内容简介:长期以来,那些将隐私看得比天大的人一直在大声疾呼,他们认为意识到这个问题确实能帮上不少忙。最近,对隐私问题极端敏感的苹果就在 macOS Mojave 和 iOS 12 上发布了升级版的 Safari 追踪保护。在此之前,火狐也力推过一款名为 Facebook Container 的反追踪扩展。此外,像 Brave 和 Tor Browser 这样的浏览器也在继续提供涉及更广泛的隐私功能。一直以来,隐私危机都与网络追踪逃不开关系。不过,德国汉堡大学的研究人员最近才发现,原来不怀好意的人还能通过另一种机制在
长期以来,那些将隐私看得比天大的人一直在大声疾呼,他们认为 各种形式的网络跟踪都会带来巨大风险,其中就包括 cookies,网络信标和各种指纹识别的形式。
意识到这个问题确实能帮上不少忙。最近,对隐私问题极端敏感的苹果就在 macOS Mojave 和 iOS 12 上发布了升级版的 Safari 追踪保护。在此之前,火狐也力推过一款名为 Facebook Container 的反追踪扩展。此外,像 Brave 和 Tor Browser 这样的浏览器也在继续提供涉及更广泛的隐私功能。
一直以来,隐私危机都与网络追踪逃不开关系。不过,德国汉堡大学的研究人员最近才发现,原来不怀好意的人还能通过另一种机制在网络上跟踪他人。
本周,ArXiv 上的一片论文就讲到了这个问题。计算机科学家 Erik Sy, Hannes Federrath ,Christian Burkert 和 Mathias Fischer 在论文中描述了一种跟踪技术,其中就包括 TLS 会话重用。
棘手的“谈判”
TLS(就是 SSL 的早期化身)其实本应该被大众所熟知,因为作为加密协议,它用于在客户端和服务器之间传输时保护 web 通信。TLS 最新版本为 1.3。
访问 HTTPS 网站时就会建立 TLS 连接,其中包含了一些在网络上进行的协商”拉锯战“。因此,通过较少的“仪式”恢复以前建立会话的方式——TLS 会话重用成了题中应有之义。需要注意的是,技术在 TLS 1.3 和旧版本规范之间有所不同,通过预共享密钥(PSK)解决的代表最新机制,而传统方法涉及会话 ID 和会话“门票”。
不过,这个问题的关键是会话恢复依赖于“初始握手”期间传递给客户端设备的标识符,而类似会话 ID,会话“门票”或 PSK 等标识符会保存在浏览器的 TIL 缓存中,因此黑客能像其他数字标识符一样对其进行追踪。
对于桌面浏览器用户来说这并不是个问题,因为浏览器重启相当频繁。不过, 移动设备却成了重灾区。
情况可能会更糟
研究人员发现,TLS 会话“门票”授权的网站在 Alexa 榜单中占据了 80%。他们强调称, Facebook 和谷歌的广告较多,因此会话重用“门票”的使用期比其他网站都长。Facebook 更是给使用期做了个 48 小时的设定,这已经高于 99.99% 的会话门票了。即使谷歌的只有 28%,依然击败了 97.13 的对手(Alexa 排名前一百万的网站)。
不过,即使会话重用“门票”过期了,也不意味着黑客不能对用户进行追踪。
如果有客户试图恢复一个会话,它就会将其 TLS 会话恢复标识符发送到服务器,而不管会话是否恢复或拒绝。研究人员发现,网站可以在用户每次访问时分派一个全新的会话标识符,随后在会话重用使用期内对用户进行无限追踪。
难道问题无解吗?
有趣的是,大部分网络浏览器的默认设置都能降低用户被追踪的风险。研究人员对 45 个浏览器进行了调查,其中三分之二的使用期都不超过 60 分钟。不过,即使是这样,黑客在大部分浏览器上也能轻松追踪用户一周时间。
最终,研究人员推荐了三个对隐私保护较为在行的浏览器,它们分别是 JonDoBrowser,Orbot 和 Tor Browser,因为它们根本就不支持会话重用。 在研究人员看来,将 TLS 1.3 中的使用期调整到 10 分钟是降低风险的最佳方案。当然,彻底禁止 TLS 会话重用是最治本的方案。
雷锋网Via. The Register
雷锋网宅客频道(微信公众号:letshome),专注先锋科技,讲述黑客背后的故事,欢迎关注雷锋网 (公众号:雷锋网) 宅客频道。
雷锋网原创文章,未经授权禁止转载。详情见 转载须知 。
以上所述就是小编给大家介绍的《没想到吧!竟有你绝对想不到的黑客追踪神技术》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- 函数式思维(二)-- 为何你想不到用 reduce
- EOS DDOS攻击,你想不到的这12小时
- 90%的项目经理都想不到,沟通成本原来可以这么小
- 只有想不到,「99」种扩展Jupyter功能的好方法
- 最难学的十大编程语言,Java只排第三,第一你绝对想不到!
- 你绝对想不到年过40岁的程序员可以有多么牛X!,程序员出路
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
最高人民法院《关于行政诉讼证据若干问题的规定》释义与适用
李国光 / 人民法院出版社 / 2002-9 / 30.0
为进一步深入贯彻实施《中华人民共和国行政诉讼法》,最高人民法院发布了《关于行政诉讼证据若干问题的规定》。本书即是对《行政证据规定》作出的充分的阐释。《行政证据规定》是我国第一部关于行政诉讼证据问题系统的司法解释,对我国行政审判的发展和行政诉讼制度的完善必将产生重要而深远的影响。本书对这一《行政证据规定》进行阐述,是为了让广大读者更具体深入的了解这一重要的规定。 本书均将《最高人民法院......一起来看看 《最高人民法院《关于行政诉讼证据若干问题的规定》释义与适用》 这本书的介绍吧!