يمكن للمعلنين تتبع المستخدمين عبر الإنترنت عبر استئناف جلسة TLS
لقد ألقت ورقة أكاديمية تم نشرها الشهر الماضي الضوء الجديد على تقنية جديدة لتتبع المستخدم تستفيد من آلية مشروعة مرتبطة ببروتوكول TLS (أمان طبقة النقل) – وهو العمود الفقري لاتصالات HTTPS الحديثة.
يُطلق على آلية TLS المهدرة اسم TLS Session Resumption (RFC 8447) ، وهي آلية تم إنشاؤها في منتصف عام 2000 للسماح لخوادم TLS بتذكر جلسات عمل المستخدم السابقة وتجنب إهدار موارد الخادم من خلال إعادة التفاوض على اتصال TLS مع المستخدم العائد.
توجد حاليًا ثلاث طرق مختلفة يمكن للملقمات بها استخدام دعم استئناف جلسة TLS ودعمها. هناك استئناف جلسة TLS عبر معرفات الجلسات ، وهناك استئناف جلسة TLS عبر تذاكر الجلسة ، وهناك استئناف جلسة TLS عبر مفاتيح مشتركة مسبقًا (PSKs).
تتوافق أول نسختين مع بروتوكول TLS 1.2 الأقدم ، بينما تم تطوير الآلية الثالثة لمعيار TLS 1.3 الأحدث والذي تمت الموافقة عليه مؤخرًا. في الحالات الثلاث ، يكون لمالكي الخوادم الحرية في ضبط عمر الخادم الذي يتذكر جلسة المستخدم.
في بحث تم نشره في بداية شهر سبتمبر ، كشف أربعة باحثين من جامعة هامبورغ ، بألمانيا ، عن أن شركات الإعلان عبر الإنترنت يمكنها إساءة استخدام آلية استئناف جلسة TLS لتعقب المستخدمين أثناء تصفحهم للويب.
المفهوم بسيط. إذا كانت شركة إعلانات عبر الإنترنت تقوم بتحميل الإعلانات عبر خادم TLS (HTTPS) ، فيمكنها تمكين استئناف جلسة TLS لهذا الخادم.
عندما يقوم المستخدم بالوصول إلى موقع الويب A الذي يعرض إعلانات من شركة الإعلانات ، فإنه ينشئ أيضًا جلسة TLS مع خادم شركة الإعلانات. عندما يزور المستخدم موقع الويب B مع إعلانات من الشركة نفسها ، بدلاً من التفاوض على جلسة TLS أخرى ، يستأنف المستخدم العملية الحالية ، مما يسمح لشركة الإعلانات بتعقب المستخدم أثناء تنقله عبر المواقع.
