Forscher warnen vor Tracking via TLS

TLS Session Resumption soll den Aufbau verschlüsselter Verbindungen beschleunigen. Es ermöglicht aber unter Umständen auch, den Anwender im Netz zu verfolgen.

In Pocket speichern vorlesen Druckansicht 33 Kommentare lesen
Forscher warnen vor Tracking via TLS

(Bild: Sy et al.)

Lesezeit: 3 Min.

Vier Forscher der Uni-Hamburg warnen vor einer bislang wenig diskutierten Gefahr für die Privatsphäre von Internet-Nutzern: Ausgerechnet die immer weiter um sich greifende Verschlüsselung der Daten mit TLS ermögliche es, die Anwender beim Surfen im Internet zu verfolgen, warnen Erik Sy und Kollegen.

Ursache des Problems ist die Möglichkeit, eine einmal aufgebaute TLS-Verbindung schnell wieder aufzunehmen (Session Resumption). Dazu identifiziert sich der Web-Browser bei einem erneuten Besuch mit einer speziellen ID, an der ihn der Server wiedererkennt, (SessionID/Session Ticket oder Pre-Shared Key je nach TLS-Version). Das könnten etwa Werbe-Treibende missbrauchen, um Internet-Nutzer wiederzuerkennen.

Da fast alle Browser diese Session Resumption unterstützen, wäre es der ideale Ersatz, wenn die Browser-Hersteller wie angedroht die Auslieferung der exzessiv für Tracking eingesetzten Third Party Cookies einschränken. Damit könnte dann ein Tracking-Server, der etwa im Rahmen von Werbung auf vielen Web-Sites eingebunden ist, die Anwender beim Surfen im Internet mit ihrer TLS-Session-ID verfolgen. So ist etwa Google auf etwa 80 Prozent der Top-1-Million-Sites von Alexa vertreten.

Konkrete Anzeichen dafür, dass dieses TLS-Session-Tracking tatsächlich schon durchgeführt wird, fanden die Forscher allerdings nicht. Im Gegenteil deuten die auf der Mehrzahl der Server sehr kurz eingestellten Sitzungs-Lebenszeiten vielmehr darauf hin, dass das Verfahren zumindest noch nicht großflächig zum Einsatz kommt. Prominente Ausnahmen mit besonders langen Lebenszeiten sind ausgerechnet die Marktführer im Bereich der gezielten Werbung: Google und Facebook. Angesichts ihrer riesigen Benutzerzahlen profitieren sie natürlich auch besonders von der Ressourceneinsparung, sodass man daraus nicht schließen kann, dass sie bereits via TLS Session Resumption tracken.

Um zukünftig Tracking via TLS Session zu verhindern, schlagen die Forscher in ihrem Paper Tracking Users across the Web via TLS Session Resumption Änderungen am TLS-Standard und bei den Voreinstellungen der Browser vor, denn diese TLS-Funktion ist keineswegs unverzichtbar. Das schlimmste, was dabei passieren kann, wenn ein Browser sie nicht unterstützt, ist ein etwas langsamerer Seitenaufbau. Besonders privatssphären-freundliche Browser wie der Tor-Browser, Orbot (Android) und JonDoBrowser machen das standardmäßig. Microsofts Edge und Konqueror unterstützen zwar TLS Session Resumption generell, blockieren es aber für Third Party Sites. Damit ist Microsofts Edge in Sachen Privatsphäre den Konkurrenten wie Firefox, Chrome, Safari und Opera zumindest einmal einen Schritt voraus. (ju)