長期以來，那些將隱私看得比天大的人一直在大聲疾呼，他們認(rèn)為各種形式的網(wǎng)絡(luò)跟蹤都會帶來巨大風(fēng)險，其中就包括   cookies，網(wǎng)絡(luò)信標(biāo)和各種指紋識別的形式。

意識到這個問題確實能幫上不少忙。最近，對隱私問題極端敏感的蘋果就在 macOS Mojave 和 iOS 12 上發(fā)布了升級版的 Safari 追蹤保護(hù)。在此之前，火狐也力推過一款名為 Facebook Container 的反追蹤擴(kuò)展。此外，像 Brave 和 Tor Browser   這樣的瀏覽器也在繼續(xù)提供涉及更廣泛的隱私功能。

一直以來，隱私危機(jī)都與網(wǎng)絡(luò)追蹤逃不開關(guān)系。不過，德國漢堡大學(xué)的研究人員最近才發(fā)現(xiàn)，原來不懷好意的人還能通過另一種機(jī)制在網(wǎng)絡(luò)上跟蹤他人。

本周，ArXiv 上的一片論文就講到了這個問題。計算機(jī)科學(xué)家 Erik Sy，  Hannes Federrath  ，Christian Burkert   和 Mathias Fischer 在論文中描述了一種跟蹤技術(shù)，其中就包括 TLS 會話重用。

棘手的 " 談判 "

TLS（就是 SSL 的早期化身）其實本應(yīng)該被大眾所熟知，因為作為加密協(xié)議，它用于在客戶端和服務(wù)器之間傳輸時保護(hù) web 通信。TLS 最新版本為 1.3。

訪問 HTTPS 網(wǎng)站時就會建立 TLS 連接，其中包含了一些在網(wǎng)絡(luò)上進(jìn)行的協(xié)商 " 拉鋸戰(zhàn) "。因此，通過較少的 " 儀式 " 恢復(fù)以前建立會話的方式—— TLS 會話重用成了題中應(yīng)有之義。需要注意的是，技術(shù)在   TLS 1.3   和舊版本規(guī)范之間有所不同，通過預(yù)共享密鑰（PSK）解決的代表最新機(jī)制，而傳統(tǒng)方法涉及會話   ID   和會話 " 門票 "。

不過，這個問題的關(guān)鍵是會話恢復(fù)依賴于 " 初始握手 " 期間傳遞給客戶端設(shè)備的標(biāo)識符，而類似會話 ID，會話 " 門票 " 或 PSK 等標(biāo)識符會保存在瀏覽器的 TIL 緩存中，因此黑客能像其他數(shù)字標(biāo)識符一樣對其進(jìn)行追蹤。

對于桌面瀏覽器用戶來說這并不是個問題，因為瀏覽器重啟相當(dāng)頻繁。不過，移動設(shè)備卻成了重災(zāi)區(qū)。

情況可能會更糟

研究人員發(fā)現(xiàn)，TLS 會話 " 門票 " 授權(quán)的網(wǎng)站在 Alexa 榜單中占據(jù)了 80%。他們強(qiáng)調(diào)稱，F(xiàn)acebook 和谷歌的廣告較多，因此會話重用 " 門票 " 的使用期比其他網(wǎng)站都長。Facebook 更是給使用期做了個 48 小時的設(shè)定，這已經(jīng)高于 99.99% 的會話門票了。即使谷歌的只有 28%，依然擊敗了 97.13 的對手（Alexa 排名前一百萬的網(wǎng)站）。

不過，即使會話重用 " 門票 " 過期了，也不意味著黑客不能對用戶進(jìn)行追蹤。

如果有客戶試圖恢復(fù)一個會話，它就會將其 TLS 會話恢復(fù)標(biāo)識符發(fā)送到服務(wù)器，而不管會話是否恢復(fù)或拒絕。研究人員發(fā)現(xiàn)，網(wǎng)站可以在用戶每次訪問時分派一個全新的會話標(biāo)識符，隨后在會話重用使用期內(nèi)對用戶進(jìn)行無限追蹤。

難道問題無解嗎？

有趣的是，大部分網(wǎng)絡(luò)瀏覽器的默認(rèn)設(shè)置都能降低用戶被追蹤的風(fēng)險。研究人員對 45 個瀏覽器進(jìn)行了調(diào)查，其中三分之二的使用期都不超過 60 分鐘。不過，即使是這樣，黑客在大部分瀏覽器上也能輕松追蹤用戶一周時間。

最終，研究人員推薦了三個對隱私保護(hù)較為在行的瀏覽器，它們分別是 JonDoBrowser，Orbot 和 Tor Browser，因為它們根本就不支持會話重用。在研究人員看來，將 TLS 1.3 中的使用期調(diào)整到 10 分鐘是降低風(fēng)險的最佳方案。當(dāng)然，徹底禁止 TLS 會話重用是最治本的方案。

【來源：雷鋒網(wǎng)】