ArXiv 経由の新しい Web セキュリティ論文では、企業が Web 上でユーザーを追跡するために使用できる、あまり知られていない TLS 追跡手法の詳細が明らかになりました。
ウェブ上の TLS 追跡
ほとんどのユーザーはCookieを介して追跡される可能性があることを認識しており、そのためCookieを削除したり、セッションCookieを保存しないブラウザ独自の「プライベートモード」を使用したりしています。しかし、ここ数年、ブラウザが高度な新機能を実装し続けてきたため、ブラウザフィンガープリンティングやTLSトラッキングといった新たな追跡機能が登場しています。
ユーザーのコンピュータと訪問先のウェブサイトのサーバー間でTLS接続が確立されると、暗号化関連の情報が交換されます。この情報は、同じ訪問者が次回そのサイトにアクセスした際に再利用されます。この情報はユーザー固有のものであるため、サービスプロバイダーやサードパーティのトラッカーはユーザーを認識し、ウェブ上で追跡することができます。
ハンブルク大学の研究者らは、ほとんどのブラウザにおけるTLSセッション再開のデフォルトの有効期間は最大8日間であることも明らかにしました。これは実際には、インターネットユーザーの3分の2がこれらのTLSセッションを通じて永続的に追跡される可能性があることを意味します。
この危険性は、主にGoogleなどのサードパーティトラッカーに関連しており、これらのトラッカーは多くのホスト名を介してユーザーとやり取りします。研究者らは、Alexaのトップ100万サイトリストに掲載されているサイトの80%にGoogleのトラッキングサービスが存在していることを指摘しました。
研究者らはまた、TLS 1.3 使用時の 0-RTT (ゼロラウンドトリップ) 再開の場合、前方秘匿性をサポートできず、通信のセキュリティも低下すると警告しています。
TLSトラッキング対策
この種のTLSトラッキングに対抗する最善の方法は、ブラウザに(特にサードパーティのトラッキングサービスに対して)完全に無効化するよう圧力をかけるか、少なくともユーザーが手動で無効化できるようにすることです。Torブラウザは、TLSトラッキングをデフォルトで無効化しているブラウザの一つです。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
研究者らが収集した経験的証拠に基づいて、TLS セッション再開の有効期間は、最新バージョンの TLS (1.3) で現在推奨されている 7 日間ではなく、最大 10 分にすることを推奨しました。
