@ 2015.01.11 , 01:18
21

超级Cookies让无痕上网不无痕

[-]

倍受用户信任的在线隐私功能竟然会被“超级Cookie”利用,像警犬一样追踪用户。

现在随便哪个大浏览器都有“隐身浏览”这一功能,让用户无痕浏览网站。Chrome有【隐身模式】,火狐有【隐私浏览模式】

但是隐私模式看似坚不可破,却存有漏洞。伦敦某软件开发人员却发现,某串代码可以从常规浏览模式进入隐私模式,意思是说,隐私模式被废了。

好比你用常用的浏览器访问Amazon或者使用Facebook想去某个争议性较大的博客看看,通常访问这种站点都要很谨慎才行,所以你打开了隐私模式。

如果该博客使用的广告平台和Amazon(AMZN或Tech30) 或者有一个Facebook(FC或Tech30)的“点赞”按钮,那么广告商就知道在Amazon买东西的Joe,或者Facebook用户Joe同样也是这个博客的读者。

不过,办法也是有的,就是有点麻烦:
1. 打开隐私模式前清除所有cookies
2. 指定一个浏览器专门用隐私模式浏览

背后的原理

造成这个Bug的恰恰是用来提供隐私性的功能,巧合至此,怎不讽刺?

为了确保你和某些网站的通信安全,某些网页浏览器会记住你在浏览该网站时使用过https://前缀。浏览器会将信息存储在某个超级cookie里,确保你第二次访问该网站时浏览器默认使用https协议。即便是使用隐私模式,浏览器依然会记住这些信息。

然而第三方的web程序——比如FB的点赞按钮,可以利用这些super cookie。

独立研究人员Sam Greenhalgh在博客中透露了这个Bug,在博客中他说直到目前为止,他还没有看见哪家公司在利用这个漏洞。然而现在这方法已经人尽皆知,拦已经拦不住了。

Abine公司的创始人之一Eugene Kuznetsov认为超级cookies会成为下一波侵入式定位的工具。超级cookies从cookies演化而来,却比后者更为复杂。现在这些超级cookies已经成为了各个设备(智能手机和平板电脑)独一无二的身份标识,也是浏览器使用的指纹,要甩掉超级cookies比以前难度更大。

超级cookie的存在也让网络匿名更加复杂。

Kuznetsov说目前的情况就像是隐私的军备竞赛,渴望追踪互联网用户隐私的欲望就像一条寄生虫。你在浏览器里输入的信息无时无刻不被各个网站和广告商们查看,因为这样他们才能更好地在网络上跟踪你。

目前火狐已经在最新版修复了这个Bug,Chrome方面还没有行动。早在这件事发生之前Google就已经知道了超级Cookie的问题,却依然选择让Chrome保留https记忆功能。

微软的IE因为没有https记忆功能所以不受此影响。Greenhalgh说iOS设备用户无法逃脱超级cookies的监视。

本文译自 CNN,由译者 王大发财 基于创作共用协议(BY-NC)发布。


给这篇稿打赏,让译者更有动力
支付宝打赏 [x]
您的大名: 打赏金额:

0.0
赞一个 (14)

TOTAL COMMENTS: 21+1

  1. 小兀
    @3 years ago
    2657503

    微软的IE因为没有https记忆功能所以不受此影响……IE又莫名其妙的躺枪了…………

    [199] XX [3] 回复 [0]
  2. RalphEvac
    @3 years ago
    2657506

    又黑ie
    没ie有你们么

    [22] XX [22] 回复 [0]
  3. 2657507

    难道使用chrome刷煎蛋,看“私处、性器官、扒掉衣服、精子”一类文章的我已经没跑啦!?

    [104] XX [1] 回复 [0]
  4. 神响
    @3 years ago
    2657513

    我把那个临时文件夹和cookies的都禁止读写了

    [31] XX [2] 回复 [0]
  5. 痴汉
    @3 years ago
    2657533

    每次都要填用户名密码谁吃得消 随便吧

    [12] XX [0] 回复 [0]
  6. SmallWomenWatchBreaker
    @3 years ago
    2657536

    所以o朋浏览器oo是可以的xx是没有的。

    [11] XX [1] 回复 [0]
  7. 你爸
    @3 years ago
    2657544

    现在只用 IE,
    谷歌这货太卑贱,是个令人恐惧的伪君子,非不得已,还是少碰为妙。

    [32] XX [63] 回复 [0]
  8. 2657549

    RAM运行系统~虚拟机~远程控制主机~VPN~除了网络服务商这段没法变

  9. 2657578

    我的搜狗浏览器的cookies是存在内存盘上的,重启一次就清空一次,这样就算中招,也只是中招半天而已,但是这样还是不爽啊!!!!!

  10. 音货得福
    @3 years ago
    2657582

    伦敦某软件开发人员却发现,某串代码可以从常规浏览模式进入隐私模式

  11. 2657605

    装了三个牛懒器Firefox只看正常网站,IE部分情况下使用,Chrome只看……你懂的……

    [10] XX [0] 回复 [0]
  12. 2657610

    IE浏览器有个InPrivate浏览模式啊,不知道是不是差不多的东西。【以下是复制黏贴:
    “InPrivate 浏览”可帮助阻止 Internet Explorer 存储有关你的浏览会话的数据。这包括 Cookie、Internet 临时文件、历史记录以及其他数据。默认情况下将禁用工具栏和扩展。有关详细信息,请参阅帮助。

  13. 2657612

    这个东西叫HSTS(HTTP Strict Transport Security),是一个旨在尽量使用https防止攻击的安全协议…
    我看了看协议RFC 6797以后感觉隐私模式沿用这个策略其实不算是一种bug…更像是在安全和隐私之间做选择…
    如果不沿用,就妥协了安全性,如果沿用,就会出现本文所提的隐私问题…
    所以只是选择题而已…不能叫bug…修也罢不修也罢,你都没办法说他是错的

    [12] XX [0] 回复 [0]
  14. 论脸探草丛
    @3 years ago
    2657635

    @aaa: 人家已经拿到了你上网的信息,你上完之后清空有什么用?

  15. iiadesuyo
    @3 years ago
    2657648

    根本不用担心嘛,fb的按钮从来就只是一个白色的方框

  16. e神夯莪
    @3 years ago
    2657668

    管这么多干吗,反正只要不被家里人看到就行了

  17. DukeLee
    @3 years ago
    2657736

    @你爸: 在我还上小学的时候,我经常在各大BBS和报纸刊物上接触到喷微软的文章和观点,甚至当年中关村那些刚起步的软件公司老板也在喷微软——比如求伯君啊,萧庆啊。
    时隔近20年过去,微软和它的Windows活的很好。也没有暴出任何在大家预料外的微软收集用户信息的行为。(斯诺登所谓的各大企业收集用户数据在技术人员眼里不过是法律上必须的国家行为,他爆出那些信息的意义对技术人员来说不过是“啊,早猜到他们在这么做”这种程度而已,因为每一家互联网公司都在努力收集用户信息。)
    所以,Google所谓的收集用户信息行为,至少目前得到的还只是一些正常的数据采集,如果这也算有错那每一家合格的互联网公司都有错。
    我知道你以及大部分人没有那么好的技术修养,不能明白“正常的收集信息”和“窃取用户信息”之间的区别在哪里,所以我也不会强迫你同意我的意见,我只是希望你不要被一些冷战色彩的政治宣传所误导,能有一份自己的思考和认知。比如你可以翻墙去查某个叫“刘X山”和“李X春”的官员的词条的信息,相信你会对事情的本质认识得更深一层。
    毫无疑问Google不喜欢中国,但明白他们不喜欢中国的原因有助于你说话更富有理性。

    [15] XX [7] 回复 [0]
  18. 高山菌
    @3 years ago
    2658089

    我能说,看完妹子图,百度广告就开始给我推广飞机杯和娃娃了么!
    更关键的是,我特么居然真买了QAQ

  19. 2658219

    @DukeLee: 收集用户信息会改善体验这是事实,但是你即使点了不要跟踪的选项,它仍然会跟踪你,这是欺骗用户,它得到你的信息还会透露给美国政府,这是间谍行为,现在整个欧洲都因为斯诺登的原因在反对谷歌,只是没天朝那么激烈而已。有人说百度也会收集啊,这是事实,我同样也不爽,但是百度只是将信息给国内政府,这至少比给外国政府好。谷歌是伪君子,百度是真小人,真小人可以防,伪君子防不胜防。

  20. 2658290

    我会告诉你们Chrome,可以把那些在线的小视频给下载下来么,特别是支持手机端的。

发表评论


24H最赞