可以滥用TLS Session Resumption机制,在用户浏览网页时跟踪用户。

这个概念很简单。如果在线广告公司通过TLS(HT TPS)服务器加载广告,那么它可以为该服务器启用TLS会话恢复。

当用户访问网站A显示广告公司的广告时,它还与广告公司的服务器建立TLS会话。当用户使用来自同一公司的广告访问网站B时,用户不再谈判另一个TLS会话,而是恢复现有的会话,允许广告公司在用户跨网站移动时跟踪用户。

研究小组说,他们测试了网站和浏览器如何处理TLS会话恢复设置。

对45个桌面和移动浏览器的审查显示,可以在38个浏览器上跟踪用户。

七个浏览器中有三个不支持TLS会话恢复,首先是TorBrowser(桌面)、JonDobrowser(桌面)和Orbot(Android)。

其他四种浏览器的默认配置阻止了TLS会话通过第三方域恢复跟踪,尽管它们支持主域(正在访问的网站)的TLS会话恢复-360安全浏览器(桌面)、Konqueror(桌面)、Micros of tEdge(桌面)和Sleipnir(桌面)。

“我们的结果表明,通过TLS会话恢复第三方跟踪对于大多数被调查的流行浏览器是可行的。然而,我们的结果[.]表明,在大多数被调查的浏览器中,会话恢复寿命是有限的,“研究人员说。受限制,研究团队指的是绝大多数浏览器在一小时后清除TLS会话信息。

研究人员认为,浏览器制造商不知道这种可能的用户跟踪技术,否则,他们将具有较短的TLS会话恢复时间。

至于谁在使用TLS Session Resumption追踪,研究人员无法给出结论性的答案,但他们确实指出,谷歌和Face book这两家全球最大的广告公司都使用了异常大的TLS Session Resumption寿命,分别为28小时和48小时。

研究人员发现,在使用TLS的Alexa前100万网站中,80%使用TLS会话恢复寿命为10分钟或更短。

总之,通过TLS会话恢复标识符跟踪似乎并不是一种普遍的做法,但这也可能是因为TLS的采用最近才在互联网用户中兴起。

随着TLS成为运营网站更容易获得的技术,广告公司也有望在未来探索甚至实施这一技术,如果他们还没有这样做的话。

为了防止这种技术成为主流的跟踪方法,德国研究团队建议浏览器供应商禁用第三方域的TLS Session Resumption,并且只允许它用于主域,即通过浏览器直接访问的域。这样,通过HTTPS传递的广告将不得不协商一个独特的TLS会话,每次它们都被加载到用户的浏览器中,而不管它们显示在哪个域上。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。