無痕私密瀏覽模式不可靠,超級 Cookie 一樣可追蹤

作者 | 發布日期 2015 年 01 月 09 日 8:39 | 分類 網路 , 資訊安全
Google_Chrome_Incognito

「付費賣服務,免費賣用戶」。網路引領的免費時代也讓線上隱私變得讓使用者覺得腹背受敵,外有即使選了「私密瀏覽」也無濟於事的使用者畫像和定向廣告投放,內有能繞過瀏覽器「私密瀏覽」的超級 Cookies 技術。




Cookies 作為一把雙面刃已經存在多年,一方面它能讓網站記住用戶、更了解用戶,另一方面有些使用者則不希望自己的瀏覽紀錄和使用習慣資訊會被保存在供其他人或不可信網站查看。所以主流的瀏覽器一般會提供「Privacy Mode」的私密瀏覽(或叫「無痕模式」Do not track)來保證不會在用戶瀏覽過程中留下可被追蹤的訊息。

但如今這一道防線也被突破了:來自 RadicalResearch 的軟體顧問 Sam Greenhalgh 發現利用簡單方法就能實現讓網站在「隱身模式」下保持追蹤多數用戶。

有趣的地方在於,造成這次漏洞的正是以安全出發點提供的 HTTP Strict Transport Security (HSTS)保護機制,網站一般通過它與使用了 HTTPS 加密連結的用戶保持聯繫。HSTS 技術通過在瀏覽器接收到的訊息中添加標記,以保證此後所有連結都經由 HTTPS 協議加密。

Sam 的方法正是將 HSTS 添加的用戶標籤作為一種超級 Cookies 技術。一旦用戶在正常模式下瀏覽過某網站,以後即便用戶切換至「私密瀏覽」,該網站也能識別出這個用戶。這種超級 Cookies 並不侷限與某一個網域名,而是能被多個網站同時追蹤。

Screen Shot 2015-01-09 at 8.34.33 AM

目前為止,最新的 Firefox 34.0.5 版本已經修補了這個漏洞。但 Windows 平台的 Firefox 33 和 Chrome 瀏覽器,以及 iOS 的 Chrome 和 Safari 依然可被利用。而 IE 則因為不支援 HSTS 而免受影響。

(本文由《36Kr》授權轉載) 

發表迴響