信息來源:cnBeta
你以為禁用瀏覽器 Cookie 就能避免被網(wǎng)站追蹤嗎?倡導(dǎo)將 Cookie 追蹤選擇權(quán)還給用戶的說法����,可能只是煙霧彈,實(shí)際上仍能使用最新 TLS 1.3 傳輸層安全協(xié)議追蹤用戶����。目前網(wǎng)站追蹤用戶的手段,比較流行的仍然是 Cookie 或通過網(wǎng)頁瀏覽器特征進(jìn)行辨識����,而較少受到關(guān)注的技術(shù)是基于傳輸層安全協(xié)議(Transport Layer Security,TLS)的用戶跟蹤����。
特別是使用 TLS 對話恢復(fù)(TLS Session Resumption)機(jī)制,而漢堡大學(xué)研究員率先對 TLS 對話恢復(fù)機(jī)制的適用性進(jìn)行了研究����。
由于隱私瀏覽器技術(shù)的日漸成熟,網(wǎng)站越來越無法通過 Cookie 和網(wǎng)頁瀏覽器特征來追蹤用戶����,但道高一尺魔高一丈,現(xiàn)在這些網(wǎng)站會(huì)用 TLS 1.3 中的 TLS 對話恢復(fù)機(jī)制追蹤用戶����。
包括 Facebook 以及 Google 在內(nèi)的等公司,過去都會(huì)使用 HTTP Cookie 以及網(wǎng)頁瀏覽器特征追蹤用戶����,但隨著用戶越來越注意保護(hù)自己的隱私,更多的人開始使用強(qiáng)化隱私的瀏覽器����,以隱私模式或是擴(kuò)展來限制網(wǎng)頁追蹤����,這使得上述兩項(xiàng)技術(shù)幾乎失靈����。另外,通過 IP 位置追蹤用戶也受到限制����,因?yàn)橛脩粲锌赡芤?NAT 共享公共 IP 地址,而且網(wǎng)站也無法跨過不同的網(wǎng)絡(luò)追蹤裝置����。
網(wǎng)站開始把追蹤主意打到最新的TLS 1.3協(xié)定上,追蹤技術(shù)開始轉(zhuǎn)向使用TLS對話恢復(fù)機(jī)制.TLS對話恢復(fù)機(jī)制允許網(wǎng)站利用早前的TLS對話中交換的密鑰����,來縮減TLS握手程序,而這也開啟了讓網(wǎng)站可以鏈結(jié)兩個(gè)對話的可能性����。由于重新啟動(dòng)瀏覽器會(huì)順便清空快取,所以這個(gè)方法僅在瀏覽器未重新啟動(dòng)的情況下����,網(wǎng)站才能透過TLS對話恢復(fù)進(jìn)行連續(xù)用戶追蹤����。但是這個(gè)使用習(xí)慣在行動(dòng)裝置完全不同����,行動(dòng)裝置使用者鮮少重新開啟瀏覽器����。
網(wǎng)站于是開始把目光瞄向了最新的 TLS 1.3 協(xié)議上,它們的追蹤技術(shù)開始轉(zhuǎn)向使用 TLS 對話恢復(fù)機(jī)制����。TLS 對話恢復(fù)機(jī)制允許網(wǎng)站利用早前的 TLS 對話中交換的密鑰,來縮減 TLS 握手程序����,而這也開啟了讓網(wǎng)站可以鏈接兩個(gè)對話的可能性。由于重啟瀏覽器會(huì)順便清空緩存����,所以這個(gè)方法僅在瀏覽器未重啟的情況下,網(wǎng)站才能通過 TLS 對話恢復(fù)進(jìn)行連續(xù)的用戶追蹤����。但是這個(gè)使用習(xí)慣在移動(dòng)設(shè)備上完全不同����,移動(dòng)設(shè)備用戶很少重啟瀏覽器����。
漢堡大學(xué)研究員系統(tǒng)性地研究了 48 種熱門瀏覽器以及 Alexa 前百萬熱門網(wǎng)站的配置,以評估這些追蹤機(jī)制的實(shí)際配置以及用戶追蹤可持續(xù)時(shí)間����。研究人員使用了延長攻擊(Prolongation Attack),延長追蹤周期至超過 TLS 對話恢復(fù)的生命周期����,接著根據(jù)額外的 DNS 數(shù)據(jù),分析延長攻擊對于追蹤時(shí)間的影響����,以及可永久追蹤的用戶比例,最終導(dǎo)出用戶的瀏覽行為����。
研究顯示,即便標(biāo)準(zhǔn)瀏覽器將 TLS 對話恢復(fù)生命周期設(shè)置為僅維持一天����,用戶仍可以被追蹤長達(dá)8天之久����,TLS 1.3 草稿版本建議 TLS 對話恢復(fù)生命周期為7天上限����,研究人員通過 Alexa 資料集中的至少一個(gè)網(wǎng)站,便可永久追蹤實(shí)驗(yàn)中的 65% 用戶����。
研究人員也觀察到����,Alexa 前百萬熱門網(wǎng)站中,有超過 80% 的 TLS 對話恢復(fù)生命周期都在 10 分鐘以下����,但是大約 10% 的網(wǎng)站使用大于24小時(shí)的周期設(shè)定,特別是廣告商 —— Google 的 TLS 對話生命周期達(dá)28小時(shí)����,而 Facebook 對話恢復(fù)生命周期的設(shè)定更是高達(dá)48小時(shí),在 Alexa 前百萬熱門網(wǎng)站中位于 99.99 百分位數(shù)之上����。
漢堡大學(xué)研究員指出����,要防止網(wǎng)站通過 TLS 對話恢復(fù)追蹤用戶����,需要修改 TLS 標(biāo)準(zhǔn)和常見瀏覽器的配置,而目前最有效的方式就是完全禁用 TLS 對話恢復(fù)功能����。
