SNI는 웹 사이트 방문자에게 개인 정보 보호 문제를 나타 냅니까?


10

먼저, 영어 실력이 유감입니다. 나는 아직도 그것을 배우고있다. 여기 간다:

IP 주소별로 단일 웹 사이트를 호스트하면 "순수한"SSL (SNI없이)을 사용할 수 있으며 사용자가 검색하려는 호스트 이름과 경로를 알려주기 전에 키 교환이 발생합니다. 키 교환 후 모든 데이터를 안전하게 교환 할 수 있습니다. 즉, 누군가 네트워크를 스니핑하는 경우 기밀 정보가 유출되지 않습니다 * (각주 참조).

반면에, IP 주소 당 여러 개의 웹 사이트를 호스팅하는 경우 SNI를 사용하게되므로 웹 사이트 방문자가 올바른 호스트 이름을 제공하기 전에 대상 호스트 이름을 알려 주어야합니다. 이 경우 네트워크를 스니핑하는 사람은 액세스중인 모든 웹 사이트 도메인을 추적 할 수 있습니다.

내 가정에 오류가 있습니까? 그렇지 않은 경우 사용자가 암호화 된 DNS를 사용한다고 가정 할 때 개인 정보 보호 문제를 나타내지 않습니까?

각주 : 스나이퍼가 IP 주소에서 역방향 조회를 수행하여 방문한 웹 사이트를 찾을 수 있음을 알고 있지만 네트워크 케이블을 통해 일반 텍스트로 이동하는 호스트 이름은 검열 기관에서 키워드 기반 도메인 차단을보다 쉽게하는 것으로 보입니다.


"키워드 기반 도메인 차단"이란 무엇입니까? 키워드와 도메인을 어떻게 비교 하시겠습니까?
David Schwartz

예 : 특정 지역의 웹 사이트 (* .com.br); 조직에서 (* .google.com); *포르노*; 등
pagliuca

답변:


9

분석이 잘못되었습니다. SNI를 사용하지 않는 것보다 더 안전합니다.

SNI가 없으면 IP 주소는 호스트를 고유하게 식별합니다. 따라서 IP 주소를 결정할 수있는 사람은 누구나 호스트를 결정할 수 있습니다.

SNI를 사용하면 IP 주소가 호스트를 고유하게 식별하지 않습니다. 정확한 호스트를 결정하려면 누군가가 실제로 일부 트래픽을 가로 채서 확인해야합니다. IP 주소를 얻는 것보다 더 어렵습니다.

따라서 SNI를 사용하지 않는 것보다 (약간) 더 안전합니다.

패킷 데이터의 침입 분석을 기반으로 차단하려는 사람은 IP 주소를 기반으로 차단할 것입니다. 그들은 SNI의 유무에 관계없이 IP 주소를 기반으로 "나쁜 것들"을 차단합니다.

그러나 귀하의 질문에 대한 답변은 "예"입니다. SNI는 개인 정보 보호 문제를 나타냅니다. SNI를 사용하면 트래픽을 가로 챌 수있는 사람이 IP 주소 외에 호스트 이름을 얻습니다.


답변 해주셔서 감사합니다. 따라서 SNI는 키를 이미 교환 한 후에 만 ​​침입자가 스니핑을 시작하는 경우에만 더 안전합니다. 맞습니까?
pagliuca

2
@pagliuca SSL은 실제로 대화 상대를 숨기도록 설계되지 않았으며, 대화 상대를 숨기도록 설계되었습니다. SNI 전송을 피함으로써 웹 필터를 물리 치지 않을 것입니다. 광범위한 IP- 도메인 데이터베이스를 유지합니다. 어쨌든 SNI를 지원하는 클라이언트 브라우저는 서버에 필요한지 여부에 관계없이 항상 SNI를 보냅니다.
Shane Madden

@ShaneMadden 재미있는. 알다시피, 이제는 SNI를 사용하지 않을 이유가 없습니다 :) 대부분의 사용자는 이미 모든 HTTPS 요청에서 원격 호스트 이름을 노출하는 브라우저를 가지고있을 가능성이 높습니다.
pagliuca

1
이 답변은 잘못되었습니다. IP 주소로 적극적으로 이동하여 사용자가 탐색 한 내용 (와일드 카드가있는 웹 사이트가 많을 수 있음)을 추측하는 것보다 SNI를 수동으로 스니핑하는 것이 훨씬 더 쉽습니다. 그리고 수집 된 SNI 데이터는 개인 정보 보호를 위해 파괴적인 정확성을 유지합니다.).
cnd

@cnd "IP 주소로 적극적으로 나갈 필요"는 없습니다. SNI를 수동으로 스니핑 할 수 있으면 IP 주소를 수동으로 스니핑 할 수 있습니다. 보고있는 사이트 목록에 있거나 그렇지 않은 사이트 목록에 있습니다. SNI가 없으면 IP 주소는 사이트를 고유하게 식별합니다. SNI에서는 그렇지 않습니다.
David Schwartz

0

당신 말이 맞아 SNI는 방문자의 주요 개인 정보 보호 문제이며 방문자가 ISP와 다른 수동 청취자와 연결하는 정확한 웹 사이트를 노출시킵니다. 그러나 DNS도 마찬가지입니다 ... 잘 ... 익숙해졌습니다 : 구글이 이것을 고치고 있습니다 :-

https://thehackernews.com/2017/10/android-dns-over-tls.html

IP 주소를 아는 것은 적극적으로 나가서 스스로를 보지 않는 한 해당 IP 주소에 어떤 웹 사이트가 있는지 ISP에 알리지 않습니다. 이는 고객 패킷을 수동으로 스니핑하는 것과는 매우 다릅니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.