Zonder de encryptie te kraken kunnen partijen die verkeer doorgeven of aftappen met 89 procent zekerheid vaststellen welke pagina's op een HTTPS-beveiligde site worden bezocht. Dat bewijzen onderzoekers van de Berkeley universiteit in een nieuwe studie, getiteld I Know Why You Went to the Clinic: Risks and Realization of HTTPS Traffic Analysis.

HTTPS versleutelt niet alleen de inhoud van het verkeer tussen browser en server, maar ook specifieke url's, headers en cookies. Dus een provider of aftapper kan alleen zien tussen welke IP-adressen het verkeer loopt. Hieruit kan vaak wel het domein worden afgeleid maar niet welke specifieke pagina's (url's) worden bezocht.

Helaas is die privacy ons niet meer gegund. Door het meten, clusteren en analyseren van kleine variaties in een berg HTTPS-verkeer (6000 pagina's van 10 sites) kunnen patronen worden achterhaald, waaruit met behoorlijke zekerheid het opvragen van specifieke webpagina's kan worden gededuceerd. Deze variaties worden veroorzaakt door bijvoorbeeld pakketgrootte, caching, dynamisch gegenereerde content, of specifieke content gerelateerd aan gebruikers zoals cookies.

Alles bij de bron; Webwereld