研究：不靠Cookie，脸书、Google也能通过TLS协议追踪你,,目前网站使用者追踪技

原标题：研究：不靠Cookie，脸书、Google也能通过TLS协议追踪你

你以为禁用浏览器Cookie就能避免被网站追踪吗？倡导将Cookie追踪选择权还给使用者的说法，可能只是烟雾弹，实则还能使用最新TLS△1.3传输层安全协议追踪用户。目前网站使用者追踪技术比较有名的仍然是Cookie或是网页...

你以为禁用浏览器Cookie就能避免被网站追踪吗？倡导将Cookie追踪选择权还给使用者的说法，可能只是烟雾弹，实则还能使用最新TLS△1.3传输层安全协议追踪用户。

目前网站使用者追踪技术比较有名的仍然是Cookie或是网页浏览器特征分辨，较少受到关注的技术是基于传输层安全性协议（Transport△Layer△Security，TLS）的使用者追踪，特别是使用TLS对话恢复（TLS△Session△Resumption）机制，而汉堡大学研究员率先对TLS对话恢复机制适用性进行研究。

过去网站包括脸书以及Google等公司，都会使用HTTP△Cookie以及网页浏览器特征追踪使用者，但随着使用者隐私意识抬头，越来越多人使用强化隐私的浏览器，以隐私模式或是扩充套件来限制网页追踪，这使得上述两项技术几乎失灵。另外，通过IP位置追踪用户也受到限制，因为使用者有可能以NAT共享公共IP位置，而且网站也无法跨不同的网络追踪装置。

网站开始把追踪主意打到最新的TLS△1.3协议上，追踪技术开始转向使用TLS对话恢复机制。TLS对话恢复机制允许网站利用早前的TLS对话中交换的密钥，来缩减TLS握手程序，而这也开启了让网站可以链结两个对话的可能性。由于重新启动浏览器会顺便清空快取，所以这个方法仅在浏览器未重新启动的情况下，网站才能通过TLS对话恢复进行连续用户追踪。但是这个使用习惯在行动装置完全不同，行动装置使用者鲜少重新开启浏览器。

汉堡大学系统性的研究了48种热门浏览器以及Alexa前百万热门网站的配置，以评估这些追踪机制的实际配置以及用户追踪可持续时间。研究人员使用了延长攻击（Prolongation△Attack），延长追踪周期超过TLS对话恢复的生命周期，接着根据额外的DNS资料集，分析延长攻击对于追踪时间的影响以及可永久追踪的用户比例，最终导出使用者浏览行为。

研究显示，即便标准浏览器设定TLS对话恢复生命周期仅维持一天，但用户可以被追踪长达8天之久，TLS△1.3草稿版本建议TLS对话恢复生命周期上限为7天，研究人员通过Alexa资料集中至少一个网站，可以永久追踪实验中的65％使用者。

研究人员也观察到，Alexa前百万热门网站中，有超过80％的TLS对话票券生命周期都在10分钟以下，但是大约10％的网站使用大于24小时的周期设定，特别是广告商，Google的TLS对话生命周期票券达28小时，而脸书对话票券生命周期设定更是高达48小时，在Alexa前百万热门网站位于99.99百分位数之上。汉堡大学研究指出，要防止网站通过TLS对话恢复追踪使用者，需要修改TLS标准和常见浏览器的配置，而目前最有效的方式就是完全禁用TLS对话恢复功能。

橙山网（Csnd.net）简评：目前网站使用者追踪技术比较有名的仍然是Cookie或是网页...你以为禁用浏览器Cookie就能避免被网站追踪吗？倡导将Cookie追踪选择权还给使用者的说法，可能只是烟雾弹，实则还能使用最新TLS△