原标题:推特以双重保护防止用户遭Silhouette技术线上线下交叉追踪
研究人员发现,骇客能够通过钓鱼攻击,并结合推特拉黑功能造成页面载入的时间差,关联出使用者线下名称与线上身份,而这将造成部分地区的使用者很大的风险,现在推特不只增加参照检查,更联合浏览器厂商共同修正这个问题。
早稻田大学与NTT研究人员通过漏洞奖励计划,向推特回报名骇客可利用名为Silhouette的技术,对用户进行追踪。网站能以JavaScript利用标准浏览器API,在后台向推特发出页面请求,该请求会被要求使用Cookie登入凭证,因此当使用者登入了推特,该请求便会以使用者身份进行。
也就是说,当用户点击来自电子邮件或是推文上的钓鱼连结时,恶意网站就有机会能够取得使用者的推特身份进行追踪,或是找出与其他帐户之间的关系。特别是当骇客能够把使用者线下名称跟线上身份关联时,在特定地区会特别危险。
虽然推特网站以CSRF保护POST请求,以确保请求是由本人操作,防止其他程序代替使用者发送推文的行为。浏览器也会基于安全理由,对跨来源的请求有所限制,像是另一个来源无法读取回应内容,以保护使用者的资讯安全。
不过,由于请求页面可以决定页面载入的时间,Silhouette技术便是利用了网页页面载入时间的可变性,操控用户的请求回应时间,骇客便能通过时间资讯追踪出特定使用者身份。通常推特网页载入的时间很难被预测,因为载入的时间取决于浏览页面上的推文内容。但是推特的拉黑功能却让页面载入时间变得可操控,当使用者A被使用者B拉黑,使用者A在浏览使用者B的推特个人页面时,网页不会载入使用者B的个人资料,并且显示空白的推文时间轴。
显示空白的页面比显示充满推文的页面还要快上许多,根据官方的测试,空白页面载入只需要约200毫秒,一般完整的页面则要约500毫秒。因此骇客可以利用这点,影响用户浏览特定网址的载入时间。研究人员可以通过精心安排多个帐号,并设计特别的拉黑关系,就能够使用极低的请求数,从一大群用户里追踪出特定使用者。推特提到,研究人员只要设立20个存在特定拉黑关系的推特帐号,就能从一百万个帐号群中,追踪特定人士。
当然骇客也可以使用鱼叉式钓鱼法,向使用者发送恶意网站连结,借此追踪该用户,但是研究人员揭露的Silhouette技术,使用者则是在预设隐私的状态下被追踪,而且对大部分的用户都能发生效果。要解决这个问题并非简单的事,推特前后试验了各种方法,同时在浏览器的规范以及应用程序上下手。
推特提到,最理想的解决方案是在登入Cookie中使用SameSite属性,让其他网站对推特网站的请求,不会被视为登入请求,不是登入请求就无法被侦测身份。但是SameSite属性是过期的规范草案,只有Chrome有实作,推特提到,虽然Chrome是最多用户使用的浏览器,但是仍需要顾及其他浏览器的安全性。
推特先采取了较可行的全面解决方案,推特的CSRF保护机制,用来确保POST请求的原始以及参照标头都源自于推特,推特现在把这个机制应用在GET请求上,便能有效解决Silhouette漏洞。但这个机制却会阻挡推特网站的初始载入,为了解决这个问题,他们在twitter.com上创建了一个空白页面,这个网页仅执行重新载入的动作,而重新载入后,参照来源便会设置为twitter.com,页面也就可以正确载入,而非推特网站也就无法在重新载入后进行追踪。这个空白页面非常小,虽然会增加往返的负载,但是对载入时间不会有太大影响。
推特在进行网站修正的同时,也与浏览器主要厂商讨论Cookie属性SameSite的可行性,现在所有主流浏览器包括Chrome、Firefox、Edge、Internet△Explorer△11和Safari都实作了该规范。推特在使用SameSite△Cookie和参照检查后,已经可以确定推特用户免于Silhouette技术影响。但是官方提到,除了推特,其他网站也会受Silhouette技术威胁。
相关:
Windows 10 十月更新推出在即,微软要用户先清出磁碟空间
代号Redstone△5的Windows△10 October△2018 Update即将在10月释出,而为免电脑被正式版Windows△10重大更新塞到跑不动挂掉,微软甚至还警告使用者要注意磁碟容量。在一篇名为《在低容量装置上的Windows△10 update
你知道什么是“杀熟”,也就是说向老用户与新用户享受的价格不同,老用户比较。这不,三大运营商“杀熟”,同样的套餐,老用户却比新新用户支付更多资费。现在三大运营商回应杀熟,保证新老用户同权,会严肃处理。运
Fintech周报第69期 : 金融监理沙盒首案核准,凯基银联手中华电信让消费者用手机门号即可线上申贷、办信用卡
金管会主委顾立雄宣布金融监理沙盒核准首案。 图片来源: 摄影 / 李静宜 09/15-09/21?金融监理沙盒???中华电信???凯基银行?金融监理沙盒首案核准,凯基银联手中华电信让消费者用手机门号即可线上申贷、办信用卡 ?金
腾讯亲情卡是腾讯大王卡中的一个套餐,今年2月,腾讯王卡正式推出亲情卡,每个用户可以申请1张。亲情卡与主卡共享流量,且互打电话免费。不过日前腾讯亲情卡新的套路出现了,大家还是要谨慎些好。腾讯 亲情号码相信各
现如今,个人信息是否很难说,想必大家对“华住旗下酒店5亿条用户开房信息被泄露”这事件,有所了解!被放在暗网出售。现在华住数据泄露告破了!犯罪嫌疑人已缉拿归案,据悉,华住旗下酒店用户数据未被交易。华住酒店