基于SSL中间证书的指纹识别技术

2024-04-23 10:38

本文主要是介绍基于SSL中间证书的指纹识别技术,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

为创建一个HTTPS连接,浏览器需要建立从网站SSL证书到根CA证书的完整链条。中间证书组成了这一链条的中间部分。通常至少存在一个中间证书,有时也可能会更多。

如果网站正确配置了服务器并将所有必要的中间证书发送给了浏览器,建立链条的过程就会变得相对简单。但没有配置或错误配置中间证书却是最常见的HTTPS配置错误。

web服务器未提供中间证书的证书链示意图——由shiftordie.de提供

为避免网络上出现大量证书错误的情况,浏览器运营商都制订有应对这些错误配置的办法。Firefox是这样实现的,它接收到正确配置网站的中间证书后,建立了一个本地缓存池。于是当它创建其他连接时,就可以通过查看这个缓存空间来获得正确的证书。

但是,Firefox这样做还有两个弊端。第一,它制造了类似如下的一种幻觉:配置错误的网站在正常工作。一个缺乏经验的服务器管理员可能不会意识到他们网站的HTTPS连接仅仅是依靠浏览器的缓存才正常工作的。

另一个缺点是:研究人员发现了基于他们的特定缓存的唯一性来识别用户指纹的方法。

这项指纹识别技术通过加载多个错误配置的网站的资源来工作,每个这样的网站都使用不同机构颁发的证书。如果能够成功加载这类资源,就意味着你的Firefox浏览器在缓存中已经有了所需要的中间证书。如果不能加载,Firefox就会因为没有中间证书而无法创建连接。那时,某个中间证书是否已被缓存的情况会被记录并保存下来,而如果数据是唯一的,就能创建唯一的指纹。

此外,当今的证书颁发机构多如牛毛。很可能你知道一些大的CA,如Symantec、Comodo和GoDaddy。但你听说过HARICA吗?希腊学术和研究院证书颁发机构?专为希腊学术界提供SSL证书的?

这些针对性很强的CA为特定的地区、政府部门和其他专门社区服务。它们的根证书存在于全球数百万计的计算机内,尽管多数用户可能永远也不会见到它们的证书。

所以,尽管具有任何Symantec根证书的中间证书缓存可能不会对识别有很大帮助,但香港邮政的HARICA的中间证书却可以做到。

创造出这项技术的Alexander Klink在其博客中写道,“某个CA的客户大部分都集中在一个国家或地区,或者可能更特殊,这会让你推测出更多的信息——即,一个缓存了Deutsche Bundestag CA(Bundestag是德国立法机构之一,就像美国的众议院)的用户极可能在德国,而且很可能多多少少对政治有一点兴趣。”

Klink指出了该技术的几种不同的用法,包括将用户连接到一个Private Browsing会话(因为他们共享一个相同的缓存)并检测客户端设备是否为恶意软件分析沙盘工具,“这种工具很可能没有或只有极少几个普通的中间证书缓存。”

Firefox不像其它浏览器那样,它不执行AIA抓取。AIA抓取通过在服务器证书中嵌入信息来了解从何处获得所需中间证书的副本。讽刺的是,Firefox放弃了AIA抓取,是因为它自身在私密性方面有缺陷。相反,它选择了使用缓存,而使浏览器在这项指纹识别技术面前变得异常脆弱。

谷歌Chrome使用AIA抓取,因而对这项技术获得了免疫。Chrome可以在连接期间直接下载所需的中间证书,而想要创建一个它此前遇到过的中间证书的清单则是不可能的。

Klink创建了实例加以证明,你可以来看看这项技术的实际应用(当然你需要通过Firefox访问这个页面)。这项测试找到了325个不同的中间证书。

今年早些时候,Firefox实行了一个“字体白名单”,来防范这项可以通过你的计算机所支持的字体来识别你自身的技术。

Firefox开发人员指出,对这一新的中间证书缓存指纹识别技术进行防御可能并不容易,因为对它的防御很可能需要削弱浏览器的功能或禁用所有缓存。目前,他们还没有做出配套的变更计划。

而在学术界,来自宾夕法尼亚州Lehigh大学的研究人员最近创建了一个指纹识别方法,可以通过计算机的图形渲染能力来唯一确定它,并可以在不同的浏览器中进行跟踪。

我们可以认识到,指纹识别技术正变得越来越复杂,它甚至不需要查看你的特殊习惯或浏览记录,通常只需要依靠硬件/软件功能和设置就可以识别你。而我们平日里所认为的安全,或许并不如想象中那样牢不可破。


这篇关于基于SSL中间证书的指纹识别技术的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/928564

相关文章

【专题】2024飞行汽车技术全景报告合集PDF分享(附原数据表)

原文链接: https://tecdat.cn/?p=37628 6月16日,小鹏汇天旅航者X2在北京大兴国际机场临空经济区完成首飞,这也是小鹏汇天的产品在京津冀地区进行的首次飞行。小鹏汇天方面还表示,公司准备量产,并计划今年四季度开启预售小鹏汇天分体式飞行汽车,探索分体式飞行汽车城际通勤。阅读原文,获取专题报告合集全文,解锁文末271份飞行汽车相关行业研究报告。 据悉,业内人士对飞行汽车行业

金融业开源技术 术语

金融业开源技术  术语 1  范围 本文件界定了金融业开源技术的常用术语。 本文件适用于金融业中涉及开源技术的相关标准及规范性文件制定和信息沟通等活动。

软考系统规划与管理师考试证书含金量高吗?

2024年软考系统规划与管理师考试报名时间节点: 报名时间:2024年上半年软考将于3月中旬陆续开始报名 考试时间:上半年5月25日到28日,下半年11月9日到12日 分数线:所有科目成绩均须达到45分以上(包括45分)方可通过考试 成绩查询:可在“中国计算机技术职业资格网”上查询软考成绩 出成绩时间:预计在11月左右 证书领取时间:一般在考试成绩公布后3~4个月,各地领取时间有所不同

AI(文生语音)-TTS 技术线路探索学习:从拼接式参数化方法到Tacotron端到端输出

AI(文生语音)-TTS 技术线路探索学习:从拼接式参数化方法到Tacotron端到端输出 在数字化时代,文本到语音(Text-to-Speech, TTS)技术已成为人机交互的关键桥梁,无论是为视障人士提供辅助阅读,还是为智能助手注入声音的灵魂,TTS 技术都扮演着至关重要的角色。从最初的拼接式方法到参数化技术,再到现今的深度学习解决方案,TTS 技术经历了一段长足的进步。这篇文章将带您穿越时

系统架构设计师: 信息安全技术

简简单单 Online zuozuo: 简简单单 Online zuozuo 简简单单 Online zuozuo 简简单单 Online zuozuo 简简单单 Online zuozuo :本心、输入输出、结果 简简单单 Online zuozuo : 文章目录 系统架构设计师: 信息安全技术前言信息安全的基本要素:信息安全的范围:安全措施的目标:访问控制技术要素:访问控制包括:等保

前端技术(七)——less 教程

一、less简介 1. less是什么? less是一种动态样式语言,属于css预处理器的范畴,它扩展了CSS语言,增加了变量、Mixin、函数等特性,使CSS 更易维护和扩展LESS 既可以在 客户端 上运行 ,也可以借助Node.js在服务端运行。 less的中文官网:https://lesscss.cn/ 2. less编译工具 koala 官网 http://koala-app.

消除安卓SDK更新时的“https://dl-ssl.google.com refused”异常的方法

消除安卓SDK更新时的“https://dl-ssl.google.com refused”异常的方法   消除安卓SDK更新时的“https://dl-ssl.google.com refused”异常的方法 [转载]原地址:http://blog.csdn.net/x605940745/article/details/17911115 消除SDK更新时的“

Jenkins 插件 地址证书报错问题解决思路

问题提示摘要: SunCertPathBuilderException: unable to find valid certification path to requested target...... 网上很多的解决方式是更新站点的地址,我这里修改了一个日本的地址(清华镜像也好),其实发现是解决不了上述的报错问题的,其实,最终拉去插件的时候,会提示证书的问题,几经周折找到了其中一遍博文

Spring的设计⽬标——《Spring技术内幕》

读《Spring技术内幕》第二版,计文柯著。 如果我们要简要地描述Spring的设计⽬标,可以这么说,Spring为开发者提供的是⼀个⼀站式的轻量级应⽤开发框架(平台)。 作为平台,Spring抽象了我们在 许多应⽤开发中遇到的共性问题;同时,作为⼀个轻量级的应⽤开发框架,Spring和传统的J2EE开发相⽐,有其⾃⾝的特点。 通过这些⾃⾝的特点,Spring充分体现了它的设计理念:在

Android逆向(反调,脱壳,过ssl证书脚本)

文章目录 总结 基础Android基础工具 定位关键代码页面activity定位数据包参数定位堆栈追踪 编写反调脱壳好用的脚本过ssl证书校验抓包反调的脚本打印堆栈bilibili反调的脚本 总结 暑假做了两个月的Android逆向,记录一下自己学到的东西。对于app渗透有了一些思路。 这两个月主要做的是代码分析,对于分析完后的持久化等没有学习。主要是如何反编译源码,如何找到