没想到会这样！有一种黑客追踪技术是你永远想象不到的

长期以来，那些认为隐私更重要的人一直大声疾呼，认为各种形式的互联网跟踪会带来巨大的风险，包括饼干、互联网信标和各种形式的指纹识别。

意识到这个问题真的会有很大帮助。最近，对隐私问题极为敏感的苹果公司在Mac OS Mojave和iOS 12上发布了Safari跟踪保护的更新版本。在此之前，Firefox还推出了一个名为Facebook容器的反跟踪扩展。此外，Brave和Tor浏览器等浏览器继续提供更广泛的隐私功能。

长期以来，隐私危机与在线跟踪毫无关系。然而，德国汉堡大学的研究人员最近才发现，怀有恶意的人也可以通过另一种机制在线跟踪他人。

本周，一篇关于arxiv的论文谈到了这个问题。计算机科学家埃里克·西、汉斯·费德勒·拉思、克里斯蒂安·伯克特和马西阿斯·费舍尔在他们的论文中描述了一种跟踪技术，包括TLS会话重用。

困难的“谈判”

TLS ( SSL的早期化身)应该已经为公众所知，因为作为一种加密协议，它用于在客户端和服务器之间传输时保护Web通信。最新版本的TLS是1.3。

TLS连接将在访问HTTPS网站时建立，其中包括网络上的一些“拔河”谈判。因此，TLS会话重用，这是通过较少的“仪式”恢复先前会话建立的方式，已经成为这个主题的恰当含义。应该注意的是，TLS 1.3和旧版本规范之间的技术不同，代表了通过预共享密钥( PSK )解决的最新机制，而传统方法涉及会话ID和会话“票证”。

然而，这个问题的关键在于，会话恢复取决于在“初始握手”期间传递给客户端设备的标识符，并且诸如会话ID、会话“票据”或PSK之类的标识符存储在浏览器的TIL缓存中，因此黑客可以像其他数字标识符一样跟踪它们。

这对于桌面浏览器用户来说不是问题，因为浏览器重启非常频繁。然而，移动设备已经成为受影响最严重的领域。

事情可能会变得更糟

研究人员发现，TLS会话“门票”授权网站占Alexa名单的80 %。他们强调Facebook和Google有更多的广告，所以对话重复使用的“门票”使用时间比其他网站长。Facebook还设定了48小时的使用期限，这已经超过了99.99 %的会议门票。即使谷歌只有28 %，它仍然击败了它的97.13竞争对手( Alexa的100万强网站)。

然而，即使会话重用的“票证”过期，这并不意味着黑客无法跟踪用户。

如果客户端尝试恢复会话，它会将其TLS会话恢复标识符发送给服务器，而不管会话是恢复还是拒绝。研究人员发现，网站可以在用户每次访问时分配一个新的会话标识符，然后在会话重用期间无限期地跟踪用户。

这个问题没有解决办法吗

有趣的是，大多数web浏览器都有默认设置，可以降低用户被跟踪的风险。研究人员调查了45种浏览器，其中三分之二的浏览器寿命不到60分钟。然而，即使如此，黑客也可以在大多数浏览器上轻松跟踪用户一周。

最后，研究人员推荐了三种擅长隐私保护的浏览器，即jondogbrowser、orbot和tor浏览器，因为它们根本不支持会话重用。据研究人员称，调整TLS 1.3到10分钟的使用寿命是降低风险的最佳方式。当然，完全禁止TLS会话重用是最激进的解决方案。

Through holes. Register