Alla luce della recente decisione del Senato negli Stati Uniti di consente agli ISP di vendere la cronologia di navigazione degli utenti , ho letto dei consigli su come gli utenti possono mantenere la loro privacy. Uno dei consigli comuni è quello di limitare la navigazione ai siti HTTPS, in modo che almeno il contenuto sul sito rimanga privato anche se l'attività del dominio non è più privata.
Pur pensando a questo, gli ISP potrebbero sicuramente fare alcune detrazioni di base abbastanza facilmente - ad es. l'alta percentuale di download su youtube.com suggerisce di guardare video, l'alta percentuale di upload su detto sito suggerisce il caricamento di video, ecc.
Adottando ulteriormente questo approccio, mi chiedo se gli ISP potrebbero indovinare contenuti di pagine specifiche utilizzando la dimensione richiesta HTTPS? Per esempio. che l'articolo "sicurezza tecnica / pregiudizio possibile contro i repubblicani" di Ars Technica I è un 16.77 / 16.78 kB di dimensioni di risposta trasferite per la sola pagina HTML di base. Considerando che un altro articolo che si adatta alla categoria "nerd" di solito arriva a 13,34 kB.
Ovviamente questo dipenderà dalla natura dinamica vs static / caching della pagina, e in particolare se vi è una sostanziale personalizzazione specifica dell'utente per ogni carico HTML.
Anche se questo concetto è valido? Ho ragione nel ritenere che la dimensione della richiesta crittografata tramite HTTPS sarà quasi esattamente proporzionale alla dimensione della richiesta sottostante?
Pensando alle possibili soluzioni, i siti potrebbero offuscare gli articoli riempiendo di HTML spazzatura (ad esempio una sezione di commenti di grandi dimensioni) per ridurre al minimo l'unicità. Allo stesso modo le immagini potrebbero essere compresse a dimensioni identiche, rendendo un approccio di mappatura semplice per qualsiasi ISP / sniffer di pacchetti inefficace e che richiede un riconoscimento di pattern più consistente. Anche se, naturalmente, questo è un po 'discutibile, in quanto quali domini sono stati visitati e quando è già più che sufficiente per costruire un profilo online.