安全警示
超级Cookies让无痕上网不无痕
[-]
倍受用户信任的在线隐私功能竟然会被“超级Cookie”利用,像警犬一样追踪用户。
现在随便哪个大浏览器都有“隐身浏览”这一功能,让用户无痕浏览网站。Chrome有【隐身模式】,火狐有【隐私浏览模式】
但是隐私模式看似坚不可破,却存有漏洞。伦敦某软件开发人员却发现,某串代码可以从常规浏览模式进入隐私模式,意思是说,隐私模式被废了。
好比你用常用的浏览器访问Amazon或者使用Facebook想去某个争议性较大的博客看看,通常访问这种站点都要很谨慎才行,所以你打开了隐私模式。
如果该博客使用的广告平台和Amazon(AMZN或Tech30) 或者有一个Facebook(FC或Tech30)的“点赞”按钮,那么广告商就知道在Amazon买东西的Joe,或者Facebook用户Joe同样也是这个博客的读者。
不过,办法也是有的,就是有点麻烦:
1. 打开隐私模式前清除所有cookies
2. 指定一个浏览器专门用隐私模式浏览
背后的原理
造成这个Bug的恰恰是用来提供隐私性的功能,巧合至此,怎不讽刺?
为了确保你和某些网站的通信安全,某些网页浏览器会记住你在浏览该网站时使用过https://前缀。浏览器会将信息存储在某个超级cookie里,确保你第二次访问该网站时浏览器默认使用https协议。即便是使用隐私模式,浏览器依然会记住这些信息。
然而第三方的web程序——比如FB的点赞按钮,可以利用这些super cookie。
独立研究人员Sam Greenhalgh在博客中透露了这个Bug,在博客中他说直到目前为止,他还没有看见哪家公司在利用这个漏洞。然而现在这方法已经人尽皆知,拦已经拦不住了。
Abine公司的创始人之一Eugene Kuznetsov认为超级cookies会成为下一波侵入式定位的工具。超级cookies从cookies演化而来,却比后者更为复杂。现在这些超级cookies已经成为了各个设备(智能手机和平板电脑)独一无二的身份标识,也是浏览器使用的指纹,要甩掉超级cookies比以前难度更大。
超级cookie的存在也让网络匿名更加复杂。
Kuznetsov说目前的情况就像是隐私的军备竞赛,渴望追踪互联网用户隐私的欲望就像一条寄生虫。你在浏览器里输入的信息无时无刻不被各个网站和广告商们查看,因为这样他们才能更好地在网络上跟踪你。
目前火狐已经在最新版修复了这个Bug,Chrome方面还没有行动。早在这件事发生之前Google就已经知道了超级Cookie的问题,却依然选择让Chrome保留https记忆功能。
微软的IE因为没有https记忆功能所以不受此影响。Greenhalgh说iOS设备用户无法逃脱超级cookies的监视。
