|
注:在隱私模式下瀏覽網頁真的能保護好隱私嗎����?一位軟件參謀從安全機制中找到漏洞創造了HSTS Super Cookies���,除非用戶提前采取預防措施�,否則就算打開了隱私模式��,這些超級cookies也會殘留在瀏覽器里����,網站就能追蹤用戶的流動���。
多年來�����,Chrome����、Firefox以及其他幾乎所有瀏覽器都提供不保留或不能查詢網站cookies����、瀏覽歷史和臨時文件的隱私模式���,注重隱私的人以此掩蓋身份����,避免網站追蹤以前的操縱?,F在有一個軟件參謀發現了一個簡樸的方法�,假如用戶不太小心��,網站就可以繞過這些保護隱私的措施�����。
諷刺的是����,這個能讓網站追蹤用戶的匿名瀏覽記實的空子實際上是一種重要的新安全機制���,被稱為HTTP Strict Transport Security(HSTS)�����,網站用它來確保終端用戶只有在使用安全的HTTPS連接時才能與服務器連接�。在瀏覽器向服務器發送哀求時���,每接收一個標題就添加一個標志�����,這樣HSTS就能確保接下來與網站的連接都經由一種廣泛使用的HTTPS協議的加密��。因為之后的所有連接都要被加密�����,HSTS能保護用戶不受降級攻擊����,也就是黑客將已加密的連接再轉換回純文本HTTP����。
Sam Greenhalgh是RadicalResearch的技術與軟件參謀�����,他找出了一種方法能把這種安全機制變成潛伏的隱私漏洞�����。這個觀點的證據就是HSTS Super Cookies��。它們和其他的cookies一樣假如用戶正常模式下瀏覽了他的網站����,之后這些用戶再以隱私模式瀏覽這個網站他也能知道他們在干什么����,而讓它們變得神通泛博的原因有兩個�����。第一點是一旦被設定好在特定的瀏覽器或平臺上運行��,即使用戶設置了匿名瀏覽�,它們也是可見的���。第二點是網站可以以不同的域名讀取這些cookies��,不僅僅是一開始設定標識符的那個�。結果就是:除非用戶提前采取預防措施���,否則就算打開了隱私模式����,這些超級cookies也會殘留在瀏覽器里����,網站就能追蹤用戶的流動�����。
為避免cookies殘留����,Firefox最新的34.0.5版本已經不答應HSTS Super Cookies在常規模式下運行了����。Greenhalgh說這個修補是暫時的����,并提供了他在Windows中Firefox 33版本上的概念證實的截圖�����。在Windows中的Chrome和Firefox 34.0.5以及iPad上的Chrome和Safari都還運行瀏覽器獲取cookies�����,但IE不會���,由于IE現在的版本不支持HSTS�����。
對任何一個網址來說���,HSTS只能從“開”和“關”中二者選其一���。為了繞過這個限制���,Greenhalgh將32個網址串在一起���,將每個網站的“開”和“關”以二進制表示���,結果能標識超過20億個瀏覽器�。為了讓網站使用起來更輕易���,他把十進制改為了36進制���,169ze7表示71009647��,Im8nsf表示1307145327�。當然����,不那么謹嚴的網站用不那么顯著的方法同樣可以追蹤到用戶��。
|
咨詢服務熱線:400-099-8848
