長(zhǎng)期以來(lái)，那些將隱私看得比天大的人一直在大聲疾呼，他們認(rèn)為各種形式的網(wǎng)絡(luò)跟蹤都會(huì)帶來(lái)巨大風(fēng)險(xiǎn)，其中就包括   cookies，網(wǎng)絡(luò)信標(biāo)和各種指紋識(shí)別的形式。

意識(shí)到這個(gè)問(wèn)題確實(shí)能幫上不少忙。最近，對(duì)隱私問(wèn)題極端敏感的蘋(píng)果就在 macOS Mojave 和 iOS 12 上發(fā)布了升級(jí)版的 Safari 追蹤保護(hù)。在此之前，火狐也力推過(guò)一款名為 Facebook Container 的反追蹤擴(kuò)展。此外，像 Brave 和 Tor Browser   這樣的瀏覽器也在繼續(xù)提供涉及更廣泛的隱私功能。

一直以來(lái)，隱私危機(jī)都與網(wǎng)絡(luò)追蹤逃不開(kāi)關(guān)系。不過(guò)，德國(guó)漢堡大學(xué)的研究人員最近才發(fā)現(xiàn)，原來(lái)不懷好意的人還能通過(guò)另一種機(jī)制在網(wǎng)絡(luò)上跟蹤他人。

本周，ArXiv 上的一片論文就講到了這個(gè)問(wèn)題。計(jì)算機(jī)科學(xué)家 Erik Sy，  Hannes Federrath  ，Christian Burkert   和 Mathias Fischer 在論文中描述了一種跟蹤技術(shù)，其中就包括 TLS 會(huì)話重用。

棘手的 " 談判 "

TLS（就是 SSL 的早期化身）其實(shí)本應(yīng)該被大眾所熟知，因?yàn)樽鳛榧用軈f(xié)議，它用于在客戶端和服務(wù)器之間傳輸時(shí)保護(hù) web 通信。TLS 最新版本為 1.3。

訪問(wèn) HTTPS 網(wǎng)站時(shí)就會(huì)建立 TLS 連接，其中包含了一些在網(wǎng)絡(luò)上進(jìn)行的協(xié)商 " 拉鋸戰(zhàn) "。因此，通過(guò)較少的 " 儀式 " 恢復(fù)以前建立會(huì)話的方式—— TLS 會(huì)話重用成了題中應(yīng)有之義。需要注意的是，技術(shù)在   TLS 1.3   和舊版本規(guī)范之間有所不同，通過(guò)預(yù)共享密鑰（PSK）解決的代表最新機(jī)制，而傳統(tǒng)方法涉及會(huì)話   ID   和會(huì)話 " 門(mén)票 "。

不過(guò)，這個(gè)問(wèn)題的關(guān)鍵是會(huì)話恢復(fù)依賴于 " 初始握手 " 期間傳遞給客戶端設(shè)備的標(biāo)識(shí)符，而類似會(huì)話 ID，會(huì)話 " 門(mén)票 " 或 PSK 等標(biāo)識(shí)符會(huì)保存在瀏覽器的 TIL 緩存中，因此黑客能像其他數(shù)字標(biāo)識(shí)符一樣對(duì)其進(jìn)行追蹤。

對(duì)于桌面瀏覽器用戶來(lái)說(shuō)這并不是個(gè)問(wèn)題，因?yàn)闉g覽器重啟相當(dāng)頻繁。不過(guò)，移動(dòng)設(shè)備卻成了重災(zāi)區(qū)。

情況可能會(huì)更糟

研究人員發(fā)現(xiàn)，TLS 會(huì)話 " 門(mén)票 " 授權(quán)的網(wǎng)站在 Alexa 榜單中占據(jù)了 80%。他們強(qiáng)調(diào)稱，F(xiàn)acebook 和谷歌的廣告較多，因此會(huì)話重用 " 門(mén)票 " 的使用期比其他網(wǎng)站都長(zhǎng)。Facebook 更是給使用期做了個(gè) 48 小時(shí)的設(shè)定，這已經(jīng)高于 99.99% 的會(huì)話門(mén)票了。即使谷歌的只有 28%，依然擊敗了 97.13 的對(duì)手（Alexa 排名前一百萬(wàn)的網(wǎng)站）。

不過(guò)，即使會(huì)話重用 " 門(mén)票 " 過(guò)期了，也不意味著黑客不能對(duì)用戶進(jìn)行追蹤。

如果有客戶試圖恢復(fù)一個(gè)會(huì)話，它就會(huì)將其 TLS 會(huì)話恢復(fù)標(biāo)識(shí)符發(fā)送到服務(wù)器，而不管會(huì)話是否恢復(fù)或拒絕。研究人員發(fā)現(xiàn)，網(wǎng)站可以在用戶每次訪問(wèn)時(shí)分派一個(gè)全新的會(huì)話標(biāo)識(shí)符，隨后在會(huì)話重用使用期內(nèi)對(duì)用戶進(jìn)行無(wú)限追蹤。

難道問(wèn)題無(wú)解嗎？

有趣的是，大部分網(wǎng)絡(luò)瀏覽器的默認(rèn)設(shè)置都能降低用戶被追蹤的風(fēng)險(xiǎn)。研究人員對(duì) 45 個(gè)瀏覽器進(jìn)行了調(diào)查，其中三分之二的使用期都不超過(guò) 60 分鐘。不過(guò)，即使是這樣，黑客在大部分瀏覽器上也能輕松追蹤用戶一周時(shí)間。

最終，研究人員推薦了三個(gè)對(duì)隱私保護(hù)較為在行的瀏覽器，它們分別是 JonDoBrowser，Orbot 和 Tor Browser，因?yàn)樗鼈兏揪筒恢С謺?huì)話重用。在研究人員看來(lái)，將 TLS 1.3 中的使用期調(diào)整到 10 分鐘是降低風(fēng)險(xiǎn)的最佳方案。當(dāng)然，徹底禁止 TLS 會(huì)話重用是最治本的方案。

【來(lái)源：雷鋒網(wǎng)】