4006-555-883

cookie追踪已过时,TLS 协议追踪你知道吗?

发布时间:2018-12-05 13:53:00
什么是TLS

TLS即安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性。

该协议由两层组成:TLS记录协议(TLS Record)和TLS握手协议(TLS Handshake)。

1999年,SSL因为应用广泛,已经成为互联网上的事实标准。IETF就在那年把SSL标准化。标准化之后的名称改为TLS,中文叫做传输层安全协议。所以TLS1.0可以认为是SSL3.1。

cookie追踪已过时,TLS 协议追踪你知道吗?

TLS原理

HTTPS是在HTTP和TCP之间加了一层TLS,这个TLS协商了一个对称密钥来进行HTTP加密。

同时TLS不仅仅可以用在HTTP,也可以用在FTP,Telnet等应用层协议上。

ssL/TLS实际上混合使用了对称和非对称密钥,主要分成这几步:

使用非对称密钥建立安全的通道
客户端请求HTTPS连接,发送可用的TLS版本和可用的密码套件
服务端返回证书,密码套件和TLS版本
用安全的通道产生并发送临时的随机对称密钥
生成随机对称密钥,使用证书中的服务端公钥加密,发送给服务端
服务端使用私钥解密获取对称密钥
使用对称密钥加密信息,进行交互

由于隐私浏览器技术的日渐成熟,网站越来越无法通过 Cookie 和网页浏览器特征来追踪用户,但道高一尺魔高一丈,现在这些网站会用 TLS 1.3 中的 TLS 对话恢复机制追踪用户。

包括 Facebook 以及 Google 在内的等公司,过去都会使用 HTTP Cookie 以及网页浏览器特征追踪用户,但随着用户越来越注意保护自己的隐私,更多的人开始使用强化隐私的浏览器,以隐私模式或是扩展来限制网页追踪,这使得上述两项技术几乎失灵。另外,通过 IP 位置追踪用户也受到限制,因为用户有可能以 NAT 共享公共 IP 地址,而且网站也无法跨过不同的网络追踪装置。

网站于是开始把目光瞄向了最新的 TLS 1.3 协议上,它们的追踪技术开始转向使用 TLS 对话恢复机制。TLS 对话恢复机制允许网站利用早前的 TLS 对话中交换的密钥,来缩减 TLS 握手程序,而这也开启了让网站可以链接两个对话的可能性。由于重启浏览器会顺便清空缓存,所以这个方法仅在浏览器未重启的情况下,网站才能通过 TLS 对话恢复进行连续的用户追踪。但是这个使用习惯在移动设备上完全不同,移动设备用户很少重启浏览器。

用TLS协议追踪用户

主要是使用TLS对话恢复机制。

TLS对话恢复机制允许网站利用早前的TLS对话中交换的密钥,来缩减TLS握手程序,而这也开启了让网站可以链接两个对话的可能性。由于重启浏览器会顺便清空缓存,所以这个方法仅在浏览器未重启的情况下,网站才能通过TLS对话恢复进行连续的用户追踪。

要防止网站通过 TLS 对话恢复追踪用户,需要修改 TLS 标准和常见浏览器的配置,而目前最有效的方式就是完全禁用 TLS 对话恢复功能。



最新发布
1
@所有网站运营者,SSL证书过期不要慌
2
88%企业遭受DNS攻击 SSL证书为您的DNS安全护航
3
短链接钓鱼再度肆虐 部署高等级SSL证书杜绝安全隐患
4
天威诚信小课堂 | 原来……http协议竟是这么的脆弱
5
DigiCert 年度峰会:全球网络攻击加剧,SSL证书服务护航国内企业数字化转型
6
网站信息安全成国际焦点,部署适配SSL证书时不我待
7
3分钟,我要知道SSL证书的全部信息!
8
令人震惊!1862起数据泄漏事件,如何确保你的数据安全?
9
敲黑板!SSL证书常见七大问题答疑来啦!
10
全球去年数据泄露已超过去15年总和!谁来捍卫我们的信息安全?
相关推荐
短链接钓鱼再度肆虐 部署高等级SSL证书杜绝安全隐患
网站信息安全成国际焦点,部署适配SSL证书时不我待
天威诚信小课堂 | 原来……http协议竟是这么的脆弱
令人震惊!1862起数据泄漏事件,如何确保你的数据安全?
3分钟,我要知道SSL证书的全部信息!
88%企业遭受DNS攻击 SSL证书为您的DNS安全护航
DigiCert 年度峰会:全球网络攻击加剧,SSL证书服务护航国内企业数字化转型
@所有网站运营者,SSL证书过期不要慌