帖子内容
zksn...:#mazaacfhd#文本 跨站点隐私追踪库 Supercookie 可威胁用户隐私 今年一月底 GitHub 出现了一个新的项目 supercookie,据作者介绍,Supercookie 使用了 favicon(即网站小图标)的一个 BUG,可以生成一个对于浏览器的唯一 ID,并且其不会根据用户网络环境而改变,甚至用户开启隐私模式、刷新缓存、重启操作系统也无效的(原理)。 当浏览器请求 favicon 时,会尝试从本地的 F-Cache 读取,若本地没有存储则会向服务器请求。在对网站的多次访问中通过对 favicon 请求的解析就可以构建一个唯一的 ID,因为 F-Cache 中包含了足以实现唯一性的信息。 这对用户隐私是一个重大威胁,普通用户可能并不知道 F-Cache 的管理,一般的缓存清理方法也没有效果。这可能导致互联网对用户信息的全方位统计和追踪,任何一个网站都可能通过这种方式来追踪和收集某个用户在该网站或者跨网站的任何资料。 目前您可以通过 https://demo.supercookie.me 进行测试,若浏览器多次生成的 ID 一致,则您的浏览器中招了。 Firefox 官方博客早前发布过处理 Supercookie 和全面保护 Cookie 的文章以增强用户隐私保护,同时 TG极客 @TGgeek 已经测试 Firefox v86.0 正式版使用"隐私模式"没有出现这个问题,而根据原帖评论的反馈来看,Chrome v88.0.4324.190 版本似乎仍存在此问题(TG极客 @TGgeek 未进行 Chrome 的测试)。 注:TG极客 @TGgeek 推荐您使用性能优越、功能强大、可高度客制化的 Firefox 浏览器,兼顾畅快浏览体验的同时保护您的隐私安全。 ✅ Firefox 下载 https://www.mozilla.org/en-US/firefox/all ❌ 请勿使用国内版 https://www.firefox.com.cn via. v2ex * 更新1 于 2021.03.02 17:22 据 @TGgeek 评论区反馈,证实 Chrome v88.0.4324.190 正式版本确实出现了此问题。 * 更新2 于 2021.03.02 20:34 据 @TGgeek 评论区反馈,由 @JimMoen 进行以下测试: ArchLinuxCN 源中的 google-chrome 88.0.4324.182-1 在设置中选择"清除浏览数据"并清除全部时间范围的数据后重启 google-chrome,使得 SuperCookie ID 不会保留,且每次清除数据后都会改变。经过进一步测试,关闭所有扩展,并使 chrome://flags 中所有选项均恢复默认后,再次进行上述清除数据操作 SuperCookie ID 仍未保留,可以确认此现象与扩展及各种 flags 设置无关。 此外 @JimMoen 还补充道:"该测试在未登录 Google 账号环境下进行,怀疑可能是账号同步导致了 cookie 恢复。" 🏷 TAG #互联网 📢 TG极客 @TGgeek 👥 大学联盟 @UniversityAlliance