英國倫敦的一名軟件開發(fā)者已發(fā)現(xiàn)了一串代碼,能在瀏覽器的隱私模式中執(zhí)行普通會話,這將導(dǎo)致隱私模式的失效。
目前,所有主流瀏覽器都提供了隱私保護(hù)模式。在這種模式下,網(wǎng)站的Cookies無法追蹤用戶身份。例如,谷歌Chrome瀏覽器提供了名為“Incognito”的功能,而火狐瀏覽器則提供了“隱私窗口”功能。
不過,新發(fā)現(xiàn)的這一漏洞將導(dǎo)致瀏覽器隱私模式的失效。例如,當(dāng)用戶使用普通瀏覽器,在亞馬遜網(wǎng)站上購物或?yàn)g覽Facebook時,用戶可能會啟動一個隱私窗口,去瀏覽存在爭議內(nèi)容的博客。如果這一博客使用了與亞馬遜同樣的廣告網(wǎng)絡(luò),或是集成了 Facebook的“點(diǎn)贊”按鈕,那么廣告主和Facebook可以知道,用戶在訪問亞馬遜和Facebook的同時也訪問了這一爭議博客。
對于這一漏洞,用戶有一個臨時解決辦法,但是比較麻煩:用戶可以在啟動隱私模式之前刪除所有Cookies文件,或者使用一個專門的瀏覽器,完全在隱私模式下進(jìn)行瀏覽。
諷刺的是,這一漏洞是由于一項(xiàng)旨在加強(qiáng)隱私保護(hù)的功能所引起的。
如果用戶在瀏覽器地址欄使用前綴https://,為某些網(wǎng)站的通信加密,那么一些瀏覽器會對此進(jìn)行記憶。瀏覽器會保存一個“超級Cookie”,從而確保當(dāng)用戶下次連接該網(wǎng)站時,瀏覽器會自動進(jìn)入https通道。即使用戶啟用了隱私模式,這一記憶仍會存在。
與此同時,這樣的超級Cookie也允許第三方網(wǎng)絡(luò)程序,例如廣告和社交媒體按鈕,對用戶進(jìn)行記憶。
發(fā)現(xiàn)這一漏洞的獨(dú)立研究員薩姆·格林哈爾(Sam Greenhelgh)在博客中表示,這種功能還沒有被任何公司所使用。不過在這種方式被公開之后,沒有任何辦法去阻止各家公司這樣做。
在線隱私軟件公司Abine聯(lián)合創(chuàng)始人尤金·庫茲涅佐夫(Eugene Kuznetsov)認(rèn)為,這種“超級Cookie”將成為下一代追蹤工具。這種工具脫胎于Cookies,但變得更加復(fù)雜。目前,用戶在瀏覽過程中總是 會存在設(shè)備唯一識別碼,以及具有唯一性的瀏覽器指紋,這些痕跡很難被擦除。
由于“超級Cookie”的存在,互聯(lián)網(wǎng)匿名性變得更加困難。庫茲涅佐夫表示:“我們已經(jīng)看到了關(guān)于隱私保護(hù)的軍備競賽。追蹤互聯(lián)網(wǎng)用戶的愿望就像是寄生蟲。你瀏覽器中的任何內(nèi)容都在被網(wǎng)站和廣告主審視,從而實(shí)現(xiàn)更多的追蹤。”
Mozilla已經(jīng)在最新版火狐瀏覽器中對此進(jìn)行了修復(fù),而谷歌則傾向于使Chrome維持原狀。谷歌已經(jīng)知道了“超級Cookie”帶來的問題,但仍選擇繼續(xù)啟用Chrome的https記憶功能。在安全性和隱私保護(hù)之間,谷歌選擇了前者。
微軟IE瀏覽器并不存在這樣的問題,因?yàn)檫@款瀏覽器并未內(nèi)建https記憶功能。
格林哈爾還表示,在iOS設(shè)備上,“超級Cookie”帶來的問題同樣存在。
京公網(wǎng)安備 11010502049343號