瀏覽器中的隱私模式/無痕模式是非常方便的功能,對於不想留下任何紀錄的人士提供方便的上網方式。近日倫敦一名軟體開發人員,發現了一串代碼能在瀏覽器的隱私模式中執行普通對話,這將導致隱私模式的失效。
目前,所有主流瀏覽器都提供了隱私保護模式,在這種模式下網站的Cookies無法追蹤用戶身份。不過,新發現的這一漏洞將導致瀏覽器隱私模式的失效。例如,當用戶使用普通瀏覽器,在Amazon購物或瀏覽Facebook時,用戶可能會啟動另一個隱私視窗去瀏覽其他網站。如果這網站使用了與亞馬遜同樣的廣告網路,或是加入了Facebook的like按鈕,那麼廣告主以及Facebook可以知道用戶在訪問Amazon或Facebook的同時也訪問了這網站。
對於這一漏洞有一個臨時辦法,就是在啟動隱私模式之前刪除所有Cookies檔,或者使用另一個瀏覽器,完全在隱私模式下進行瀏覽。諷刺的是,這一漏洞是由於一項旨在加強隱私保護的功能所引起的。
如果使用者在瀏覽器位址欄使用https://,為某些網站的通信加密,那麼一些瀏覽器會對此進行記憶。瀏覽器會保存一個「超級Cookie」,從而確保當用戶下次連接該網站時,瀏覽器會自動進入https通道。即使使用者啟用了隱私模式,這一記憶仍會存在。與此同時,這樣的超級Cookie也允許協力廠商網路程式,例如廣告和社交媒體按鈕,對使用者進行記憶。
發現這一漏洞的獨立研究員Sam Greenhelgh在網誌中表示,這種功能還沒有被任何公司所使用。不過在這種方式被公開之後,就沒有辦法去阻止網站這樣做。這種「超級Cookie」將成為下一代追蹤工具,這種工具令Cookies變得更加複雜。目前,用戶在瀏覽過程中總是會存在設備識別碼,以及獨特的的瀏覽器指紋,這些痕跡很難被擦除。互聯網匿名變得更加困難,追蹤互聯網用戶的願望就像是寄生蟲,用戶任何瀏覽內容都在被網站和廣告主審視,從而實現更多的追蹤。
Mozilla已經在最新版Firefox中對此進行了修復,而Chrome維持原狀,仍選擇繼續啟用https記憶功能。在安全性和隱私保護之間,Google選擇了前者是最易理解的,因為它正正是全球最大廣告平台之一。所以這次IE終於有一項目可以贏Chrome,因為IE並未內建https記憶功能。
超級Cookie完勝隱私瀏覽模式 使用者資訊洩露危機
https://www.facebook.com/hkitblog