HTTPS może nie zapewniać prywatności

[zbc]

Naukowcy z Berkeley odkryli sposób na identyfikację stron internetowych w czyimś ruchu internetowym przy zastosowaniu własnej metody, która powstała po analizie 463125 załadowaniach 10 witryn internetowych w grudniu 2013 i styczniu 2014 roku. Analiza ta pozwoliła zidentyfikować poszczególne z nich z dokładnością 89%.

- Nasz atak stosuje techniki grupowania do zidentyfikowania wzorców w ruchu. Następnie za pomocą rozkładu Gaussa porównuje podobieństwo do każdego klastra i mapy próbek ruchu - twierdzą naukowcy.

Atakujący mogą wykorzystać tę metodę nadzoru do przekopania danych klientów w celach reklamowych, w celu zablokowania usług użytkowników podejrzanych o dostęp do zakazanych witryn lub monitorowanie ruchu prywatnego i korporacyjnego pracowników.

Do wykrycia wzorców ruchu, haker musi wejść na te same strony internetowe, co jego ofiary by móc obserwować ruch przychodzący, aby dopasować go do znanych wzorców.

Źródło:

[Aby zobaczyć linki, zarejestruj się tutaj]

Chip wziął dane od BitDefendera.

[wojek]

W tym kontekście dodatek do FF o nazwie Convergence :

[Aby zobaczyć linki, zarejestruj się tutaj]

Kiedyś go wypróbowałem; zdaje się że opóźniał mi FF, więc wywaliłem.
Trudno powiedzieć, czy jest rozwijany (na stronie WWW jest rok 2011).
Instalacja na własną odpowiedzialność - jak instalowałem, FF go blokował, i trzeba było zezwalać.

[zbc]

W tym kontekście dodatek do FF o nazwie Convergence :

[Aby zobaczyć linki, zarejestruj się tutaj]

Kiedyś go wypróbowałem; zdaje się że opóźniał mi FF, więc wywaliłem.
Trudno powiedzieć, czy jest rozwijany (na stronie WWW jest rok 2011).
Instalacja na własną odpowiedzialność - jak instalowałem, FF go blokował, i trzeba było zezwalać.

Do czego jest ten dodatek?

[wojek]

Jak rozumiem, to alternatywa dla ogólnie przyjętego systemu certyfikacji (CA):

Convergence is a secure replacement for the Certificate Authority System.
Rather than employing a traditionally hard-coded list of immutable CAs,
Convergence allows you to configure a dynamic set of Notaries
which use network perspective to validate your communication.

[Aby zobaczyć linki, zarejestruj się tutaj]

Więcej szczegółów powinno być na tym wideo:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Konto usunięte]

Tytuł delikatnie mówiąc na miarę Faktu czy Super Expressu.
Owszem, da się określić, gdzie był user... ale czy coś więcej? Czy da się wyciągnąć np. zaszyfrowane dane wprowadzane przez nas w formularzach na stronach idących po SSL?

Ja bym zmienił tytuł na coś pokroju "HTTPS może nie zapewniać prywatności", bo bezpieczeństwo zapewnia (oczywiście jeśli po stronie serwera nie używamy np. SSLv1 czy SSLv2).

[zbc]

Ja bym zmienił tytuł na coś pokroju "HTTPS może nie zapewniać prywatności"

No ja niestety nie mogę, a moderatorów nie będę o każdą zmianę prosił :/
Bez komentarza...

[Konto usunięte]

Faktycznie... czas kiedy było to możliwe minął... no to zmieniłem

[zbc]

@lukasamd
Masz jeszcze ze źródła (chip):

Protokół udostępnia dane podatne na wścibskie spojrzenia.

Zabezpieczone strony HTTPS są narażone na analizy ruchu, które mogą narazić informacje prawne, finansowe, a nawet te na temat zdrowia, pokazują niedawne badania bezpieczeństwa.

[ichito]

Hmm...skoro mogą wiedzieć, gdzie byliśmy i kiedy, to mamy sytuacje niemal taka samą, jak w przypadku analizy metadanych...czyli

Zbierający metadane widzą, że dzwoniłeś na sex-telefon o 2:24 w nocy i rozmawiałeś przez 18 minut. Nie wiedzą jednak o czym rozmawiałeś.
Wiedzą, że dzwoniłeś na infolinię wspierającą osoby z myślami samobójczymi przebywając na moście Golden Gate (mekka samobójców — przyp. red.). Temat rozmowy pozostaje jednak tajemnicą.
Wiedzą, że dzwoniłeś do laboratorium wykonującego testy na HIV, zaraz potem do swojego lekarza, a następnie do swojej firmy ubezpieczeniowej. Nie są jednak w stanie się domyślić, o co mogło chodzić.

[Aby zobaczyć linki, zarejestruj się tutaj]