没想到吧!竟有你绝对想不到的黑客追踪神技术

经久以来,那些将隐私看得比天大年夜的人不停在大年夜声疾呼,他们觉得各类形式的收集跟踪都邑带来伟大年夜风险,此中就包括 cookies,收集信标和各类指纹识别的形式。

意识到这个问题确凿能帮上不少忙。近来,对隐私问题极度敏感的苹果就在 macOS Mojave 和 iOS 12 上宣布了进级版的 Safari 追踪保护。在此之前,火狐也力推过一款名为 Facebook Container 的反追踪扩展。此外,像 Brave 和 Tor Browser 这样的浏览器也在继承供给涉及更广泛的隐私功能。

不停以来,隐私危急都与收集追踪逃不开关系。不过,德国汉堡大年夜学的钻研职员近来才发明,原本不怀美意的人还能经由过程另一种机制在收集上跟踪他人。

本周,ArXiv 上的一片论文就讲到了这个问题。谋略机科学家 Erik Sy, Hannes Federrath ,Christian Burkert 和 Mathias Fischer 在论文中描述了一种跟踪技巧,此中就包括 TLS 会话重用。

棘手的 ” 会商 “

[1] [2] [3]下一页

TLS(便是 SSL 的早期化身)着实本应该被大年夜众所熟知,由于作为加密协议,它用于在客户端和办事器之间传输时保护 web 通信。TLS 最新版本为 1.3。

造访 HTTPS 网站时就会建立 TLS 连接,此中包孕了一些在收集长进行的协商 ” 拉锯战 “。是以,经由过程较少的 ” 典礼 ” 规复曩昔建立会话的要领—— TLS 会话重用成了题中应有之义。必要留意的是,技巧在 TLS 1.3 和旧版本规范之间有所不合,经由过程预共享密钥(PSK)办理的代表最新机制,而传统措施涉及会话 ID 和会话 ” 门票 “。

不过,这个问题的关键是会话规复依附于 ” 初始握手 ” 时代通报给客户端设备的标识符,而类似会话 ID,会话 ” 门票 ” 或 PSK 等标识符会保存在浏览器的 TIL 缓存中,是以黑客能像其他数字标识符一样对其进行追踪。

对付桌面浏览器用户来说这并不是个问题,由于浏览看重启相称频繁。不过,移动设备却成了重灾区。

环境可能会更糟

钻研职员发明,TLS 会话 ” 门票 ” 授权的网站在 Alexa 榜单中盘踞了 80%。他们强调称,Facebook 和谷歌的广告较多,是以会话重用 ” 门票 ” 的应用期比其他网站都长。Facebook 更是给应用期做了个 48 小时的设定,这已经高于 99.99% 的会话门票了。纵然谷歌的只有 28%,依然击败了 97.13 的对手(Alexa 排名前一百万的网站)。

上一页[1] [2] [3]下一页

不过,纵然会话重用 ” 门票 ” 过时了,也不料味着黑客不能对用户进行追踪。

假如有客户试图规复一个会话,它就会将其 TLS 会话规复标识符发送到办事器,而不管会话是否规复或回绝。钻研职员发明,网站可以在用户每次造访时分派一个全新的会话标识符,随后在会话重用应用期内对用户进行无限追踪。

难道问题无解吗?

有趣的是,大年夜部分收集浏览器的默认设置都能低落用户被追踪的风险。钻研职员对 45 个浏览器进行了查询造访,此中三分之二的应用期都不跨越 60 分钟。不过,纵然是这样,黑客在大年夜部分浏览器上也能轻松追踪用户一周光阴。

终极,钻研职员保举了三个对隐私保护较为在行的浏览器,它们分手是 JonDoBrowser,Orbot 和 Tor Browser,由于它们根本就不支持会话重用。在钻研职员看来,将 TLS 1.3 中的应用期调剂到 10 分钟是低落风险的最佳规划。当然,彻底禁止 TLS 会话重用是最治本的规划。

上一页[1] [2] [3]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包