HTTPS对于用户隐私泄露无能为力
由斯诺登揭露的某政府的大规模的监听计划依然甚嚣尘上,于是关于互联网用户隐私问题一次又一次被提上台面,然后各种观点纷纷芜繁杂。而对于用户隐私和网络行为安全被监听这一内幕,一些人认为采用SSL协议的加密通信,这样他们就会是安全的。
当然,在这里我们想说,如果你真的关心自己的隐私,介意其是否泄漏,你可以适当改变自己的上网习惯,而不是相信用HTTPS取代HTTP就会确保你网络行为的安全性。当然HTTPS可尽管以用来运行一个在线商店或者电子商务网站,但它无法作为所谓的隐私防护“工具”。
美国的研究人员对十个广泛使用HTTPS的网站进行流量分析,发现依然能看到个人资料的泄露,其中涉及个人的医保、财务、法律事务和性取向。
加州大学伯克利分校的研究人员BradMiller, A. D. Joseph和J. D. Tygar以及英特尔实验室的研究人员黄龄一起在一篇名为“HTTPS流量分析的探测与实现——因何你去诊所”一文中表示,HTTPS作为一种Web传输加密协议,依然很容易进行流量分析。
由于这种记录分析与“词袋”的方法很类似,研究人员提到了一种名为Bag-of-Gaussians (BoG)的分析方法。
“我们采用集群技术来识别流量的模式,然后采用高斯分布来确定每个流量相似的集群,进一步映射出我们需要分析的个体案例
行为。”研究人员说。他们还提到,“所有的分析至少具备两个条件,第一,即攻击者必须能够访问与受害者相同的网页,同时允
许攻击者识别不同的网页和流量加密模式;第二,必须能够观察受害者的流量,进而可以和之前了解过的流量模式进行对照。”
这次研究的测试分析中,包括了医疗服务、法律服务、金融产业等多个领域,甚至Netflix和YouTube也在分析行列,流量分析“攻击”涉及10个网站近6000个个人网页,识别同一个网站上各个页面的关联用户,并与浏览过这个页面的用户进行对比,精确度达到89%。
早前斯诺登便说过,“加密工作,正确的实施利用强大的加密系统,是你可以依靠的为数不多的几种手段之一。然而不幸的是,对于NSA而言终端安全是如此脆弱。”所以从技术上来说,政府机构完全可以针对HTTPS的流量元数据进行ISP监听、员工监控,从而达到他们的监控和"检查"的目的。
[原文地址 译/FreeBuf小编pynwolf]
- 分类模型的性能评估——以SAS Logistic回归为例: 混淆矩阵
- R语言,你要怎样画地图?
- R语言绘制中国地图,并展示流行病学数据
- 使用R语言构造投资组合
- R语言构建追涨杀跌量化交易模型
- 美团点评境外度假团队前端项目开发实践总结
- 在jfinal中使用druid,并配置查看权限
- java中遇到过的String的一些特性
- Kaggle案例——使用scikit-learn解决DigitRecognition问题
- 基于Kaggle数据的词袋模型文本分类教程
- javascript中遇到的字符串对象处理
- 传统企业站开发 - 页面布局
- AngularJS中使用service,并同步数据
- 2016.05 第四周 群问题分享
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- Android实现折线走势图
- Android Selector 按下修改背景和文本颜色的实现代码
- Android使用RecyclerView实现投票系统
- Android Selector获取焦点后文本背景修改的实现代码
- 基于SceneForm实现子弹射击(绘制子弹运行轨迹)
- android实现清理缓存功能
- Android实现 Shape属性gradient 渐变效果
- 1K GitHub star+ 的项目是如何炼成的?
- Android属性动画实现图片从左到右逐渐消失
- Android实现清除应用缓存功能
- VBlog的代码结构,使用vue-element,vue-vant组件开发的纯前端博客
- Android仿微信视屏悬浮窗效果
- Android仿QQ可拉伸头部控件
- android使用surfaceview+MediaPlayer播放视频
- Android性能之冷启动优化详析