首页
社区
课程
招聘
[讨论]是否可以根据浏览器客户端SSL证书指纹来实现用户追踪
发表于: 2018-5-30 23:38 1913

[讨论]是否可以根据浏览器客户端SSL证书指纹来实现用户追踪

2018-5-30 23:38
1913
刚想到一个问题,比如我们打开Chrome浏览器访问 https://bbs.pediy.com , 首先建立TCP连接,然后SSL握手,服务器端的证书不用说都是公开那一个证书的,那么浏览器客户端的证书呢?如果每次客户端用的都是同一个证书,也或者“隐私模式下”新开窗口同样也用了同一个SSL证书,那服务器是不是其实还是可以判断出是同一个用户了?
好的,启动Wireshark,分析下,大家有什么看法讨论下?

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (4)
雪    币: 12848
活跃值: (9142)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
2
普通的https单向认证不需要客户端提供证书,也就是不存在客户端证书一说

你说的那种是双向认证,需要客户端安装一个唯一的证书才行,一般是给网银,支付接口之类用的
2018-5-31 10:21
0
雪    币: 209
活跃值: (19)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
普通https的确是单向认证,但是双向都是要提供公钥的,服务器提供服务器的公钥给客户端,客户端也要提供一份客户端的公钥KeyX(可能是浏览器安装或者运行时自动生成的)给服务端。  我的问题就是同一个客户端是不是一直用同一个KeyX来跟服务器通讯,如果是的话,那服务器根据KeyX就可以判断出是同一个访问者了,即便你是用Chrome的隐私模式,如果该模式下也用KeyX进行https通讯,那服务器还是能判断出来你是谁。
2018-5-31 19:52
0
雪    币: 12848
活跃值: (9142)
能力值: ( LV9,RANK:280 )
在线值:
发帖
回帖
粉丝
4
Jeller 普通https的确是单向认证,但是双向都是要提供公钥的,服务器提供服务器的公钥给客户端,客户端也要提供一份客户端的公钥KeyX(可能是浏览器安装或者运行时自动生成的)给服务端。 我的问题就是同一个客户 ...
openssl有个选项是允许重复使用一个key,要看那个选项是不是TRUE
2018-6-1 10:46
0
雪    币: 30
活跃值: (36)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
hzqst openssl有个选项是允许重复使用一个key,要看那个选项是不是TRUE
请教一下,openssl里重复使用一个key的选项在哪里?
2018-6-14 11:43
0
游客
登录 | 注册 方可回帖
返回
//