¿Sería posible que un ISP adivine solicitudes específicas en un sitio HTTPS utilizando el tamaño del paquete? [duplicar]

4

A la luz de la reciente decisión del Senado en los EE. UU. de permite a los ISP vender el historial de navegación de los usuarios , he estado leyendo recomendaciones sobre cómo los usuarios pueden conservar su privacidad. Una de las recomendaciones comunes es restringir su navegación a sitios HTTPS, para que al menos el contenido en el sitio permanezca privado, incluso si la actividad del dominio ya no es privada.

Aunque piense en esto, los ISP seguramente podrían hacer algunas deducciones básicas con bastante facilidad, por ejemplo. la alta tasa de descarga en youtube.com sugiere ver videos, la alta tasa de carga en dicho sitio sugiere subir videos, etc.

Tomando este enfoque más allá, me pregunto si los ISP podrían adivinar el contenido de una página específica utilizando el tamaño de solicitud HTTPS. P.ej. el artículo de "seguridad tecnológica / posible sesgo contra los republicanos" de Ars Technica I vinculado es un tamaño de respuesta transferida de 16.77 / 16.78 KB solo para la página HTML base. Considerando que otro artículo que se ajusta a la categoría "empollón del tiempo" generalmente llega a 13.34 kB.

Por supuesto, esto dependerá de la naturaleza dinámica vs estática / almacenamiento en caché de la página, y particularmente si hay una adaptación sustancial específica del usuario para cada carga HTML.

¿Aunque este concepto se mantiene? ¿Tengo razón al pensar que el tamaño de solicitud cifrado a través de HTTPS va a ser casi exactamente proporcional al tamaño de solicitud subyacente?

Pensando en posibles soluciones, los sitios podrían ofuscar artículos rellenando con HTML no deseado (por ejemplo, una gran sección de comentarios) para minimizar la singularidad. Del mismo modo, las imágenes podrían comprimirse a tamaños idénticos, haciendo que un enfoque de mapeo simple para cualquier ISP / detector de paquetes sea ineficaz y requiriendo un reconocimiento de patrones más sustancial. Aunque, por supuesto, esto es un tanto discutible, ya que los dominios han sido visitados y cuándo es más que suficiente para crear un perfil en línea.

    
pregunta andrewb 26.03.2017 - 01:32
fuente

1 respuesta

3

Efectivamente, usted está preguntando sobre el comportamiento de los exploradores web de huellas digitales cuando visita páginas específicas en un sitio web . Sí, esto es definitivamente algo que se puede hacer, pero la precisión variará de un sitio a otro en función de la cantidad de páginas web en sí mismas y, por lo general, las personas que realizan este tipo de análisis también recopilan un poco más de datos. más que el tamaño de la solicitud HTTPS (aunque en algunos casos, todo lo que necesita es información sobre la solicitud HTTPS).

Tenga en cuenta que los ISP están obteniendo MUCHO más datos, incluidas las solicitudes de DNS, la información de tiempo para la carga de páginas, los recursos adicionales del navegador que se pueden cargar (javascript, CSS de terceros, fuentes web, etc.) y solicita archivos alojados en una red de distribución de contenido CDN o un servidor de imágenes secundario, o solicitudes de servidores de anuncios remotos y algunas cosas como Google Analytics al mismo tiempo.

Agregar todos estos datos adicionales y las huellas dactilares que hace el navegador en un momento dado se vuelve mucho más fácil incluso con HTTPS habilitado en el sitio principal que se visita.

Piense en las siguientes tres solicitudes a un sitio web.

1.) La página principal que contiene 15 imágenes en 2 hosts y 2 CDN, así como un banner publicitario. Esta página también carga una biblioteca de Javascript desde un sitio remoto, así como algunas fuentes web de otro sitio web.

2.) Una página secundaria que contiene 3 imágenes que están alojadas en 1 host y una imagen grande alojadas en un CDN, contenido HTML de 1 host y 2 nuevas conexiones de biblioteca de javascript.

3.) Una tercera página que contiene información de interés muy específica que aloja una página HTML mucho más larga, algunas fotos muy grandes, todo desde solo 1 host (sin acceder a un CDN) y tal vez este sitio web tardó unos milisegundos más en cargarse desde El servidor web ya no lo tenía cacheado en RAM.

Estos son ejemplos demasiado simplistas, pero lo que puede comenzar a ver es que cada página web en estos ejemplos tiene una huella digital única cuando se carga con un navegador. Muchos sitios web tienen páginas muy homogéneas que no se prestan a tales huellas dactilares tan fáciles, pero esto es principalmente con fines de ejemplo.

En cualquier caso, ya que estas huellas dactilares únicas pueden ser creadas e incluso analizadas proactivamente por grandes motores de búsqueda o bots (o simplemente recopilados en masa por los ISP). En algunos casos es muy fácil predecir lo que está haciendo un usuario y, en muchos casos, exactamente qué página de un sitio web se está viendo.

En cuanto a que los tamaños de las solicitudes son iguales, también tiene tres variables adicionales a tener en cuenta:

1.) Algoritmos de compresión negociados entre el navegador y el servidor para los datos que se envían.

2.) Variación del tamaño del paquete debido a factores adicionales como el tipo de red.

3.) Las páginas dinámicas con elementos como las fuentes de noticias cambiarán de tamaño.

Incluso con un par de variables como estas, todavía sería posible aproximar razonablemente qué página está cargando una persona. No será un tamaño exacto de una a una para la comparación de páginas, pero para ciertos navegadores bajo ciertas condiciones, el tamaño de los datos será con frecuencia el mismo y la gama de comportamientos probablemente se agrupará muy estrechamente.

Finalmente, una mayor preocupación es la agregación de muchos tipos diferentes de datos y la compilación de información sobre los clientes, de modo que la creación de perfiles de clientes se pueda realizar con solo unos pocos clics y comparaciones con otros conjuntos de datos. Los ISP obtendrán una increíble cantidad de datos sobre los usuarios finales de cada dispositivo en sus casas que se comuniquen.

    
respondido por el Trey Blalock 26.03.2017 - 05:06
fuente

Lea otras preguntas en las etiquetas