上个月发表的一篇学术论文揭示了一种新的用户跟踪技术,该技术利用了与TLS(传输层安全)协议相关的法律机制——现代HT TPS连接的主干。
TLS机制的滥用被称为TLS会话恢复(R FC8447),它创建于2000年代中期,允许TLS服务器记住过去的用户会话,并通过与返回的用户重新协商TLS连接来避免浪费服务器资源。
目前有三种不同的方式,服务器可以选择使用和支持TLS会话恢复。有通过会话标识的TLS会话恢复、通过会话票证的TLS会话恢复和通过预共享密钥的TLS会话恢复(PSK)。
前两种机制与旧的TLS1.2协议兼容,而第三种机制是为新的和最近批准的TLS1.3标准开发的。在这三种情况下,服务器所有者都有权设置服务器的生存期来记住用户会话。
在9月初发表的一篇研究论文中,来自德国汉堡大学的四名研究人员透露,在线广告公司可以滥用TLS Session resume机制来跟踪浏览网页的用户。
这个概念很简单。如果在线广告公司通过顶级域名服务器加载广告,它可以为服务器启用顶级域名会话恢复。
当用户访问网站A显示广告公司的广告时,也与广告公司的服务器建立TLS会话。当用户使用同一公司的广告访问网站B时,用户不再协商另一个TLS会话,而是恢复现有会话,从而允许广告公司在用户跨网站移动时跟踪他。
研究团队表示,他们测试了网站和浏览器如何处理TLS会话恢复设置。
对45个桌面和移动浏览器的回顾显示,可以在38个浏览器上跟踪用户。
七款浏览器中有三款不支持TLS会话恢复,首先是TorBrowser(桌面)、JonDobrowser(桌面)和Orbot(安卓)。
其他四种浏览器的默认配置阻止通过第三方域恢复来跟踪TLS会话,尽管它们支持主域(正在访问的网站)-360安全浏览器(桌面)、Konqueror(桌面)、tEdge的Micros(桌面)和斯雷普尼尔(桌面)的TLS会话恢复。
“我们的结果表明,通过TLS会话恢复第三方跟踪对于大多数受调查的流行浏览器来说是可行的。然而,我们的结果[.]显示在大多数被调查的浏览器中,会话恢复寿命是有限的,”研究人员说。受限,研究团队意味着大多数浏览器在一小时后清除TLS会话信息。
研究人员认为,浏览器制造商不知道这种可能的用户跟踪技术,否则他们将有更短的TLS会话恢复时间。
至于是谁在使用TLS Session resume追踪,研究人员无法给出结论性答案,但他们确实指出,谷歌和Face book这两家全球最大的广告公司使用了异常长的TLS Session resume,分别为28小时和48小时。
研究人员发现,在Alexa排名前100万的使用TLS的网站中,80%的网站的恢复寿命在10分钟或更短。
总之,通过TLS会话恢复标识符跟踪似乎不是一种常见的做法,但也可能是因为TLS的采用最近才在互联网用户中出现。
随着TLS成为运营网站更容易获得的技术,广告公司也有望在未来探索甚至实施这项技术,如果他们还没有这样做的话。
为了防止这一技术成为主流的跟踪方式,德国研究团队建议浏览器供应商在第三方域禁用TLS Session resume,只允许在主域使用,即通过浏览器直接访问的域。这样,通过HTTPS发送的广告将必须协商一个唯一的TLS会话,并且每次它们被加载到用户的浏览器中时,无论它们显示在哪个域中。