信息來源：cnBeta

你以為禁用瀏覽器 Cookie 就能避免被網(wǎng)站追蹤嗎？倡導將 Cookie 追蹤選擇權(quán)還給用戶的說法，可能只是煙霧彈，實際上仍能使用最新 TLS 1.3 傳輸層安全協(xié)議追蹤用戶。目前網(wǎng)站追蹤用戶的手段，比較流行的仍然是 Cookie 或通過網(wǎng)頁瀏覽器特征進行辨識，而較少受到關(guān)注的技術(shù)是基于傳輸層安全協(xié)議(Transport Layer Security，TLS)的用戶跟蹤。

特別是使用 TLS 對話恢復(TLS Session Resumption)機制，而漢堡大學研究員率先對 TLS 對話恢復機制的適用性進行了研究。

由于隱私瀏覽器技術(shù)的日漸成熟，網(wǎng)站越來越無法通過 Cookie 和網(wǎng)頁瀏覽器特征來追蹤用戶，但道高一尺魔高一丈，現(xiàn)在這些網(wǎng)站會用 TLS 1.3 中的 TLS 對話恢復機制追蹤用戶。

包括 Facebook 以及 Google 在內(nèi)的等公司，過去都會使用 HTTP Cookie 以及網(wǎng)頁瀏覽器特征追蹤用戶，但隨著用戶越來越注意保護自己的隱私，更多的人開始使用強化隱私的瀏覽器，以隱私模式或是擴展來限制網(wǎng)頁追蹤，這使得上述兩項技術(shù)幾乎失靈。另外，通過 IP 位置追蹤用戶也受到限制，因為用戶有可能以 NAT 共享公共 IP 地址，而且網(wǎng)站也無法跨過不同的網(wǎng)絡追蹤裝置。

網(wǎng)站開始把追蹤主意打到最新的TLS 1.3協(xié)定上，追蹤技術(shù)開始轉(zhuǎn)向使用TLS對話恢復機制.TLS對話恢復機制允許網(wǎng)站利用早前的TLS對話中交換的密鑰，來縮減TLS握手程序，而這也開啟了讓網(wǎng)站可以鏈結(jié)兩個對話的可能性。由于重新啟動瀏覽器會順便清空快取，所以這個方法僅在瀏覽器未重新啟動的情況下，網(wǎng)站才能透過TLS對話恢復進行連續(xù)用戶追蹤。但是這個使用習慣在行動裝置完全不同，行動裝置使用者鮮少重新開啟瀏覽器。

網(wǎng)站于是開始把目光瞄向了最新的 TLS 1.3 協(xié)議上，它們的追蹤技術(shù)開始轉(zhuǎn)向使用 TLS 對話恢復機制。TLS 對話恢復機制允許網(wǎng)站利用早前的 TLS 對話中交換的密鑰，來縮減 TLS 握手程序，而這也開啟了讓網(wǎng)站可以鏈接兩個對話的可能性。由于重啟瀏覽器會順便清空緩存，所以這個方法僅在瀏覽器未重啟的情況下，網(wǎng)站才能通過 TLS 對話恢復進行連續(xù)的用戶追蹤。但是這個使用習慣在移動設備上完全不同，移動設備用戶很少重啟瀏覽器。

漢堡大學研究員系統(tǒng)性地研究了 48 種熱門瀏覽器以及 Alexa 前百萬熱門網(wǎng)站的配置，以評估這些追蹤機制的實際配置以及用戶追蹤可持續(xù)時間。研究人員使用了延長攻擊(Prolongation Attack)，延長追蹤周期至超過 TLS 對話恢復的生命周期，接著根據(jù)額外的 DNS 數(shù)據(jù)，分析延長攻擊對于追蹤時間的影響，以及可永久追蹤的用戶比例，最終導出用戶的瀏覽行為。

研究顯示，即便標準瀏覽器將 TLS 對話恢復生命周期設置為僅維持一天，用戶仍可以被追蹤長達8天之久，TLS 1.3 草稿版本建議 TLS 對話恢復生命周期為7天上限，研究人員通過 Alexa 資料集中的至少一個網(wǎng)站，便可永久追蹤實驗中的 65％ 用戶。

研究人員也觀察到，Alexa 前百萬熱門網(wǎng)站中，有超過 80％ 的 TLS 對話恢復生命周期都在 10 分鐘以下，但是大約 10％ 的網(wǎng)站使用大于24小時的周期設定，特別是廣告商 —— Google 的 TLS 對話生命周期達28小時，而 Facebook 對話恢復生命周期的設定更是高達48小時，在 Alexa 前百萬熱門網(wǎng)站中位于 99.99 百分位數(shù)之上。

漢堡大學研究員指出，要防止網(wǎng)站通過 TLS 對話恢復追蹤用戶，需要修改 TLS 標準和常見瀏覽器的配置，而目前最有效的方式就是完全禁用 TLS 對話恢復功能。