付费服务,免费出售用户。互联网引领的自由时代,也让网络隐私内外兼修。有“有限脱敏”的用户画像和即使选择“不追踪”也没用的定向广告,还有可以绕过浏览器“隐身模式”的超级Cookies技术。
饼干作为一把双刃剑,已经存在多年。一方面,它可以帮助网站记住用户,更好地了解他们。另一方面,一些用户不希望他们的浏览记录和习惯信息被保存在本地供其他人或不可信的网站查看。因此,主流浏览器一般都会提供“隐形模式”(或“隐私模式”),以保证用户在浏览时不会留下可追踪的信息。但现在这条防线也被打破了:来自RadicalResearch的软件顾问萨姆格林哈尔(Sam Greenhalgh)发现,让优艾设计网_设计百科网站以“隐形模式”跟踪大多数用户很容易。
有趣的是,导致此漏洞的正式HTTP严格传输安全(HSTS)保护机制被网站用来与使用HTTPS加密链接的用户保持联系。HSTS科技在浏览器收到的信息中添加了标签,以确保所有链接都将通过HTTPS协议进行加密。
Sam的方法是使用HSTS添加的用户标签作为超级Cookies技术。一旦用户在正常模式下浏览网站,即使用户将来切换到“隐形模式”,网站也可以识别用户。这种超级Cookies并不局限于一个域名,而是可以被多个网站同时追踪。
到目前为止,火狐34.0.5的最新版本已经修复了这个漏洞。但是Windows平台上的Firefox 33和Chrome浏览器,iOS上的Chrome和Safari还是可以用的。IE不受影响,因为它不支持HSTS。
精彩评论