URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 104666
[ Назад ]

Исходное сообщение
"Оценка возможности идентификации клиента через анализ параме..."

Отправлено opennews , 10-Сен-15 11:52 
Группа исследователей из университета им. Масарика (Чехия) изучила (PDF (http://is.muni.cz/repo/1299983/https_client_identification-p...), слайды (http://is.muni.cz/repo/1299983/https_client_identification-s...)) возможность косвенной идентификации пользователя в сети на основании анализа особенностей  согласования HTTPS-соединения, таких как список поддерживаемых шифров, выбранная версия протокола, возможные методы сжатия и набор расширений.


В выборке из 85 млн HTTPS-соединений удалось добиться определения браузера клиента с точностью 99.6% (браузер определялся на основе атрибутов HTTPS и затем сравнивался с фактическим значением User-Agent). На основании полученных данных построен словарь, позволяющий зная только параметры SSL/TLS handshake (блок ClientHello), фигурирующие на начальном этапе установки шифрованного соединения,  определить какой браузер используется клиентом. Таким образом, показана возможности использования параметров HTTPS в качестве  источника информации для классификации и отслеживания зашифрованного транзитного трафика.

URL: https://news.ycombinator.com/item?id=10185543
Новость: http://www.opennet.me/opennews/art.shtml?num=42943


Содержание

Сообщения в этом обсуждении
"Оценка возможности идентификации клиента через анализ параме..."
Отправлено Ебен Моглен , 10-Сен-15 11:52 
https://panopticlick.eff.org/ для себя открыли?

"Оценка возможности идентификации клиента через анализ параме..."
Отправлено Snaut , 10-Сен-15 11:58 
Речь идет именно о том, что можно определить браузер пользователя лишь перехватив трафик.
А ваш сайт уже работает по https и к нему же мы коннектимся. он про нас знает все)

"Оценка возможности идентификации клиента через анализ параме..."
Отправлено anonymous , 10-Сен-15 13:07 
1. заходишь на фэйсбук/гуглоаккаунт/сайт МВД
2. они сохраняют информацию о хэндшейке
3. заходишь через тор/впн на любой сайт по https
4. если у людей и п.1 стоит сниффер после выходного узла тора/впн, то они знают, что ты посещаешь этот сайт с вероятностью 99.6%

"Оценка возможности идентификации клиента через анализ параме..."
Отправлено rshadow , 10-Сен-15 13:30 
Насколько я понял из новости (прочитав не только заголовок), им удалось определять юзерагент, а не самого пользователя.

"Оценка возможности идентификации клиента через анализ параме..."
Отправлено Аноним , 10-Сен-15 15:00 
> вероятностью 99.6%

Вот это несколько преувеличено. Скорее ближе к 50%, "или Вася, или нет" :)


"Оценка возможности идентификации клиента через анализ параме..."
Отправлено Аноним , 10-Сен-15 16:57 
С вероятностью 99.6% они знают, что у тебя есть браузер.

"Оценка возможности идентификации клиента через анализ параме..."
Отправлено slavius , 10-Сен-15 17:57 
а если хосту послать набор команд приветствия и ответа подстраиваясь под браузер? естественно используем скрипт баш или еще чего.  они тоже узнают?)) помнится конкуэрор такое проделывал. ща не знаю.

"Оценка возможности идентификации клиента через анализ параме..."
Отправлено Аноним , 13-Сен-15 19:10 
> а если хосту послать набор команд приветствия и ответа подстраиваясь под браузер?

Тогда, очевидно, будет похоже на браузер.


"Оценка возможности идентификации клиента через анализ параме..."
Отправлено Аноним , 11-Сен-15 10:11 
Люто плюсую

"Оценка возможности идентификации клиента через анализ параме..."
Отправлено Ordu , 12-Сен-15 12:10 
> С вероятностью 99.6% они знают, что у тебя есть браузер.

С вероятностью 99.6% они знают, что есть браузер.


"Оценка возможности идентификации клиента через анализ параме..."
Отправлено vadiml , 10-Сен-15 13:42 
Интересно, могут ли они поределять броузер, если юзер работает через проксю, которая поменяет UserAgent

"Оценка возможности идентификации клиента через анализ параме..."
Отправлено Аноним , 10-Сен-15 14:08 
Статью прочитай, они до юзерагента даже не доходят.

"Оценка возможности идентификации клиента через анализ параме..."
Отправлено Ivan_83 , 10-Сен-15 14:10 
Тут о другом уровне.
Ответом на твой вопрос должна быть прокся для ssl которая будет дальше везде светить свой ssl хэндшейк.

"Оценка возможности идентификации клиента через анализ параме..."
Отправлено rshadow , 10-Сен-15 14:24 
Да бред какой-то. У одной версии браузера один и тот же хендшейк. Все что можно определить этим методом, так подделку юзерагента. И то далеко не 100%.

"Оценка возможности идентификации клиента через анализ параме..."
Отправлено тоже Аноним , 10-Сен-15 14:56 
Не стоит также забывать, что минимум 99,6% пользователей юзер-агент, собственно, и не подделывают ;)

"Оценка возможности идентификации клиента через анализ параме..."
Отправлено Аноним , 10-Сен-15 15:02 
> Не стоит также забывать, что минимум 99,6% пользователей юзер-агент, собственно,

...собственно, поэтому и надо брать именно их юзерагент, проверив что ssl вас не палит :)



"Оценка возможности идентификации клиента через анализ параме..."
Отправлено cmp , 10-Сен-15 16:42 
А что мешает проксе свой данные отправлять? Этож чистый митм, только человеком посередине являемся мы сами.

"Оценка возможности идентификации клиента через анализ параме..."
Отправлено КО , 11-Сен-15 11:57 
Речь про то, что тот кто слушает зашифрованный канал общения Вашего браузера с каким-нибудь сайтом (например за соседним столиком в кафе сниферя wifi) может узнать, какой у Вас браузер.
Конечно если просто посмотреть в это время на экран, то это сделать еще проще. :)

"Оценка возможности идентификации клиента через анализ параме..."
Отправлено Аноним , 10-Сен-15 15:01 
> Интересно, могут ли они поределять броузер, если юзер работает через проксю

Прокся может менять характер траффика. Все зависит от того где сниффер и где прокся.


"Оценка возможности идентификации клиента через анализ параме..."
Отправлено Uf , 10-Сен-15 18:23 
Насколько я понял они определяют не пользователя, а используемый браузер и набор расширений. В мире, где половина пользователей имеет последний хром и в нем адблок, какая от этого польза? Они узнают, какой процент пользователей меняет юзерагент?

"Оценка возможности идентификации клиента через анализ параме..."
Отправлено Аноним , 11-Сен-15 00:53 
Эм. А не может ли получиться такое что определится не только браузер и его версия но и платформа?
Т.е. какие нибудь любители хромиума это же по большей степени линуксоиды да?

"Оценка возможности идентификации клиента через анализ параме..."
Отправлено тоже Аноним , 11-Сен-15 08:40 
Ну, загляните, например, на lleo.me/dnevnik/
У каждого из комментирующих отображается его браузер и платформа.
Даже страна по айпишнику определяется. Не так уж это и деанонимизирует.

"Оценка возможности идентификации клиента через анализ параме..."
Отправлено Аноним , 13-Сен-15 16:49 
> У каждого из комментирующих отображается его браузер и платформа.

И что такое надписи вида "Linux - Google Chrome Safari"? Сафари под линух отродясь не выпускали. Это как оно такое вообще обнаружило? Больше всего похоже на безбашенный парсинг юзерагента.

> Даже страна по айпишнику определяется.

А если там пользователь Tor - то там будет "по данным биллинга летал между точками на карте со скоростью в 2 раза превышающей скорость звука" (с)перто.

> Не так уж это и деанонимизирует.

Особенно если см. выше.


"Оценка возможности идентификации клиента через анализ параме..."
Отправлено анонимус , 22-Окт-15 03:40 
Платформу и без этого легко определить. По MTU, дейолтный размер которого в различных ОС разнится.

"Оценка возможности идентификации клиента через анализ параме..."
Отправлено Товарищ Майор , 11-Сен-15 09:42 
сопсно, за той половиной что имеет последний хром под окнами, как правило, нет смысла следить.

"Оценка возможности идентификации клиента через анализ параме..."
Отправлено Uf , 11-Сен-15 11:59 
Селезневу расскажи, скрасишь его тюремные будни...

"Оценка возможности идентификации клиента через анализ параме..."
Отправлено Товарищ Майор , 11-Сен-15 15:43 
> Селезневу расскажи, скрасишь его тюремные будни...

эм?


"Оценка возможности идентификации клиента через анализ параме..."
Отправлено manster , 11-Сен-15 01:00 
Есть некоторый шанс, что будет как с рандомными MAC-адресами, но повозиться с этим придется.

Статистика "профилей" соединений для выявления трендов не помешает.


"Оценка возможности идентификации клиента через анализ параме..."
Отправлено Вареник , 12-Сен-15 22:34 
Основная дыра - браузер прежде чем пойти по URL открыто запросит "безопасность URL" у гугла. Т.е. открыто настучит на вас раньше чем куда-то пойдет.

"Оценка возможности идентификации клиента через анализ параме..."
Отправлено Аноним , 13-Сен-15 16:50 
> Основная дыра - браузер прежде чем пойти по URL открыто запросит "безопасность
> URL" у гугла. Т.е. открыто настучит на вас раньше чем куда-то пойдет.

Для начала - в google safe browsing запрашивается некая база хэшей. А урлы гугле не передаются.