湖南新生活logo.png湖南新生活

湖南新生活
湖南新生活网24小时滚动报道湖南最新鲜的新闻、民生资讯及社会新闻。
湖南新生活

广告主可以通过TLS会话恢复跟踪互联网上的用户

上个月发表的一篇学术论文揭示了一种新的用户跟踪技术,该技术利用了与TLS(传输层安全)协议相关的法律机制——现代HT TPS连接的主干。

滥用TLS的机制被称为TLS会话恢复(R FC8447),它创建于2000年代中期,允许TLS服务器记住过去的用户会话,并通过与返回的用户重新协商TLS连接来避免浪费服务器资源。

目前有三种不同的方式,服务器可以选择使用和支持TLS会话恢复。有通过会话标识的TLS会话恢复、通过会话票证的TLS会话恢复和通过预共享密钥的TLS会话恢复(PSK)。

前两种机制与旧的TLS1.2协议兼容,而第三种机制是为新的和最近批准的TLS1.3标准开发的。在这三种情况下,服务器所有者都有权设置服务器的生存期来记住用户会话。

在9月初发表的一篇研究论文中,来自德国汉堡大学的四名研究人员透露,在线广告公司可以滥用TLS Session resume机制来跟踪浏览网页的用户。

这个概念很简单。如果在线广告公司通过顶级域名服务器加载广告,它可以为服务器启用顶级域名会话恢复。

当用户访问网站A显示广告公司的广告时,也与广告公司的服务器建立TLS会话。当用户使用来自同一公司的广告访问网站B时,用户不再协商另一个TLS会话,而是恢复现有会话,从而允许广告公司在用户跨网站移动时跟踪用户。

研究团队表示,他们测试了网站和浏览器如何处理TLS会话恢复设置。

对45个桌面和移动浏览器的回顾显示,可以在38个浏览器上跟踪用户。

七款浏览器中有三款不支持TLS会话恢复,第一款是TorBrowser(桌面)、JonDobrowser(桌面)和Orbot(安卓)。

其他四种浏览器的默认配置阻止通过第三方域追溯TLS会话,尽管它们支持主域(正在访问的网站)-360安全浏览器(桌面)、Konqueror(桌面)、tEdge的Micros(桌面)和斯雷普尼尔(桌面)的TLS会话恢复。

“我们的结果表明,通过TLS会话恢复第三方跟踪对于大多数受调查的流行浏览器来说是可行的。然而,我们的结果[。]显示在大多数被调查的浏览器中,会话恢复寿命是有限的,”研究人员说。受限,研究团队意味着大多数浏览器在一小时后清除TLS会话信息。

研究人员认为,浏览器制造商没有意识到这种可能的用户跟踪技术,否则,他们将有更短的TLS会话恢复时间。

至于谁在使用TLS Session resume追踪,研究人员无法给出结论性答案,但他们确实指出,全球最大的广告公司Google和Face book都使用了异常庞大的TLS Session resume生存期,分别为28小时和48小时。

研究人员发现,Alexa排名前100万的网站中有80%使用TLS,其会话恢复寿命为10分钟或更短。

总之,通过TLS会话恢复标识符跟踪似乎不是一种常见的做法,但也可能是因为TLS的采用最近才在互联网用户中兴起。

随着TLS成为一种更容易操作网站的技术,广告公司有望在未来探索甚至实施这项技术,如果他们还没有这样做的话。

为了防止这一技术成为主流的跟踪方式,德国研究团队建议浏览器厂商在第三方域禁用TLS Session resume,只允许在主域,即浏览器直接访问的域中使用。这样,通过HTTPS发送的广告将不得不协商一个唯一的TLS会话,并且每次它们被加载到用户的浏览器中时,无论它们显示在哪个域上。

相关推荐