Menü
Avatar von /mecki78
  • /mecki78

mehr als 1000 Beiträge seit 03.07.2004

Und was genau ist daran jetzt so neu?

Das man mit Session Resumption auch Nutzer ohne Cookies tracken kann, das ist doch schon ewig bekannt. In welchen Kellerloch haben diese Forscher bitte die letzten Jahre geschlafen? Für TLS 1.3 wurden sogar extra Änderungen am Verfahren vorgenommen, um das etwas schwieriger zu machen; das wäre ja kaum passiert, wenn der IETF diese Gefahr bislang nicht bekannt gewesen wäre. Was sich also heutzutage alles so Forscher nennen darf. Oh, ich habe etwas heraus gefunden, das vor mir schon zig andere Leute bereits entdeckt haben und das eine allgemein bekannt Tatsache ist, gegen die bereits Maßnahmen eingeleitet wurden.

Gut, man muss jetzt fairerweise vielleicht anmerken, dass die meisten Leute davon ausgegangen werden, dass man mit TLS Session Resumption wiederkehrende Nutzer erkennen kann, also auf der gleichen Domain. Hier geht es um das gleiche Verfahren, aber wie man damit über Domaingrenzen hinweg tracken kann. Allerdings wird hierfür der gleiche Trick wie bei Cookies genutzt, die ja auch auf eine Domain beschränkt sind, mit anderen Worten, die geistige Transferleistung tangiert gegen Null.

Zu diesem Thema habe ich bereits 2015 hier im heise Forum eine Diskussion geführt, also vor etwas über 3 Jahren. Und schon damals habe ich es in Frage gestellt, ob das wirklich eine ernste Gefahr ist, denn Session Resumption wird vor allem genutzt, damit Client und Server kurzfristig und schnell immer wieder mit TLS gesicherte TCP Verbindungen auf- und wieder abbauen können, so wie dass z.B. HTTPS oft zu HTTP 1.0 Zeiten bzw. zu HTTP 1.1 Zeiten mit Servern ohne Pipeline Support hat machen müssen. Neuere Protokolle, allen voran HTTP 2.0 (bzw. QUIC) setzen aber darauf, möglichst alles über eine Verbindung laufen zu lassen und diese auch maximal offen zu halten. Damit bricht der wichtigste Anwendungsfall von Session Resumption eigentlich weg, so dass man sich ernsthaft fragen muss: Brauchen wir das überhaupt noch und macht es wirklich einen Unterschied, wenn morgen alle Browser das einfach abschalten? Bzw., sie müssten es ja nicht abschalten, sie könnten ja genau wie bei Cookies das Tracking erkennen und es dann nur für den Tracking Server abschalten. Denn ob überhaupt Session Resumption stattfindet, das entscheidet in letzter Instanz der Client, also der Browser selber.

Hier der Beweis. Diskussion zum Tracking per Session Resumption, vor 3 Jahren:
https://www.heise.de/forum/p-20465586/

Komm ich jetzt im Fernsehen?

/Mecki

Bewerten
- +
Anzeige