The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Оценка возможности идентификации клиента через анализ параметров HTTPS

10.09.2015 11:39

Группа исследователей из университета им. Масарика (Чехия) изучила (PDF, слайды) возможность косвенной идентификации пользователя в сети на основании анализа особенностей согласования HTTPS-соединения, таких как список поддерживаемых шифров, выбранная версия протокола, возможные методы сжатия и набор расширений.

В выборке из 85 млн HTTPS-соединений удалось добиться определения браузера клиента с точностью 99.6% (браузер определялся на основе атрибутов HTTPS и затем сравнивался с фактическим значением User-Agent). На основании полученных данных построен словарь, позволяющий зная только параметры SSL/TLS handshake (блок ClientHello), фигурирующие на начальном этапе установки шифрованного соединения, определить какой браузер используется клиентом. Таким образом, показана возможность использования параметров HTTPS в качестве источника информации для классификации и отслеживания зашифрованного транзитного трафика.

  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
  2. OpenNews: Представлена техника воссоздания отпечатков пальцев по изображению рук на фотографии
  3. OpenNews: Исследование степени идентификации пользователя по web-браузеру
  4. OpenNews: Метод идентификации пользователей на сайте по манере ввода с клавиатуры
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/42943-fingerprint
Ключевые слова: fingerprint, https
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (30) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Ебен Моглен (?), 11:52, 10/09/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    https://panopticlick.eff.org/ для себя открыли?
     
     
  • 2.2, Snaut (ok), 11:58, 10/09/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Речь идет именно о том, что можно определить браузер пользователя лишь перехватив трафик.
    А ваш сайт уже работает по https и к нему же мы коннектимся. он про нас знает все)
     
  • 2.4, anonymous (??), 13:07, 10/09/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    1. заходишь на фэйсбук/гуглоаккаунт/сайт МВД
    2. они сохраняют информацию о хэндшейке
    3. заходишь через тор/впн на любой сайт по https
    4. если у людей и п.1 стоит сниффер после выходного узла тора/впн, то они знают, что ты посещаешь этот сайт с вероятностью 99.6%
     
     
  • 3.6, rshadow (ok), 13:30, 10/09/2015 [^] [^^] [^^^] [ответить]  
  • +11 +/
    Насколько я понял из новости (прочитав не только заголовок), им удалось определять юзерагент, а не самого пользователя.
     
  • 3.12, Аноним (-), 15:00, 10/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > вероятностью 99.6%

    Вот это несколько преувеличено. Скорее ближе к 50%, "или Вася, или нет" :)

     
  • 3.16, Аноним (-), 16:57, 10/09/2015 [^] [^^] [^^^] [ответить]  
  • +8 +/
    С вероятностью 99.6% они знают, что у тебя есть браузер.
     
     
  • 4.18, slavius (?), 17:57, 10/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    а если хосту послать набор команд приветствия и ответа подстраиваясь под браузер? естественно используем скрипт баш или еще чего.  они тоже узнают?)) помнится конкуэрор такое проделывал. ща не знаю.
     
     
  • 5.32, Аноним (-), 19:10, 13/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > а если хосту послать набор команд приветствия и ответа подстраиваясь под браузер?

    Тогда, очевидно, будет похоже на браузер.

     
  • 4.24, Аноним (-), 10:11, 11/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Люто плюсую
     
  • 4.28, Ordu (ok), 12:10, 12/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > С вероятностью 99.6% они знают, что у тебя есть браузер.

    С вероятностью 99.6% они знают, что есть браузер.

     

  • 1.7, vadiml (ok), 13:42, 10/09/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Интересно, могут ли они поределять броузер, если юзер работает через проксю, которая поменяет UserAgent
     
     
  • 2.8, Аноним (-), 14:08, 10/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Статью прочитай, они до юзерагента даже не доходят.
     
  • 2.9, Ivan_83 (?), 14:10, 10/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Тут о другом уровне.
    Ответом на твой вопрос должна быть прокся для ssl которая будет дальше везде светить свой ssl хэндшейк.
     
     
  • 3.10, rshadow (ok), 14:24, 10/09/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да бред какой-то. У одной версии браузера один и тот же хендшейк. Все что можно определить этим методом, так подделку юзерагента. И то далеко не 100%.
     
     
  • 4.11, тоже Аноним (ok), 14:56, 10/09/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не стоит также забывать, что минимум 99,6% пользователей юзер-агент, собственно, и не подделывают ;)
     
     
  • 5.14, Аноним (-), 15:02, 10/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Не стоит также забывать, что минимум 99,6% пользователей юзер-агент, собственно,

    ...собственно, поэтому и надо брать именно их юзерагент, проверив что ssl вас не палит :)


     
  • 4.15, cmp (??), 16:42, 10/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    А что мешает проксе свой данные отправлять? Этож чистый митм, только человеком посередине являемся мы сами.
     
  • 4.25, КО (?), 11:57, 11/09/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Речь про то, что тот кто слушает зашифрованный канал общения Вашего браузера с каким-нибудь сайтом (например за соседним столиком в кафе сниферя wifi) может узнать, какой у Вас браузер.
    Конечно если просто посмотреть в это время на экран, то это сделать еще проще. :)
     
  • 2.13, Аноним (-), 15:01, 10/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Интересно, могут ли они поределять броузер, если юзер работает через проксю

    Прокся может менять характер траффика. Все зависит от того где сниффер и где прокся.

     

  • 1.19, Uf (?), 18:23, 10/09/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Насколько я понял они определяют не пользователя, а используемый браузер и набор расширений. В мире, где половина пользователей имеет последний хром и в нем адблок, какая от этого польза? Они узнают, какой процент пользователей меняет юзерагент?
     
     
  • 2.20, Аноним (-), 00:53, 11/09/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Эм. А не может ли получиться такое что определится не только браузер и его версия но и платформа?
    Т.е. какие нибудь любители хромиума это же по большей степени линуксоиды да?
     
     
  • 3.22, тоже Аноним (ok), 08:40, 11/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, загляните, например, на lleo.me/dnevnik/
    У каждого из комментирующих отображается его браузер и платформа.
    Даже страна по айпишнику определяется. Не так уж это и деанонимизирует.
     
     
  • 4.30, Аноним (-), 16:49, 13/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > У каждого из комментирующих отображается его браузер и платформа.

    И что такое надписи вида "Linux - Google Chrome Safari"? Сафари под линух отродясь не выпускали. Это как оно такое вообще обнаружило? Больше всего похоже на безбашенный парсинг юзерагента.

    > Даже страна по айпишнику определяется.

    А если там пользователь Tor - то там будет "по данным биллинга летал между точками на карте со скоростью в 2 раза превышающей скорость звука" (с)перто.

    > Не так уж это и деанонимизирует.

    Особенно если см. выше.

     
  • 3.33, анонимус (??), 03:40, 22/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Платформу и без этого легко определить. По MTU, дейолтный размер которого в различных ОС разнится.
     
  • 2.23, Товарищ Майор (?), 09:42, 11/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    сопсно, за той половиной что имеет последний хром под окнами, как правило, нет смысла следить.
     
     
  • 3.26, Uf (?), 11:59, 11/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Селезневу расскажи, скрасишь его тюремные будни...
     
     
  • 4.27, Товарищ Майор (?), 15:43, 11/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Селезневу расскажи, скрасишь его тюремные будни...

    эм?

     

  • 1.21, manster (ok), 01:00, 11/09/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Есть некоторый шанс, что будет как с рандомными MAC-адресами, но повозиться с этим придется.

    Статистика "профилей" соединений для выявления трендов не помешает.

     
  • 1.29, Вареник (?), 22:34, 12/09/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Основная дыра - браузер прежде чем пойти по URL открыто запросит "безопасность URL" у гугла. Т.е. открыто настучит на вас раньше чем куда-то пойдет.
     
     
  • 2.31, Аноним (-), 16:50, 13/09/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Основная дыра - браузер прежде чем пойти по URL открыто запросит "безопасность
    > URL" у гугла. Т.е. открыто настучит на вас раньше чем куда-то пойдет.

    Для начала - в google safe browsing запрашивается некая база хэшей. А урлы гугле не передаются.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру