上個月發(fā)表的一篇學(xué)術(shù)論文揭示了一種新的用戶跟蹤技術(shù)，該技術(shù)利用了與TLS(傳輸層安全)協(xié)議相關(guān)的法律機制——現(xiàn)代HT TPS連接的主干。

TLS機制的濫用被稱為TLS會話恢復(fù)(R FC8447)，它創(chuàng)建于2000年代中期，允許TLS服務(wù)器記住過去的用戶會話，并通過與返回的用戶重新協(xié)商TLS連接來避免浪費服務(wù)器資源。

目前有三種不同的方式，服務(wù)器可以選擇使用和支持TLS會話恢復(fù)。有通過會話標識的TLS會話恢復(fù)、通過會話票證的TLS會話恢復(fù)和通過預(yù)共享密鑰的TLS會話恢復(fù)(PSK)。

前兩種機制與舊的TLS1.2協(xié)議兼容，而第三種機制是為新的和最近批準的TLS1.3標準開發(fā)的。在這三種情況下，服務(wù)器所有者都有權(quán)設(shè)置服務(wù)器的生存期來記住用戶會話。

在9月初發(fā)表的一篇研究論文中，來自德國漢堡大學(xué)的四名研究人員透露，在線廣告公司可以濫用TLS Session resume機制來跟蹤瀏覽網(wǎng)頁的用戶。

這個概念很簡單。如果在線廣告公司通過頂級域名服務(wù)器加載廣告，它可以為服務(wù)器啟用頂級域名會話恢復(fù)。

當用戶訪問網(wǎng)站A顯示廣告公司的廣告時，也與廣告公司的服務(wù)器建立TLS會話。當用戶使用同一公司的廣告訪問網(wǎng)站B時，用戶不再協(xié)商另一個TLS會話，而是恢復(fù)現(xiàn)有會話，從而允許廣告公司在用戶跨網(wǎng)站移動時跟蹤他。

研究團隊表示，他們測試了網(wǎng)站和瀏覽器如何處理TLS會話恢復(fù)設(shè)置。

對45個桌面和移動瀏覽器的回顧顯示，可以在38個瀏覽器上跟蹤用戶。

七款瀏覽器中有三款不支持TLS會話恢復(fù)，首先是TorBrowser(桌面)、JonDobrowser(桌面)和Orbot(安卓)。

其他四種瀏覽器的默認配置阻止通過第三方域恢復(fù)來跟蹤TLS會話，盡管它們支持主域(正在訪問的網(wǎng)站)-360安全瀏覽器(桌面)、Konqueror(桌面)、tEdge的Micros(桌面)和斯雷普尼爾(桌面)的TLS會話恢復(fù)。

“我們的結(jié)果表明，通過TLS會話恢復(fù)第三方跟蹤對于大多數(shù)受調(diào)查的流行瀏覽器來說是可行的。然而，我們的結(jié)果[.]顯示在大多數(shù)被調(diào)查的瀏覽器中，會話恢復(fù)壽命是有限的，”研究人員說。受限，研究團隊意味著大多數(shù)瀏覽器在一小時后清除TLS會話信息。

研究人員認為，瀏覽器制造商不知道這種可能的用戶跟蹤技術(shù)，否則他們將有更短的TLS會話恢復(fù)時間。

至于是誰在使用TLS Session resume追蹤，研究人員無法給出結(jié)論性答案，但他們確實指出，谷歌和Face book這兩家全球最大的廣告公司使用了異常長的TLS Session resume，分別為28小時和48小時。

研究人員發(fā)現(xiàn)，在Alexa排名前100萬的使用TLS的網(wǎng)站中，80%的網(wǎng)站的恢復(fù)壽命在10分鐘或更短。

總之，通過TLS會話恢復(fù)標識符跟蹤似乎不是一種常見的做法，但也可能是因為TLS的采用最近才在互聯(lián)網(wǎng)用戶中出現(xiàn)。

隨著TLS成為運營網(wǎng)站更容易獲得的技術(shù)，廣告公司也有望在未來探索甚至實施這項技術(shù)，如果他們還沒有這樣做的話。

為了防止這一技術(shù)成為主流的跟蹤方式，德國研究團隊建議瀏覽器供應(yīng)商在第三方域禁用TLS Session resume，只允許在主域使用，即通過瀏覽器直接訪問的域。這樣，通過HTTPS發(fā)送的廣告將必須協(xié)商一個唯一的TLS會話，并且每次它們被加載到用戶的瀏覽器中時，無論它們顯示在哪個域中。