“付费卖服务,免费卖用户”。网络引领的免费时代也让线上隐私变得让使用者觉得腹背受敌,外有即使选了“私密浏览”也无济于事的使用者画像和定向广告投放,内有能绕过浏览器“私密浏览”的超级 Cookies 技术。
Cookies 作为一把双面刃已经存在多年,一方面它能让网站记住用户、更了解用户,另一方面有些使用者则不希望自己的浏览纪录和使用习惯资讯会被保存在供其他人或不可信网站查看。所以主流的浏览器一般会提供“Privacy Mode”的私密浏览(或叫“无痕模式”Do not track)来保证不会在用户浏览过程中留下可被追踪的讯息。
但如今这一道防线也被突破了:来自 RadicalResearch 的软件顾问 Sam Greenhalgh 发现利用简单方法就能实现让网站在“隐身模式”下保持追踪多数用户。
有趣的地方在于,造成这次漏洞的正是以安全出发点提供的 HTTP Strict Transport Security (HSTS)保护机制,网站一般通过它与使用了 HTTPS 加密连结的用户保持联系。HSTS 技术通过在浏览器接收到的讯息中添加标记,以保证此后所有连结都经由 HTTPS 协议加密。
Sam 的方法正是将 HSTS 添加的用户标签作为一种超级 Cookies 技术。一旦用户在正常模式下浏览过某网站,以后即便用户切换至“私密浏览”,该网站也能识别出这个用户。这种超级 Cookies 并不局限与某一个网域名,而是能被多个网站同时追踪。
目前为止,最新的 Firefox 34.0.5 版本已经修补了这个漏洞。但 Windows 平台的 Firefox 33 和 Chrome 浏览器,以及 iOS 的 Chrome 和 Safari 依然可被利用。而 IE 则因为不支援 HSTS 而免受影响。
- Browsing in privacy mode? Super Cookies can track you anyway
- HSTS Super Cookies
(本文由《36Kr》授权转载)