信息來(lái)源:cnBeta
你以為禁用瀏覽器 Cookie 就能避免被網(wǎng)站追蹤嗎�?倡導(dǎo)將 Cookie 追蹤選擇權(quán)還給用戶的說(shuō)法,可能只是煙霧彈,實(shí)際上仍能使用最新 TLS 1.3 傳輸層安全協(xié)議追蹤用戶�。目前網(wǎng)站追蹤用戶的手段�����,比較流行的仍然是 Cookie 或通過(guò)網(wǎng)頁(yè)瀏覽器特征進(jìn)行辨識(shí)���,而較少受到關(guān)注的技術(shù)是基于傳輸層安全協(xié)議(Transport Layer Security����,TLS)的用戶跟蹤��。
特別是使用 TLS 對(duì)話恢復(fù)(TLS Session Resumption)機(jī)制����,而漢堡大學(xué)研究員率先對(duì) TLS 對(duì)話恢復(fù)機(jī)制的適用性進(jìn)行了研究。
由于隱私瀏覽器技術(shù)的日漸成熟���,網(wǎng)站越來(lái)越無(wú)法通過(guò) Cookie 和網(wǎng)頁(yè)瀏覽器特征來(lái)追蹤用戶��,但道高一尺魔高一丈��,現(xiàn)在這些網(wǎng)站會(huì)用 TLS 1.3 中的 TLS 對(duì)話恢復(fù)機(jī)制追蹤用戶�。
包括 Facebook 以及 Google 在內(nèi)的等公司�����,過(guò)去都會(huì)使用 HTTP Cookie 以及網(wǎng)頁(yè)瀏覽器特征追蹤用戶�,但隨著用戶越來(lái)越注意保護(hù)自己的隱私,更多的人開(kāi)始使用強(qiáng)化隱私的瀏覽器����,以隱私模式或是擴(kuò)展來(lái)限制網(wǎng)頁(yè)追蹤,這使得上述兩項(xiàng)技術(shù)幾乎失靈����。另外�,通過(guò) IP 位置追蹤用戶也受到限制����,因?yàn)橛脩粲锌赡芤?NAT 共享公共 IP 地址,而且網(wǎng)站也無(wú)法跨過(guò)不同的網(wǎng)絡(luò)追蹤裝置���。
網(wǎng)站開(kāi)始把追蹤主意打到最新的TLS 1.3協(xié)定上����,追蹤技術(shù)開(kāi)始轉(zhuǎn)向使用TLS對(duì)話恢復(fù)機(jī)制.TLS對(duì)話恢復(fù)機(jī)制允許網(wǎng)站利用早前的TLS對(duì)話中交換的密鑰�,來(lái)縮減TLS握手程序,而這也開(kāi)啟了讓網(wǎng)站可以鏈結(jié)兩個(gè)對(duì)話的可能性��。由于重新啟動(dòng)瀏覽器會(huì)順便清空快取���,所以這個(gè)方法僅在瀏覽器未重新啟動(dòng)的情況下����,網(wǎng)站才能透過(guò)TLS對(duì)話恢復(fù)進(jìn)行連續(xù)用戶追蹤�����。但是這個(gè)使用習(xí)慣在行動(dòng)裝置完全不同,行動(dòng)裝置使用者鮮少重新開(kāi)啟瀏覽器����。
網(wǎng)站于是開(kāi)始把目光瞄向了最新的 TLS 1.3 協(xié)議上���,它們的追蹤技術(shù)開(kāi)始轉(zhuǎn)向使用 TLS 對(duì)話恢復(fù)機(jī)制�����。TLS 對(duì)話恢復(fù)機(jī)制允許網(wǎng)站利用早前的 TLS 對(duì)話中交換的密鑰��,來(lái)縮減 TLS 握手程序�,而這也開(kāi)啟了讓網(wǎng)站可以鏈接兩個(gè)對(duì)話的可能性�����。由于重啟瀏覽器會(huì)順便清空緩存�,所以這個(gè)方法僅在瀏覽器未重啟的情況下,網(wǎng)站才能通過(guò) TLS 對(duì)話恢復(fù)進(jìn)行連續(xù)的用戶追蹤�����。但是這個(gè)使用習(xí)慣在移動(dòng)設(shè)備上完全不同,移動(dòng)設(shè)備用戶很少重啟瀏覽器���。
漢堡大學(xué)研究員系統(tǒng)性地研究了 48 種熱門瀏覽器以及 Alexa 前百萬(wàn)熱門網(wǎng)站的配置���,以評(píng)估這些追蹤機(jī)制的實(shí)際配置以及用戶追蹤可持續(xù)時(shí)間。研究人員使用了延長(zhǎng)攻擊(Prolongation Attack)�����,延長(zhǎng)追蹤周期至超過(guò) TLS 對(duì)話恢復(fù)的生命周期��,接著根據(jù)額外的 DNS 數(shù)據(jù)��,分析延長(zhǎng)攻擊對(duì)于追蹤時(shí)間的影響����,以及可永久追蹤的用戶比例,最終導(dǎo)出用戶的瀏覽行為����。
研究顯示,即便標(biāo)準(zhǔn)瀏覽器將 TLS 對(duì)話恢復(fù)生命周期設(shè)置為僅維持一天��,用戶仍可以被追蹤長(zhǎng)達(dá)8天之久�����,TLS 1.3 草稿版本建議 TLS 對(duì)話恢復(fù)生命周期為7天上限,研究人員通過(guò) Alexa 資料集中的至少一個(gè)網(wǎng)站��,便可永久追蹤實(shí)驗(yàn)中的 65% 用戶����。
研究人員也觀察到��,Alexa 前百萬(wàn)熱門網(wǎng)站中�,有超過(guò) 80% 的 TLS 對(duì)話恢復(fù)生命周期都在 10 分鐘以下,但是大約 10% 的網(wǎng)站使用大于24小時(shí)的周期設(shè)定���,特別是廣告商 —— Google 的 TLS 對(duì)話生命周期達(dá)28小時(shí)��,而 Facebook 對(duì)話恢復(fù)生命周期的設(shè)定更是高達(dá)48小時(shí)�����,在 Alexa 前百萬(wàn)熱門網(wǎng)站中位于 99.99 百分位數(shù)之上��。
漢堡大學(xué)研究員指出���,要防止網(wǎng)站通過(guò) TLS 對(duì)話恢復(fù)追蹤用戶,需要修改 TLS 標(biāo)準(zhǔn)和常見(jiàn)瀏覽器的配置,而目前最有效的方式就是完全禁用 TLS 對(duì)話恢復(fù)功能����。
