TLS Fingerprinting
Il TLS fingerprinting è una tecnica che identifica il software che stabilisce una connessione HTTPS ispezionando i parametri del suo handshake TLS, in particolare il messaggio ClientHello. Poiché librerie e client TLS diversi annunciano cipher suite, estensioni e versioni in modi caratteristici, l'handshake rivela il client sottostante anche in assenza di dati a livello applicativo.
Come funziona TLS Fingerprinting
Quando un client apre una connessione HTTPS invia un ClientHello che elenca le versioni TLS supportate, le cipher suite in ordine, le estensioni supportate, le curve ellittiche e gli algoritmi di firma. Queste scelte sono determinate dalla libreria TLS e dalla sua configurazione, per cui formano uno schema riconoscibile per ciascuno stack client.
Un server o un middlebox cattura questi campi e li codifica in un'impronta compatta, storicamente con schemi come JA3 e più di recente JA4. L'impronta riassume l'handshake, così che connessioni provenienti dallo stesso software client producano lo stesso valore, indipendentemente dall'indirizzo IP o dallo user agent.
Il TLS fingerprinting opera al di sotto del livello HTTP, il che lo rende difficile da falsificare in modo convincente per un'applicazione. Uno strumento può impostare qualsiasi stringa user agent voglia, ma il suo handshake TLS riflette comunque la libreria reale che usa, esponendo le incongruenze tra il browser dichiarato e il client effettivo.
Poiché cattura lo stack del client anziché il dispositivo, il TLS fingerprinting è più grossolano del browser fingerprinting nel distinguere gli individui, ma eccellente nel classificare il tipo di client e nell'individuare l'automazione.
Perché TLS Fingerprinting conta per la prevenzione delle frodi
Il TLS fingerprinting è potente per il rilevamento di bot e automazione perché gli strumenti e le librerie di scripting hanno firme TLS diverse da quelle dei browser tradizionali. Quando una richiesta dichiara di essere Chrome ma presenta l'handshake TLS di una libreria di scripting, quella contraddizione è un forte indicatore di frode. Operando a livello di rete, resiste allo spoofing degli header che vanifica i controlli più semplici.
Come lo gestisce TRACIO
TRACIO usa segnali a livello di rete, comprese le caratteristiche dell'handshake TLS, come parte dei suoi Smart Signals lato server e del rilevamento dei bot. Questo completa l'identificazione lato client cogliendo l'automazione che imita gli header del browser ma non è in grado di replicare uno stack TLS di browser autentico. Combinato con IP Intelligence, aiuta a separare i browser reali dagli strumenti a prescindere dallo user agent dichiarato.
Termini correlati
Domande frequenti
Identifichi ogni dispositivo con sicurezza
Inizi con un piano gratuito di 2.500 chiamate API al mese. Nessuna carta di credito richiesta.