QUIC has been developed by Google to improve the transport performance of HTTPS traffic. It currently accounts for approx. 7% of the global Internet traffic. In this work, we investigate the feasibility of user tracking via QUIC from the perspective of an online service. Our analysis reveals that the protocol design contains violations of privacy best practices through which a tracker can passively and uniquely identify clients across several connections. This tracking mechanisms can achieve reduced delays and band-width requirements compared to conventional browserfinger printing or HTTP cookies. This allows them to be applied in resource- or time-constrained scenarios such as real-time biddings in online advertising. To validate this finding, we investigated browsers which enable QUIC by default, e.g., Google Chrome. Our results suggest that the analyzed browsers do not provide protective measures against tracking via QUIC. However, the introduced mechanisms reset during a browser restart, which clears the cached connection data and thus limits achievable tracking periods. To mitigate the identified privacy issues, we propose changes to QUIC’s protocol design, the operation of QUIC-enabled web servers, and browser implementations. https://petsymposium.org/2019/files/papers/issue3/popets-2019-0046.pdf Questo è un paper del 2019, non mi pare sia già passato in lista. QUIC è stato introdotto da Google in Chrome nel 2013 ed in meno di 6 anni gestiva già il 7% del traffico mondiale, nonostante sia ancora una bozza IETF in stato "I-D EXISTS". Per capire l'ambizione del progetto (ed il potere di Google), l'IETF potrebbe chiamare "HTTP/3" l'adattamento dell'HTTP a QUIC. https://datatracker.ietf.org/wg/quic/documents/ Inutile dire che QUIC è progettato bene: https://http3.net/ MA è progettato anzitutto per ridurre problemi (e costi) di scalabilità che affrontano società come Google, Amazon, Microsoft, Cloudflare... ma che sono irrilevanti per chiunque altro. Lato utente, QUIC renderà molto più veloce il caricamento di pagine Web che scaricano molte risorse separate da fonti diverse. In altri termini, i cittadini potranno farsi sorvegliare più in fretta. Giacomo