超級Cookie可致隱私模式失效 仍可追蹤用戶信息

北京時間 1 月 11 日上午消息，英國倫敦的一名軟件開發者已發現了一串代碼，能在瀏覽器的隱私模式中執行普通會話，這將導致隱私模式的失效。

目前，所有主流瀏覽器都提供了隱私保護模式。在這種模式下，網站的 Cookies 無法追蹤用戶身份。例如，谷歌 Chrome 瀏覽器提供了名為“Incognito”的功能，而火狐瀏覽器則提供了“隱私窗口”功能。

不過，新發現的這一漏洞將導致瀏覽器隱私模式的失效。例如，當用戶使用普通瀏覽器，在亞馬遜網站上購物或瀏覽 非死book 時，用戶可能會啟動一個隱私窗口，去瀏覽存在爭議內容的博客。如果這一博客使用了與亞馬遜同樣的廣告網絡，或是集成了 非死book 的“點贊”按鈕，那么廣告主和 非死book 可以知道，用戶在訪問亞馬遜和 非死book 的同時也訪問了這一爭議博客。

對于這一漏洞，用戶有一個臨時解決辦法，但是比較麻煩：用戶可以在啟動隱私模式之前刪除所有 Cookies 文件，或者使用一個專門的瀏覽器，完全在隱私模式下進行瀏覽。

諷刺的是，這一漏洞是由于一項旨在加強隱私保護的功能所引起的。

如果用戶在瀏覽器地址欄使用前綴 https://，為某些網站的通信加密，那么一些瀏覽器會對此進行記憶。瀏覽器會保存一個“超級 Cookie”，從而確保當用戶下次連接該網站時，瀏覽器會自動進入 https 通道。即使用戶啟用了隱私模式，這一記憶仍會存在。

與此同時，這樣的超級 Cookie 也允許第三方網絡程序，例如廣告和社交媒體按鈕，對用戶進行記憶。

發現這一漏洞的獨立研究員薩姆·格林哈爾(Sam Greenhelgh)在博客中表示，這種功能還沒有被任何公司所使用。不過在這種方式被公開之后，沒有任何辦法去阻止各家公司這樣做。

在線隱私軟件公司 Abine 聯合創始人尤金·庫茲涅佐夫(Eugene Kuznetsov)認為，這種“超級 Cookie”將成為下一代追蹤工具。這種工具脫胎于 Cookies，但變得更加復雜。目前，用戶在瀏覽過程中總是會存在設備唯一識別碼，以及具有唯一性的瀏覽器指紋，這些痕跡很難被擦除。

由于“超級 Cookie”的存在，互聯網匿名性變得更加困難。庫茲涅佐夫表示：“我們已經看到了關于隱私保護的軍備競賽。追蹤互聯網用戶的愿望就像是寄生蟲。你瀏覽器中的任何內容都在被網站和廣告主審視，從而實現更多的追蹤。”

Mozilla 已經在最新版火狐瀏覽器中對此進行了修復，而谷歌則傾向于使 Chrome 維持原狀。谷歌已經知道了“超級 Cookie”帶來的問題，但仍選擇繼續啟用 Chrome 的 https 記憶功能。在安全性和隱私保護之間，谷歌選擇了前者。

微軟 IE 瀏覽器并不存在這樣的問題，因為這款瀏覽器并未內建 https 記憶功能。

格林哈爾還表示，在 iOS 設備上，“超級 Cookie”帶來的問題同樣存在。(維金)

來自：http://news.cnblogs.com/n/512925/