高开180%市值超130亿,“宁王”收获一个IPO
高开180%市值超130亿,“宁王”收获一个IPO
携程Q3大“赚”,但还能更“赚”
携程Q3大“赚”,但还能更“赚”
较劲的Q3:乐观者李斌,“史上最强”何小鹏,李想开上法拉利
较劲的Q3:乐观者李斌,“史上最强”何小鹏,李想开上法拉利
捷豹重生改命,LOGO大变样,马斯克:你们还是卖车的吗
捷豹重生改命,LOGO大变样,马斯克:你们还是卖车的吗
立即打开APP
猎云网
私信
32

超级Cookies来了!开启隐私模式,也能获取浏览历史

2015-01-15
在隐私模式下浏览网页真的能保护好隐私吗?一位软件顾问从安全机制中找到漏洞创造了HSTS Super Cookies,除非用户提前采取预防措施,否则就算打开了隐私模式,这些超级cookies也会残留在浏览器里,网站就能追踪用户的活动。

猎云网1月15日报道 (编译:Colin)

猎云网注:在隐私模式下浏览网页真的能保护好隐私吗?一位软件顾问从安全机制中找到漏洞创造了HSTS Super Cookies,除非用户提前采取预防措施,否则就算打开了隐私模式,这些超级cookies也会残留在浏览器里,网站就能追踪用户的活动。

 

多年来,Chrome、Firefox以及其他几乎所有浏览器都提供不保存或不能查询网站cookies、浏览历史和临时文件的隐私模式,注重隐私的人以此掩盖身份,避免网站追踪以前的操作。现在有一个软件顾问发现了一个简单的方法,如果用户不太小心,网站就可以绕过这些保护隐私的措施。

讽刺的是,这个能让网站追踪用户的匿名浏览记录的空子实际上是一种重要的新安全机制,被称为HTTP Strict Transport Security(HSTS),网站用它来确保终端用户只有在使用安全的HTTPS连接时才能与服务器连接。在浏览器向服务器发送请求时,每接收一个标题就添加一个标志,这样HSTS就能确保接下来与网站的连接都经过一种广泛使用的HTTPS协议的加密。由于之后的所有连接都要被加密,HSTS能保护用户不受降级攻击,也就是黑客将已加密的连接再转换回纯文本HTTP。

HSTS Super Cookies (1)

Sam Greenhalgh是RadicalResearch的技术与软件顾问,他找出了一种方法能把这种安全机制变成潜在的隐私漏洞。这个观点的证据就是HSTS Super Cookies。它们和其他的cookies一样如果用户正常模式下浏览了他的网站,之后这些用户再以隐私模式浏览这个网站他也能知道他们在干什么,而让它们变得神通广大的原因有两个。第一点是一旦被设定好在特定的浏览器或平台上运行,即使用户设置了匿名浏览,它们也是可见的。第二点是网站可以以不同的域名读取这些cookies,不仅仅是一开始设定标识符的那个。结果就是:除非用户提前采取预防措施,否则就算打开了隐私模式,这些超级cookies也会残留在浏览器里,网站就能追踪用户的活动。

为避免cookies残留,Firefox最新的34.0.5版本已经不允许HSTS Super Cookies在常规模式下运行了。Greenhalgh说这个修补是暂时的,并提供了他在Windows中Firefox 33版本上的概念证明的截图。在Windows中的Chrome和Firefox 34.0.5以及iPad上的Chrome和Safari都还运行浏览器获取cookies,但IE不会,因为IE现在的版本不支持HSTS。

对任何一个网址来说,HSTS只能从“开”和“关”中二者选其一。为了绕过这个限制,Greenhalgh将32个网址串在一起,将每个网站的“开”和“关”以二进制表示,结果能标识超过20亿个浏览器。为了让网站使用起来更容易,他把十进制改为了36进制,169ze7表示71009647,Im8nsf表示1307145327。当然,不那么谨慎的网站用不那么明显的方法同样可以追踪到用户。

Source:Ars

 

猎云网APP阅读全文

体验更加

猎云网

微信扫码关注猎云网

  1. 猎云网原创文章未经授权转载必究,如需转载请联系官方微信号进行授权;
  2. 转载时须在文章头部明确注明出处、保留官方微信、作者和原文链接,如:转自猎云网(微信号: lieyunjingxuan )字样;
  3. 猎云网报道中所涉及的融资金额均由创业公司提供,仅供参考,猎云网不对真实性背书。
  4. 联系猎云,请加微信号:jinjilei
猜你喜欢
长按图片可以分享给好友
×