你以為禁用瀏覽器Cookie就能避免被網站追蹤嗎?倡導將Cookie追蹤選擇權還給使用者的說法,可能只是煙霧彈,實則還能使用最新TLS 1.3傳輸層安全協定追蹤用戶。

目前網站使用者追蹤技術比較有名的仍然是Cookie或是網頁瀏覽器特徵辨識,較少受到關注的技術是基於傳輸層安全性協定(Transport Layer Security,TLS)的使用者追蹤,特別是使用TLS對話恢復(TLS Session Resumption)機制,而漢堡大學研究員率先對TLS對話恢復機制適用性進行研究

過去網站包括臉書以及Google等公司,都會使用HTTP Cookie以及網頁瀏覽器特徵追蹤使用者,但隨著使用者隱私意識抬頭,越來越多人使用強化隱私的瀏覽器,以隱私模式或是擴充套件來限制網頁追蹤,這使得上述兩項技術幾乎失靈。另外,透過IP位置追蹤用戶也受到限制,因為使用者有可能以NAT共享公共IP位置,而且網站也無法跨不同的網路追蹤裝置。

網站開始把追蹤主意打到最新的TLS 1.3協定上,追蹤技術開始轉向使用TLS對話恢復機制。TLS對話恢復機制允許網站利用早前的TLS對話中交換的密鑰,來縮減TLS握手程序,而這也開啟了讓網站可以鏈結兩個對話的可能性。由於重新啟動瀏覽器會順便清空快取,所以這個方法僅在瀏覽器未重新啟動的情況下,網站才能透過TLS對話恢復進行連續用戶追蹤。但是這個使用習慣在行動裝置完全不同,行動裝置使用者鮮少重新開啟瀏覽器。

漢堡大學系統性的研究了48種熱門瀏覽器以及Alexa前百萬熱門網站的配置,以評估這些追蹤機制的實際配置以及用戶追蹤可持續時間。研究人員使用了延長攻擊(Prolongation Attack),延長追蹤周期超過TLS對話恢復的生命週期,接著根據額外的DNS資料集,分析延長攻擊對於追蹤時間的影響以及可永久追蹤的用戶比例,最終導出使用者瀏覽行為。

研究顯示,即便標準瀏覽器設定TLS對話恢復生命週期僅維持一天,但用戶可以被追蹤長達8天之久,TLS 1.3草稿版本建議TLS對話恢復生命週期上限為7天,研究人員透過Alexa資料集中至少一個網站,可以永久追蹤實驗中的65%使用者。

研究人員也觀察到,Alexa前百萬熱門網站中,有超過80%的TLS對話票券生命周期都在10分鐘以下,但是大約10%的網站使用大於24小時的週期設定,特別是廣告商,Google的TLS對話生命周期票券達28小時,而臉書對話票券生命周期設定更是高達48小時,在Alexa前百萬熱門網站位於99.99百分位數之上。漢堡大學研究指出,要防止網站透過TLS對話恢復追蹤使用者,需要修改TLS標準和常見瀏覽器的配置,而目前最有效的方式就是完全禁用TLS對話恢復功能。


Advertisement

更多 iThome相關內容