È possibile che la richiesta di un software diverso sulla stessa macchina a un server sia identificata dalla stessa origine mediante il rilevamento degli handshake TLS?

Naviga le tue risposte
1

Se due utenti diversi visitano un sito Web da due browser diversi tramite HTTPS, possono essere identificati dal server dalla stessa origine (stessa macchina client) utilizzando le informazioni disponibili dall'handshake TLS (eccetto solo IP)?

Per quanto posso capire - dal momento che TLS è sotto il livello dell'applicazione, quindi l'ID sessione (da Server Hello durante l'handshake TLS) può essere uguale per entrambe le richieste da diversi browser. Quindi il server può determinare che entrambe le richieste siano dalla stessa macchina: è corretto?

E, come da seguente dichiarazione di questo articolo -

The connection will stay open while both sides send and receive encrypted data until either side sends out a “closure alert” message and then closes the connection. If we reconnect shortly after disconnecting, we can re-use the negotiated keys (if the server still has them cached) without using public key operations, otherwise we do a completely new full handshake.

L'articolo citato sopra implica che, anche dopo la disconnessione, è possibile utilizzare le stesse chiavi negoziate per continuare lo scambio di dati. Significa anche dopo aver cambiato IP, il server può tracciare (solo in base a TLS) che le richieste provengano dalla stessa macchina?

C'è qualcos'altro comunemente noto che un server può utilizzare per collegare in modo sicuro due diverse richieste HTTPS per essere originate dalla stessa macchina (ma diverse  browser)?

Chiedo scusa se questo non è il posto giusto per porre una domanda specifica sull'OS.

    
posta Asif MD 29.07.2018 - 21:59
fonte

1 risposta

0

If two different users visit an website from two different browsers via https, can they be identified by the server to be from same origin(client machine) using information available from TLS handshake?

In alcuni casi, sì.

Ad esempio, la tua domanda afferma che le richieste provengono dallo stesso computer client. Se questa macchina ha un indirizzo IP statico, tutti i pacchetti IP avranno lo stesso indirizzo IP di origine nell'intestazione IP. Le informazioni dell'intestazione IP non sono protette da TLS. I pacchetti di handshake TLS sono pacchetti TCP, che vengono quindi incapsulati in pacchetti IP, che contengono le informazioni IP di origine. Qui sto considerando che questa intestazione è "parte dell'handshake TLS dal momento che il server remoto lo saprà sicuramente.

Modifica / Aggiorna (per indirizzare più direttamente la domanda e il commento):

As far as I can understand- since TLS is below application layer, so the Session ID (from Server Hello during TLS handshake) can be same for both requests from different browsers. Thus the server can determine both requests to be from same machine- is that correct?

TLS è sotto il livello dell'applicazione in un certo senso, ma è anche sopra il livello di trasporto, poiché si basa sul TCP sottostante.

Poiché i processi comunicano via TCP, non vedresti due diversi browser Web (ciascuno con una diversa applicazione / processo) in esecuzione sulla stessa connessione TLS. Ogni browser stabilirà la propria connessione TLS, ognuno invierà il proprio client_hello e ognuno riceverà il proprio server_hello. Ad esempio, se utilizzo Chrome per connettersi a www.website.com e quindi utilizzo Internet Explorer per connettersi a www.website.com, potrò vedere (ad es. Con Wireshark) due diversi pacchetti server_hello da www. website.com e quei pacchetti hanno valori Session ID diversi.

Quindi, questo non sarebbe un buon metodo per determinare che le diverse richieste del browser provengano dalla stessa macchina. Considerando che, il metodo di indirizzo IP sopra menzionato ha una possibilità di funzionare.

    
risposta data 29.07.2018 - 22:37
fonte

Leggi altre domande sui tag

Dove conservare le chiavi AES quando si crittografano i file a riposo? OAuth2 e collegamento di risorse di un proprietario a un altro account personale