会员服务
可辨认的 · 通道 · WEB · 类别 · Cookie ·
2023 年 3 月 21 日
Pool-Party: Exploiting Browser Resource Pools as Side-Channels for Web Tracking
翻译:浏览器资源池作为网络跟踪的侧信道的利用
Peter Snyder,Soroush Karami,Arthur Edelstein,Benjamin Livshits,Hamed Haddadi
Peter Snyder,Soroush Karami,Arthur Edelstein,Benjamin Livshits,Hamed Haddadi

We identify class of covert channels in browsers that are not mitigated by current defenses, which we call "pool-party" attacks. Pool-party attacks allow sites to create covert channels by manipulating limited-but-unpartitioned resource pools. These class of attacks have been known, but in this work we show that they are both more prevalent, more practical for exploitation, and allow exploitation in more ways, than previously identified. These covert channels have sufficient bandwidth to pass cookies and identifiers across site boundaries under practical and real-world conditions. We identify pool-party attacks in all popular browsers, and show they are practical cross-site tracking techniques (i.e., attacks take 0.6s in Chrome and Edge, and 7s in Firefox and Tor Browser). In this paper we make the following contributions: first, we describe pool-party covert channel attacks that exploit limits in application-layer resource pools in browsers. Second, we demonstrate that pool-party attacks are practical, and can be used to track users in all popular browsers; we also share open source implementations of the attack and evaluate them through a representative web crawl. Third, we show that in Gecko based-browsers (including the Tor Browser) pool-party attacks can also be used for cross-profile tracking (e.g., linking user behavior across normal and private browsing sessions). Finally, we discuss possible mitigation strategies and defenses


翻译:我们确定了一类在浏览器中的隐蔽通道,并且当前防御措施无法防御,我们称之为“池派对”攻击。池派对攻击允许网站通过操纵有限但未分区的资源池来创建隐蔽通道。这类攻击已经被人们所知,但在这项工作中,我们展示它们比先前已知的更加普遍、更容易被攻击,并且允许更多方式的攻击方法。恶意网站使用池派对攻击可以在实际和现实环境下足够带宽地在网站边界上传递Cookie和标识符。我们在所有主流浏览器中发现了池派对攻击,并且展示了它们是实用的跨站点跟踪技术(即攻击在Chrome和Edge中需要0.6秒,在Firefox和Tor浏览器中需要7秒)。在本文中,我们做出了以下贡献:首先,我们描述了利用浏览器应用层资源池中的限制构建池派对隐蔽通道攻击。其次,我们证明了池派对攻击是实用的,并且可以在所有主流浏览器中用于跟踪用户,我们还通过一个具有代表性的网络爬行的开源实现对它们进行评估。第三,我们展示在基于Gecko的浏览器(包括Tor浏览器)中,池派对攻击也可以用于跨配置文件跟踪(例如,链接用户在正常浏览会话和隐私浏览会话中的行为)。最后,我们讨论了可能的缓解策略和防御。
0
下载
关闭预览

相关内容

【硬核书】Linux 基础第二版,500页pdf
【硬核书】Linux 基础第二版,500页pdf
专知会员服务
87+阅读 · 2022年9月12日
【Manning新书】云计算安全指南:以AWS为例,311页pdf
【Manning新书】云计算安全指南:以AWS为例,311页pdf
专知会员服务
38+阅读 · 2022年9月11日
【Manning新书】微服务安全实战,616页pdf,Microservices Security in Action
【Manning新书】微服务安全实战,616页pdf,Microservices Security in Action
专知会员服务
42+阅读 · 2020年7月22日
【2020新书】自然语言处理Python与spaCy实践,216页pdf,NLP with Python
【2020新书】自然语言处理Python与spaCy实践,216页pdf,NLP with Python
专知会员服务
104+阅读 · 2020年5月1日
【CVPR2020】视觉跟踪的概率回归,Probabilistic Regression for Visual Tracking
【CVPR2020】视觉跟踪的概率回归,Probabilistic Regression for Visual Tracking
专知会员服务
36+阅读 · 2020年3月27日
100+篇《自监督学习(Self-Supervised Learning)》论文最新合集
100+篇《自监督学习(Self-Supervised Learning)》论文最新合集
专知会员服务
164+阅读 · 2020年3月18日
【CIKM2019 Tutorial】Recent Developments of Deep Heterogeneous Information Network Analysis(深度异构信息网络分析的最新进展),附157页PDF免费下载
【CIKM2019 Tutorial】Recent Developments of Deep Heterogeneous Information Network Analysis(深度异构信息网络分析的最新进展),附157页PDF免费下载
专知会员服务
28+阅读 · 2019年11月3日
[综述]深度学习下的场景文本检测与识别
[综述]深度学习下的场景文本检测与识别
专知会员服务
77+阅读 · 2019年10月10日
【加州大学伯克利分校博士论文】通过自我监督预测学习泛化
【加州大学伯克利分校博士论文】通过自我监督预测学习泛化
专知会员服务
64+阅读 · 2019年10月9日
计算机视觉最佳实践、代码示例和相关文档
计算机视觉最佳实践、代码示例和相关文档
专知会员服务
17+阅读 · 2019年10月9日
一年303个漏洞,Chrome被评为“最脆弱”浏览器,Opera 最安全!网友:Opera 还有人用?
一年303个漏洞,Chrome被评为“最脆弱”浏览器,Opera 最安全!网友:Opera 还有人用?
CSDN
0+阅读 · 2022年10月14日
VCIP 2022 Call for Demos
VCIP 2022 Call for Demos
CCF多媒体专委会
1+阅读 · 2022年6月6日
CVPR2019丨首个siamese网络中训练GCNs的视觉追踪方法《Graph Convolutional Tracking》
CVPR2019丨首个siamese网络中训练GCNs的视觉追踪方法《Graph Convolutional Tracking》
极市平台
17+阅读 · 2019年10月6日
【跟踪Tracking】15篇论文+代码 | 中秋快乐~
【跟踪Tracking】15篇论文+代码 | 中秋快乐~
专知
18+阅读 · 2018年9月24日
【论文推荐】最新六篇视觉问答(VQA)相关论文—盲人问题、物体计数、多模态解释、视觉关系、对抗性网络、对偶循环注意力
【论文推荐】最新六篇视觉问答(VQA)相关论文—盲人问题、物体计数、多模态解释、视觉关系、对抗性网络、对偶循环注意力
专知
32+阅读 · 2018年2月28日
【论文推荐】最新六篇目标跟踪相关论文—双重Siamese网络、判别性相关滤波、多目标跟踪、深度多尺度时空判别性、综述、显著性增强
【论文推荐】最新六篇目标跟踪相关论文—双重Siamese网络、判别性相关滤波、多目标跟踪、深度多尺度时空判别性、综述、显著性增强
专知
34+阅读 · 2018年2月27日
【论文推荐】最新5篇目标跟踪(Object Tracking)相关论文—并行跟踪和验证、光流、自动跟踪、相关滤波集成、CFNet
【论文推荐】最新5篇目标跟踪(Object Tracking)相关论文—并行跟踪和验证、光流、自动跟踪、相关滤波集成、CFNet
专知
25+阅读 · 2018年2月6日
【论文推荐】最新5篇信息抽取(IE)相关论文—开放信息抽取、不完整信息、主动学习、越南语、依存分析
【论文推荐】最新5篇信息抽取(IE)相关论文—开放信息抽取、不完整信息、主动学习、越南语、依存分析
专知
12+阅读 · 2018年2月2日
【推荐】ResNet, AlexNet, VGG, Inception:各种卷积网络架构的理解
【推荐】ResNet, AlexNet, VGG, Inception:各种卷积网络架构的理解
机器学习研究会
20+阅读 · 2017年12月17日
【推荐】用Python/OpenCV实现增强现实
【推荐】用Python/OpenCV实现增强现实
机器学习研究会
15+阅读 · 2017年11月16日
云存储中基于无证书加密的数据机密性保护与访问控制
国家自然科学基金
1+阅读 · 2015年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
基于网络科学的网络谣言传播机理及干预机制研究
国家自然科学基金
0+阅读 · 2013年12月31日
基于复杂网络的操作系统演化与结构稳定性研究
国家自然科学基金
0+阅读 · 2012年12月31日
表面等离激元的传播与调控研究
国家自然科学基金
0+阅读 · 2012年12月31日
数据云存储中的安全审计方法研究
国家自然科学基金
2+阅读 · 2012年12月31日
基于API的静态插桩技术与Android平台恶意代码检测
国家自然科学基金
0+阅读 · 2012年12月31日
网关口令认证密钥交换协议的模型与设计研究
国家自然科学基金
0+阅读 · 2012年12月31日
芳香族氨基酸与生物膜相互作用的固体核磁共振谱学研究
国家自然科学基金
0+阅读 · 2009年12月31日
无线网络认证密钥交换协议研究
国家自然科学基金
0+阅读 · 2008年12月31日
Training development for multisensory data analysis
Arxiv
0+阅读 · 2023年5月11日
EventFormer: AU Event Transformer for Facial Action Unit Event Detection
Arxiv
0+阅读 · 2023年5月11日
Blockwise Principal Component Analysis for monotone missing data imputation and dimensionality reduction
Arxiv
0+阅读 · 2023年5月10日
Self-supervised Learning for Clustering of Wireless Spectrum Activity
Arxiv
0+阅读 · 2023年5月10日
Practical Channel Splicing using OFDM Waveforms for Joint Communication and Sensing in the IoT
Arxiv
0+阅读 · 2023年5月9日
Sublogarithmic Approximation for Tollbooth Pricing on a Cactus
Arxiv
0+阅读 · 2023年5月9日
Minimizing Moments of AoI for Both Active and Passive Users through Second-Order Analysis
Arxiv
0+阅读 · 2023年5月9日
Feature Denoising for Improving Adversarial Robustness
Feature Denoising for Improving Adversarial Robustness
Arxiv
15+阅读 · 2018年12月9日
Graph Convolutional Neural Networks for Web-Scale Recommender Systems
Arxiv
14+阅读 · 2018年6月6日
Ripple Network: Propagating User Preferences on the Knowledge Graph for Recommender Systems
Arxiv
12+阅读 · 2018年3月9日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
可辨认的
通道
WEB
类别
Cookie
相关VIP内容
【硬核书】Linux 基础第二版,500页pdf
【硬核书】Linux 基础第二版,500页pdf
专知会员服务
87+阅读 · 2022年9月12日
【Manning新书】云计算安全指南:以AWS为例,311页pdf
【Manning新书】云计算安全指南:以AWS为例,311页pdf
专知会员服务
38+阅读 · 2022年9月11日
【Manning新书】微服务安全实战,616页pdf,Microservices Security in Action
【Manning新书】微服务安全实战,616页pdf,Microservices Security in Action
专知会员服务
42+阅读 · 2020年7月22日
【2020新书】自然语言处理Python与spaCy实践,216页pdf,NLP with Python
【2020新书】自然语言处理Python与spaCy实践,216页pdf,NLP with Python
专知会员服务
104+阅读 · 2020年5月1日
【CVPR2020】视觉跟踪的概率回归,Probabilistic Regression for Visual Tracking
【CVPR2020】视觉跟踪的概率回归,Probabilistic Regression for Visual Tracking
专知会员服务
36+阅读 · 2020年3月27日
100+篇《自监督学习(Self-Supervised Learning)》论文最新合集
100+篇《自监督学习(Self-Supervised Learning)》论文最新合集
专知会员服务
164+阅读 · 2020年3月18日
【CIKM2019 Tutorial】Recent Developments of Deep Heterogeneous Information Network Analysis(深度异构信息网络分析的最新进展),附157页PDF免费下载
【CIKM2019 Tutorial】Recent Developments of Deep Heterogeneous Information Network Analysis(深度异构信息网络分析的最新进展),附157页PDF免费下载
专知会员服务
28+阅读 · 2019年11月3日
[综述]深度学习下的场景文本检测与识别
[综述]深度学习下的场景文本检测与识别
专知会员服务
77+阅读 · 2019年10月10日
【加州大学伯克利分校博士论文】通过自我监督预测学习泛化
【加州大学伯克利分校博士论文】通过自我监督预测学习泛化
专知会员服务
64+阅读 · 2019年10月9日
计算机视觉最佳实践、代码示例和相关文档
计算机视觉最佳实践、代码示例和相关文档
专知会员服务
17+阅读 · 2019年10月9日
热门VIP内容
相关资讯
一年303个漏洞,Chrome被评为“最脆弱”浏览器,Opera 最安全!网友:Opera 还有人用?
一年303个漏洞,Chrome被评为“最脆弱”浏览器,Opera 最安全!网友:Opera 还有人用?
CSDN
0+阅读 · 2022年10月14日
VCIP 2022 Call for Demos
VCIP 2022 Call for Demos
CCF多媒体专委会
1+阅读 · 2022年6月6日
CVPR2019丨首个siamese网络中训练GCNs的视觉追踪方法《Graph Convolutional Tracking》
CVPR2019丨首个siamese网络中训练GCNs的视觉追踪方法《Graph Convolutional Tracking》
极市平台
17+阅读 · 2019年10月6日
【跟踪Tracking】15篇论文+代码 | 中秋快乐~
【跟踪Tracking】15篇论文+代码 | 中秋快乐~
专知
18+阅读 · 2018年9月24日
【论文推荐】最新六篇视觉问答(VQA)相关论文—盲人问题、物体计数、多模态解释、视觉关系、对抗性网络、对偶循环注意力
【论文推荐】最新六篇视觉问答(VQA)相关论文—盲人问题、物体计数、多模态解释、视觉关系、对抗性网络、对偶循环注意力
专知
32+阅读 · 2018年2月28日
【论文推荐】最新六篇目标跟踪相关论文—双重Siamese网络、判别性相关滤波、多目标跟踪、深度多尺度时空判别性、综述、显著性增强
【论文推荐】最新六篇目标跟踪相关论文—双重Siamese网络、判别性相关滤波、多目标跟踪、深度多尺度时空判别性、综述、显著性增强
专知
34+阅读 · 2018年2月27日
【论文推荐】最新5篇目标跟踪(Object Tracking)相关论文—并行跟踪和验证、光流、自动跟踪、相关滤波集成、CFNet
【论文推荐】最新5篇目标跟踪(Object Tracking)相关论文—并行跟踪和验证、光流、自动跟踪、相关滤波集成、CFNet
专知
25+阅读 · 2018年2月6日
【论文推荐】最新5篇信息抽取(IE)相关论文—开放信息抽取、不完整信息、主动学习、越南语、依存分析
【论文推荐】最新5篇信息抽取(IE)相关论文—开放信息抽取、不完整信息、主动学习、越南语、依存分析
专知
12+阅读 · 2018年2月2日
【推荐】ResNet, AlexNet, VGG, Inception:各种卷积网络架构的理解
【推荐】ResNet, AlexNet, VGG, Inception:各种卷积网络架构的理解
机器学习研究会
20+阅读 · 2017年12月17日
【推荐】用Python/OpenCV实现增强现实
【推荐】用Python/OpenCV实现增强现实
机器学习研究会
15+阅读 · 2017年11月16日
相关论文
Training development for multisensory data analysis
Arxiv
0+阅读 · 2023年5月11日
EventFormer: AU Event Transformer for Facial Action Unit Event Detection
Arxiv
0+阅读 · 2023年5月11日
Blockwise Principal Component Analysis for monotone missing data imputation and dimensionality reduction
Arxiv
0+阅读 · 2023年5月10日
Self-supervised Learning for Clustering of Wireless Spectrum Activity
Arxiv
0+阅读 · 2023年5月10日
Practical Channel Splicing using OFDM Waveforms for Joint Communication and Sensing in the IoT
Arxiv
0+阅读 · 2023年5月9日
Sublogarithmic Approximation for Tollbooth Pricing on a Cactus
Arxiv
0+阅读 · 2023年5月9日
Minimizing Moments of AoI for Both Active and Passive Users through Second-Order Analysis
Arxiv
0+阅读 · 2023年5月9日
Feature Denoising for Improving Adversarial Robustness
Feature Denoising for Improving Adversarial Robustness
Arxiv
15+阅读 · 2018年12月9日
Graph Convolutional Neural Networks for Web-Scale Recommender Systems
Arxiv
14+阅读 · 2018年6月6日
Ripple Network: Propagating User Preferences on the Knowledge Graph for Recommender Systems
Arxiv
12+阅读 · 2018年3月9日
相关基金
云存储中基于无证书加密的数据机密性保护与访问控制
国家自然科学基金
1+阅读 · 2015年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
基于网络科学的网络谣言传播机理及干预机制研究
国家自然科学基金
0+阅读 · 2013年12月31日
基于复杂网络的操作系统演化与结构稳定性研究
国家自然科学基金
0+阅读 · 2012年12月31日
表面等离激元的传播与调控研究
国家自然科学基金
0+阅读 · 2012年12月31日
数据云存储中的安全审计方法研究
国家自然科学基金
2+阅读 · 2012年12月31日
基于API的静态插桩技术与Android平台恶意代码检测
国家自然科学基金
0+阅读 · 2012年12月31日
网关口令认证密钥交换协议的模型与设计研究
国家自然科学基金
0+阅读 · 2012年12月31日
芳香族氨基酸与生物膜相互作用的固体核磁共振谱学研究
国家自然科学基金
0+阅读 · 2009年12月31日
无线网络认证密钥交换协议研究
国家自然科学基金
0+阅读 · 2008年12月31日
Top
微信扫码咨询专知VIP会员
Top