不用Cookie的“Cookie”技術

jopen 11年前發布 | 8K 次閱讀 Cookie

        有另外一種比較隱蔽的用戶追蹤技術,不使用 cookie 或者 Javascript。很多網站已經在用了,但知道的人不多。本文就來介紹一下這種技術是如何追蹤用戶,用戶又該如何避免追蹤。

        這種技術不依賴于:

  • Cookies

  • Javascript

  • LocalStorage/SessionStorage/GlobalStorage

  • Flash, Java 或插件

  • 你的 IP 地址或者 User Agent 頭

  • Panopticlick
    • </ul>

            相反,它使用另外一種存儲方式,而這種存儲即使瀏覽器關閉仍然能夠存在,那就是瀏覽器緩存。 即使你完全禁用了 cookie 和 Javascript,甚至使用 V*N 服務,這種技術仍然能夠跟蹤到你。

    不用Cookie的“Cookie”技術

            示例

            到這個鏈接(http://lucb1e.com/rp/cookielesscookies/ )上提交一些數據,然后關閉瀏覽器,然后再打開,看看數據是不是仍然在那里?

            看一下你的 Cookie 里面的有沒有東西?沒有的吧,這些都在我們幾乎沒有察覺到的一個假的圖片校驗。看一下上面那個眼睛,哈哈,那是我們的追蹤者。

            它如何工作?

            下圖是一個大致描述

    不用Cookie的“Cookie”技術

            圖像中的 ETag 是一種圖像校驗方式,當圖像發生變化的時候,ETag 也會隨之發生變化。因此,瀏覽器會拿著圖片和 ETag 去服務器進行校驗,讓服務器來應答這張圖片是否發生改變,如果沒有的話,這張圖片就直接從瀏覽器緩存中命中返回,無需再去服務器重新拉取圖片了。

            細心的讀者可能已經大概知道這個是如何可以實現追蹤的:瀏覽器把之前的 ETag 發回到服務器就 OK 了。不過,通過這個 ETag 貌似能產生好多好多 Cookie,不是嗎?于是,服務器可以給每個瀏覽器一個唯一的 ETag,再次收到這個 ETag 的時候,就能知道是你了。

            Demo 中的一些技術細節和缺陷

            Demo 為了能夠不借助于 Javascript,我不得不找出一些信息對你來說是唯一的,除了那個 ETag。圖片是在頁面加載后加載的,不過只有圖片里面有 ETag。我是如何將時間信息顯示出來呢? 我確實做不用 Javascript 動態更新數據,而這 Demo 就是要證明不用依賴 Javascript。

            一些小 bug:

    • 所有你看到的信息都是上一次的。需要按 F5 才能刷出最新的。

    • 當你訪問頁面的時候不攜帶 ETag (比如隱身模式),會話就會被清空。 或者說,你刷新頁面的時候,數據就會消失。
      • </ul>

              我沒有看到這種技術的比較簡單的解決方案。當然有些東西可以做一下,可能其他網站不會用,不過我就是想讓代碼簡單實用就行。

              請注意,當你確實想去追蹤某個人,你又不打算告訴用戶他們正在被追蹤,你這些 bug 是不存在的!

              源代碼

              哪個程序沒有源代碼? 噢,好像是微軟的 Windows。

              https://github.com/lucb1e/cookielesscookies

              如何避免追蹤?

              如果你想更安全一些, 我強烈建議你開啟隱身模式,使用 HTTPS。只要這樣開一下,就能防止 BREACH (最新的 https 攻擊),禁止了 cookie 跟蹤,也消除本文講到的緩存跟蹤的問題。用網銀的時候,我會使用隱身模式。在 Firefox(IE 應該也是)按 Ctrl + Shift + P,在 Chrome 中按 Ctrl + Shift + N。

              除此之外,要看你對于隱私安全的潔癖程度了。

              目前,我沒有簡單完美的辦法,因為緩存跟蹤幾乎是無法察覺的,但同時緩存本身很有用,能夠節省時間和金錢。網站將消耗更少的帶寬(你仔細想想, 到底是誰會為這些流量買單),你的網頁加載速度更快,尤其是在移動設備上,將會有很大的區別,如果你沒有一個無限流量的套餐的話,如果你在網速很慢的地 方,緩存的效果就更加明顯了。

              聽了這些,如果你還是不放心,那么完全禁用緩存吧。沒有了存儲性狀態或者信息,任何追蹤都不會發生,就是每次都要重新加載,速度會慢一些,并且我個人并不認為值得這樣做。

              Firefox 的插件 Self-Destructing Cookies 有這樣的功能:當你一段時間不使用瀏覽器,它就會清空你的緩存。這個插件的定期清空緩存可能是一個不錯的選擇,只有在訪問會話期間會被追蹤,不過反正他們 也能夠記錄下哪個 IP 訪問了哪個頁面,所以這是沒有什么大不了的。不過之后的訪問由于緩存被清空(假設跟蹤是基于緩存),看起來都是一個新的用戶,追蹤將無法繼續。

              我不知道任何其他能夠定期清除緩存的插件(例如,每 72 小時一次),但應該是有的。這將是一個很好的方法,這對于 99% 的用戶都是有用的,因為這個并不會使性能下降太大,同時還限制了追蹤。

              更新:我聽說 Firefox 的插件 SecretAgent 也有 ETag 的覆蓋,以防止這種類型的追蹤。你可以對于有些站點設置白名單重置緩存,以達到防止追蹤的目的。這個已經確認能夠防止追蹤。SecretAgent 的網站。

       本文由用戶 jopen 自行上傳分享,僅供網友學習交流。所有權歸原作者,若您的權利被侵害,請聯系管理員。
       轉載本站原創文章,請注明出處,并保留原始鏈接、圖片水印。
       本站是一個以用戶分享為主的開源技術平臺,歡迎各類分享!
        本文地址:http://www.baiduhome.net/news/view/1a6cfca