A la luz de la reciente decisión del Senado en los EE. UU. de permite a los ISP vender el historial de navegación de los usuarios , he estado leyendo recomendaciones sobre cómo los usuarios pueden conservar su privacidad. Una de las recomendaciones comunes es restringir su navegación a sitios HTTPS, para que al menos el contenido en el sitio permanezca privado, incluso si la actividad del dominio ya no es privada.
Aunque piense en esto, los ISP seguramente podrían hacer algunas deducciones básicas con bastante facilidad, por ejemplo. la alta tasa de descarga en youtube.com sugiere ver videos, la alta tasa de carga en dicho sitio sugiere subir videos, etc.
Tomando este enfoque más allá, me pregunto si los ISP podrían adivinar el contenido de una página específica utilizando el tamaño de solicitud HTTPS. P.ej. el artículo de "seguridad tecnológica / posible sesgo contra los republicanos" de Ars Technica I vinculado es un tamaño de respuesta transferida de 16.77 / 16.78 KB solo para la página HTML base. Considerando que otro artículo que se ajusta a la categoría "empollón del tiempo" generalmente llega a 13.34 kB.
Por supuesto, esto dependerá de la naturaleza dinámica vs estática / almacenamiento en caché de la página, y particularmente si hay una adaptación sustancial específica del usuario para cada carga HTML.
¿Aunque este concepto se mantiene? ¿Tengo razón al pensar que el tamaño de solicitud cifrado a través de HTTPS va a ser casi exactamente proporcional al tamaño de solicitud subyacente?
Pensando en posibles soluciones, los sitios podrían ofuscar artículos rellenando con HTML no deseado (por ejemplo, una gran sección de comentarios) para minimizar la singularidad. Del mismo modo, las imágenes podrían comprimirse a tamaños idénticos, haciendo que un enfoque de mapeo simple para cualquier ISP / detector de paquetes sea ineficaz y requiriendo un reconocimiento de patrones más sustancial. Aunque, por supuesto, esto es un tanto discutible, ya que los dominios han sido visitados y cuándo es más que suficiente para crear un perfil en línea.