HTTPS对于用户隐私泄露无能为力

安全 应用安全
由斯诺登揭露的某政府的大规模的监听计划依然甚嚣尘上,于是关于互联网用户隐私问题一次又一次被提上台面,然后各种观点纷纷芜繁杂。而对于用户隐私和网络行为安全被监听这一内幕,一些人认为采用SSL协议的加密通信,这样他们就会是安全的。

由斯诺登揭露的某政府的大规模的监听计划依然甚嚣尘上,于是关于互联网用户隐私问题一次又一次被提上台面,然后各种观点纷纷芜繁杂。而对于用户隐私和网络行为安全被监听这一内幕,一些人认为采用SSL协议的加密通信,这样他们就会是安全的。

[[110487]]

当然,在这里我们想说,如果你真的关心自己的隐私,介意其是否泄漏,你可以适当改变自己的上网习惯,而不是相信用HTTPS取代HTTP就会确保你网络行为的安全性。当然HTTPS可尽管以用来运行一个在线商店或者电子商务网站,但它无法作为所谓的隐私防护“工具”。

美国的研究人员对十个广泛使用HTTPS的网站进行流量分析,发现依然能看到个人资料的泄露,其中涉及个人的医保、财务、法律事务和性取向。

加州大学伯克利分校的研究人员BradMiller, A. D. Joseph和J. D. Tygar以及英特尔实验室的研究人员黄龄一起在一篇名为“HTTPS流量分析的探测与实现——因何你去诊所”一文中表示,HTTPS作为一种Web传输加密协议,依然很容易进行流量分析。

由于这种记录分析与“词袋”的方法很类似,研究人员提到了一种名为Bag-of-Gaussians (BoG)的分析方法。

“我们采用集群技术来识别流量的模式,然后采用高斯分布来确定每个流量相似的集群,进一步映射出我们需要分析的个体案例行为。”研究人员说。

他们还提到,“所有的分析至少具备两个条件,第一,即攻击者必须能够访问与受害者相同的网页,同时允许攻击者识别不同的网页和流量加密模式;第二,必须能够观察受害者的流量,进而可以和之前了解过的流量模式进行对照。”

这次研究的测试分析中,包括了医疗服务、法律服务、金融产业等多个领域,甚至Netflix和YouTube也在分析行列,流量分析“攻击”涉及10个网站近6000个个人网页,识别同一个网站上各个页面的关联用户,并与浏览过这个页面的用户进行对比,精确度达到89%。

早前斯诺登便说过,“加密工作,正确的实施利用强大的加密系统,是你可以依靠的为数不多的几种手段之一。然而不幸的是,对于NSA而言终端安全是如此脆弱。”所以从技术上来说,政府机构完全可以针对HTTPS的流量元数据进行ISP监听、员工监控,从而达到他们的监控和"检查"的目的。

责任编辑:蓝雨泪 来源: FreeBuf
相关推荐

2019-04-28 11:11:26

沙箱网络攻击网络安全

2016-03-15 10:57:42

数据中心

2011-03-17 15:20:32

iOS应用在线广告

2022-11-09 09:47:44

2023-06-19 10:03:34

2018-01-09 05:29:23

2015-12-16 11:15:01

2018-09-05 09:32:42

高性能网络模型

2015-06-08 11:04:21

隐私隐私保护隐私安全

2012-03-22 13:50:48

NETGEAR无线路由WDS

2010-04-23 14:26:08

2023-10-23 14:30:22

2011-03-31 14:44:50

2024-04-26 11:30:47

2023-04-10 15:56:19

用户隐私特斯拉

2013-11-08 09:10:23

2018-04-27 13:00:00

数据库MySQL删除重复行

2023-12-27 08:52:23

2021-08-31 06:37:35

Java 语言 Java 基础

2020-10-14 09:44:52

漏洞
点赞
收藏

51CTO技术栈公众号