Большинство браузеров разрешают постоянное отслеживание пользователей через сеансы TLS
Большинство пользователей знают, что их можно отслеживать с помощью файлов cookie, поэтому некоторые их удаляют или используют собственные «частные режимы» своих браузеров, которые не хранят файлы сеансов. Однако за последние несколько лет из-за того, что браузеры продолжают внедрять новые усовершенствованные функции, появились новые возможности отслеживания, такие как отпечаток пальца браузера и теперь отслеживание TLS.
Когда TLS-соединение выполняется между компьютером пользователя и сервером посещенного веб-сайта, происходит обмен некоторой информацией, связанной с шифрованием, которая может быть повторно использована в следующий раз, когда тот же посетитель приходит на сайт. Поскольку эта информация уникальна для этого пользователя, поставщик услуг или сторонний трекер могут распознавать и отслеживать пользователя через Интернет.
Исследователи из Гамбургского университета также показали, что срок службы по умолчанию для возобновления сеанса TLS в большинстве браузеров составляет до восьми дней. На практике это означает, что две трети пользователей Интернета могут отслеживаться на постоянной основе через эти сеансы TLS.
Опасность связана главным образом с сторонними трекерами, такими как Google, которые взаимодействуют с пользователями через многие имена хостов. Исследователи отметили, что служба отслеживания Google присутствует на 80 процентах сайтов в списке лучших сайтов Alexa за один миллион.
Исследователи также предупредили, что в случае возобновления 0-RTT (zero-round trip) при использовании TLS 1.3 нельзя поддерживать прямую секретность, что также снижает безопасность связи.
Контрмеры против отслеживания TLS
Лучший способ борьбы с этой формой отслеживания TLS - это заставить браузеры полностью отключить его (особенно для сторонних служб отслеживания) или, по крайней мере, позволить пользователям отключать его вручную. Браузер Tor - это один из браузеров, который по умолчанию отключает отслеживание TLS.
Основываясь на эмпирических данных, собранных исследователями, они рекомендовали, чтобы время возобновления сеанса TLS составляло не более 10 минут, а не семь дней как в настоящее время рекомендуется для последней версии TLS (1.3).
Источник: _https://www.tomshardware.com/news/browsers-permanent-tracking-tls-sessions,37959.html и _https://arxiv.org/abs/1810.07304
Рекомендации для мозиллы:
переходим в about:config и изменяем следующие параметры:
Цитата:
devtools.remote.tls-handshake-timeout 60
network.http.spdy.enforce-tls-profile false
network.proxy.proxy_over_tls false
security.webauth.u2f false
security.webauth.webauthn false
security.tls.version.min 2 (или 3) (2, вероятно, более лучший выбор для большинства людей, чем 3. Но если клиент будет принимать только TLS 1.2 - это может быть фактором выделения из толпы)
далее жмем правой кнопкой мыши и создаем boolean key со значением true:
security.ssl.disable_session_identifiers true