迷信隱身模式也不行,黑客發現超級 Cookies 依然可以在主流瀏覽器下追蹤你

36氪 於 09/01/2015 發表 收藏文章

付費賣服務,免費賣用户。互聯網引領的免費時代也讓在線隱私變得內憂外患,外有即使選了 "Do Not Track" 也無濟於事的“有限脱敏”用户畫像和定向廣告投放,內有能繞過瀏覽器“隱身模式”的超級 Cookies 技術

Cookies 作為一把雙刃劍已經存在多年,一方面它能讓網站記住用户、更瞭解用户,另一方面有些用户則不希望自己的瀏覽記錄和習慣信息會被保存在本地供其他人或不可信網站查看。所以主流的瀏覽器一般會提供“隱身模式”(或叫“隱私模式”)來保證不會在用户瀏覽過程中留下可被追蹤的信息。但如今這一道防線也被突破了:來自 RadicalResearch 的軟件顧問 Sam Greenhalgh 發現利用簡單方法就能實現讓網站在“隱身模式”下保持追蹤多數用户。

有趣的地方在於,造成這次漏洞的正式以安全出發點提供的 HTTP Strict Transport Security (HSTS)保護機制,網站一般通過它與使用了 HTTPS 加密鏈接的用户保持聯繫。HSTS 技術通過在瀏覽器接收到的信息中添加標記,以保證此後所有鏈接都經由 HTTPS 協議加密。


Sam 的方法正是將 HSTS 添加的用户標籤作為一種超級 Cookies 技術。一旦用户在正常模式下瀏覽過某網站,以後即便用户切換至“隱身模式”,該網站也能識別出這個用户。這種超級 Cookies 並不侷限與某一個域名,而是能被多個網站同時追蹤。

目前為止,最新的 Firefox 34.0.5 版本已經修補了這個漏洞。但 Windows 平台的 Firefox 33 和 Chrome 瀏覽器,以及 iOS 的 Chrome 和 Safari 依然可被利用。而 IE 則因為不支持 HSTS 而免受影響。

具體技術細節在這篇博客文章中有描述,感謝微博網友 [at] 吳知_wozi 的提示。

新版36氪 iOS 客户端正式上線。該有的都有了,想看創業資訊,想分享,想看視頻,想來活動現場,下載36氪 iOS 客户端,即氪觸達。點擊鏈接下載:http://lnk8.cn/kIxB9s

[本文參考以下來源:arstechnica.com, radicalresearch.co.uk]


資料來源:36Kr
標籤: 隱身模式  Cookies  

留言


請按此登錄後留言。未成為會員? 立即註冊
    快捷鍵:←
    快捷鍵:→