Vier Sicherheitsforscher der Universität Hamburg haben herausgefunden, dass Werbetreibende die Internetaktivitäten von Nutzern verfolgen können, indem sie eine Funktion des Verschlüsselungsprotokolls Transport Layer Security (TLS) missbrauchen. Von 45 untersuchten Browsern für Desktop-Computer und mobile Geräte erlauben demnach 38 das unerwünschte User-Tracking.
Den Forschern zufolge können Werbetreibende, die Anzeigen über HTTPS bereitstellen, ebenfalls TLS Session Resumption aktivieren. Besucht ein Nutzer eine Website mit einer solchen Anzeige, wird eine TLS-Sitzung mit dem Server der Werbefirma etabliert. Wechselt der Nutzer zu einer anderen Seite, die ebenfalls eine Anzeige dieser Firma enthält, wird die TLS-Sitzung nicht neu aufgebaut, sondern fortgesetzt. Der Werbetreibende kann nun über seine TLS-Sitzung sowie seine Anzeigen nachvollziehen, welche Websites der Nutzer zuletzt besucht hat.
Diese Technik funktioniert allerdings nur, wenn auch der Browser diese Form des Tracking erlaubt. Im Desktop-Bereich wird es allerdings nur (Stand Anfang September) von sechs Browsers blockiert: 360 Security Browser, JonDoBrowser, Konqueror, Microsoft Edge, Sleipnir und Tor Browser, wobei Tor Browser und JonDoBrowser TLS Session Resumption erst gar nicht unterstützen.
Android-Nutzern steht lediglich der Orbot-Browser zur Verfügung, um sich gegen diese Form des Trackings zu schützen. Unter iOS 11 sind indes Chrome, Firefox, Opera und Safari anfällig.
Große Unterschiede ergeben sich auch bei der Lebenszeit von Session-IDs und Session Tickets. Während viele Browser die Wiederaufnahme einer TLS-Sitzung nur für bis zu 30 oder 60 Minuten erlauben, sind es bei einigen bis zu 24 Stunden (Firefox, Safari). Nur ein Browser gibt einen extrem kurzen Zeitraum von 15 Sekunden vor: Opera Mini für Android.
Die Forscher gehen davon aus, dass sich viele Browser-Anbieter dieser Tracking-Methode nicht bewusst sind. Ihre Studie gibt auch keine Auskunft darüber, welche Werbefirmen das Tracking per TLS Session Resumption tatsächlich einsetzen. Sie stufen es jedoch als verdächtig ein, dass Google und Facebook serverseitig TLS-Sitzungen für Zeiträume von 28 beziehungsweise 48 Stunden aufrechterhalten. 80 Prozent der von ihnen untersuchten Websites unterstützten das Session Resumption nur über einen Zeitraum von bis zu zehn Minuten.
Die Forscher empfehlen, dass Browser-Anbieter die Fortführung von TLS-Sitzungen generell für Dritt-Domains blockieren und nur für die Domain zulassen, die der Nutzer über den Browser direkt aufgerufen hat. Als Folge müssten per HTTPS ausgelieferte Anzeigen stets eine neue Sitzung aushandeln, egal auf welcher Domain sie angezeigt werden.
Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!
Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.