HTTPS对于用户隐私泄露无能为力

由斯诺登揭露的某政府的大规模的监听计划依然甚嚣尘上,于是关于互联网用户隐私问题一次又一次被提上台面,然后各种观点纷纷芜繁杂。而对于用户隐私和网络行为安全被监听这一内幕,一些人认为采用SSL协议的加密通信,这样他们就会是安全的。

当然,在这里我们想说,如果你真的关心自己的隐私,介意其是否泄漏,你可以适当改变自己的上网习惯,而不是相信用HTTPS取代HTTP就会确保你网络行为的安全性。当然HTTPS可尽管以用来运行一个在线商店或者电子商务网站,但它无法作为所谓的隐私防护“工具”。

美国的研究人员对十个广泛使用HTTPS的网站进行流量分析,发现依然能看到个人资料的泄露,其中涉及个人的医保、财务、法律事务和性取向。

加州大学伯克利分校的研究人员BradMiller, A. D. Joseph和J. D. Tygar以及英特尔实验室的研究人员黄龄一起在一篇名为“HTTPS流量分析的探测与实现——因何你去诊所”一文中表示,HTTPS作为一种Web传输加密协议,依然很容易进行流量分析。

由于这种记录分析与“词袋”的方法很类似,研究人员提到了一种名为Bag-of-Gaussians (BoG)的分析方法。

“我们采用集群技术来识别流量的模式,然后采用高斯分布来确定每个流量相似的集群,进一步映射出我们需要分析的个体案例
行为。”研究人员说。他们还提到,“所有的分析至少具备两个条件,第一,即攻击者必须能够访问与受害者相同的网页,同时允
许攻击者识别不同的网页和流量加密模式;第二,必须能够观察受害者的流量,进而可以和之前了解过的流量模式进行对照。”

这次研究的测试分析中,包括了医疗服务、法律服务、金融产业等多个领域,甚至Netflix和YouTube也在分析行列,流量分析“攻击”涉及10个网站近6000个个人网页,识别同一个网站上各个页面的关联用户,并与浏览过这个页面的用户进行对比,精确度达到89%。

早前斯诺登便说过,“加密工作,正确的实施利用强大的加密系统,是你可以依靠的为数不多的几种手段之一。然而不幸的是,对于NSA而言终端安全是如此脆弱。”所以从技术上来说,政府机构完全可以针对HTTPS的流量元数据进行ISP监听、员工监控,从而达到他们的监控和"检查"的目的。

[原文地址 译/FreeBuf小编pynwolf]

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2014-03-24

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

耸人听闻还是真相?简要分析浑水资本发布的圣犹达公司心脏医疗设备安全报告

知名做空机构浑水资本(Muddy Waters Capital)在MedSec的协助研究下,发布报告称,著名医疗器械公司圣犹达(St. Jude Medical...

21170
来自专栏FreeBuf

观点:从OpenSSL漏洞看各甲方响应质量

互联网上信息传播速度和影响力比以前增长了不啻数倍,甲方在响应漏洞的时候,咱得跟上节奏,否则就可能被曝光了,在大水军的推动下,安全行业已经升华为情报行业了,嗯,通...

23370
来自专栏FreeBuf

CNCERT 2018年1月我国DDoS攻击资源分析报告

本月重点关注情况 1、本月参与攻击较多的肉鸡地址大量归属于江苏省。其中,涉及江苏省移动多个地址段的肉鸡被反复多次利用,需要重点关注,详见2.2节。 2、本月包含...

27570
来自专栏FreeBuf

走进科学:揭秘微信支付大盗

微信(WeChat)是腾讯公司(Tencent)开发的移动即时通讯软件,拥有超过3.55亿世界各地的用户.该软件不仅提供了基础的即时通讯和其他功能外,还允许用户...

24050
来自专栏开源项目

有哪些微信小程序值得推荐?| 码云周刊第 71 期

26230
来自专栏FreeBuf

RSA会议:2015六大新型攻击趋势

SANS专家在RSA会议上向大家展示了未来攻击方式的趋势。 该项研究由SANS主管John Pescatore主导,Counter Hack Challenge...

21970
来自专栏农夫安全

如何给企业做好基本的网络安全防御工作

企业防御 这里总结的是企业在做安全防御的统筹方法,并不是具体某个漏洞如何修复~ 信息安全的实质是采取措施保护信息资产,使之不因偶然或者恶意侵犯而遭受破坏...

94440
来自专栏FreeBuf

黑科技再现 | 黑客通过智能水壶窃取Wifi密码

The Pen Test Partners的研究员Ken Munro,在伦敦某场节目里他演示了如何连上目标的智能水壶,然后窃取你的Wifi密码。 轻松黑掉你的智...

24170
来自专栏BestSDK

恶意推送SDK来袭,300多款APP遭破坏

近日,腾讯TRP-AI反病毒引擎捕获到一个恶意推送信息的软件开发工具包(SDK),取名为“寄生推”,因为其拥有如“寄生虫”一般的恶意推广手段。

14930
来自专栏FreeBuf

剧透Black Hat 2017将要发布的8款安全工具

举世瞩目的Black Hat 2017即将于7月22-27日,在美国的拉斯维加斯盛大举行。作为信息安全方面的顶级会议,每年Black Hat都会带给我们许许多多...

30340

扫码关注云+社区

领取腾讯云代金券