付费卖服务,免费卖用户。互联网引领的免费时代也让在线隐私变得内忧外患,外有即使选了 "Do Not Track" 也无济于事的“有限脱敏”用户画像和定向广告投放,内有能绕过浏览器“隐身模式”的超级 Cookies 技术。 Cookies 作为一把双刃剑已经存在多年,一方面它能让网站记住用户、更了解用户,另一方面有些用户则不希望自己的浏览记录和习惯信息会被保存在本地供其他人或不可信网站查看。所以主流的浏览器一般会提供“隐身模式”(或叫“隐私模式”)来保证不会在用户浏览过程中留下可被追踪的信息。但如今这一道防线也被突破了:来自 RadicalResearch 的软件顾问 Sam Greenhalgh 发现利用简单方法就能实现让网站在“隐身模式”下保持追踪多数用户。 有趣的地方在于,造成这次漏洞的正式以安全出发点提供的 HTTP Strict Transport Security (HSTS)保护机制,网站一般通过它与使用了 HTTPS 加密链接的用户保持联系。HSTS 技术通过在浏览器接收到的信息中添加标记,以保证此后所有链接都经由 HTTPS 协议加密。
Sam 的方法正是将 HSTS 添加的用户标签作为一种超级 Cookies 技术。一旦用户在正常模式下浏览过某网站,以后即便用户切换至“隐身模式”,该网站也能识别出这个用户。这种超级 Cookies 并不局限与某一个域名,而是能被多个网站同时追踪。 目前为止,最新的 Firefox 34.0.5 版本已经修补了这个漏洞。但 Windows 平台的 Firefox 33 和 Chrome 浏览器,以及 iOS 的 Chrome 和 Safari 依然可被利用。而 IE 则因为不支持 HSTS 而免受影响。 |
