Bakgrund: Website fingerprinting (identifiering av webbplatser via fingeravtryck) är en grupp metoder som syftar till att identifiera vilka webbsidor en användare besöker genom en krypterad tunnel, till exempel VPN eller Tor. Ett vanligt scenario är att en angripare avlyssnar länken mellan användarens dator och tunnelns ingångspunkt, fångar in den krypterade trafiken och listar ut vilken webbsida trafiken motsvarar med hjälp av klassificeringsmodeller. Detta är möjligt på grund av att trafiken, trots krypteringen, innehåller mönster/signaler som kännetecknar den underliggande webbsidan. Vissa åtgärder, så kallade försvar, går ut på att dessa mönster kan förändras och göras oidentifierbara genom att skicka padding-paket som inte tillhör den riktiga data som webbläsaren behöver för att visa upp webbsidan. De kallas padding-baserade försvar.
Beskrivning: Artikeln är en kritik av det allt för vanliga antagandet att padding-baserade försvar inte orsakar fördröjningar i nätverkstrafik och att användaren därför inte behöver vänta längre på att en webbsida ska laddas, något som man helst vill undvika med tanke på att färre personer kommer använda försvar om deras upplevelse försämras. Vi gör experiment med nätverkssimulatorn Shadow för att visa att padding-baserade försvar faktiskt skapar fördröjningar (och eventuellt mer allvarliga problem), när de rullas ut i stor skala i Tor. Vi rekommenderar slutligen att systemutvecklare inte utesluter försvar som medvetet skapar fördröjningar då de kan erbjuda bättre integritetsskydd än padding-baserade försvar, som ändå ligger till grund för fördröjningar i verkligheten.