Cookie漏洞致Chrome、Firefox隐身模式失效
英国伦敦的一名软件开发者已发现了一串代码,能在浏览器的隐私模式中执行普通会话,这将导致隐私模式的失效。
目前,所有主流浏览器都提供了隐私保护模式,在这种模式下,网站的cookies无法追踪用户身份。
例如Google Chrome浏览器提供了名为隐私模式的功能,而Mozilla Firefox则提供了隐私窗口的功能。
不过,新发现的这一漏洞将导致浏览器隐私模式的失效。
例如,当用户使用普通浏览器,在亚马逊网站上购物或者浏览Facebook时,用户可能会启动一个隐私窗口,去浏览器存在争议内容的博客。
那么广告主和Facebook可以知道,用户在访问亚马逊和Facebook的同时也访问了这一博客。
如果这一博客使用了亚马逊同样的广告网络,或是集成了Facebook的点赞按钮,那么广告主和Facebook可以知道,用户在访问亚马逊和Facebook的同时也访问了这一争议博客。
对于这一个漏洞,用户有一个临时的解决办法,但是比较麻烦,用户可以在启动隐私模式之前删除所有的cookies文件,或者使用一个专门的浏览器,完全在隐私模式下进行浏览。
讽刺的是,这一漏洞是由于一项旨在加强隐私保护的功能所引起的。
如果用户在浏览器地址栏使用前缀https://,为某些网站的通信加密,那么一些浏览器会对此进行记录。
浏览器会保存一个Cookie,从而确保用户下次链接该网站时,浏览器会自动进入https通道。
即使用户启用了隐私模式,这一记录仍然会存在。
与此同时,这样的Cookie也会允许第三方网络程序,例如广告和社交媒体按钮,对用户进行记录。
发现这一漏洞的独立研究员Sam Greenhelgh在博客中表示,这种功能还没有被任何公司所使用。
不过在这种方式被公开之前,没有任何办法去阻止各家公司这样做。
在线隐私软件公司Abine的联合创始人Eugene Kuznetsov认为,这种Cookie将成为下一个追踪工具。
这种工具脱胎于cookies,但变得更加复杂。
目前,用户在浏览过程中总会存在设备唯一识别码,以及具有唯一性的浏览器指纹,这些痕迹很难被移除。
用于Cookie的存在,互联网匿名性变得更加困难。
Eugene Kuznetsov表示,我们已经看到了关于隐私保护的竞赛,追踪互联网用户的愿望就像是寄生虫。你浏览器中的任何内容都在被网站和广告主检视,从而实现更多的追踪。
Mozilla已经在最新版的Firefox中对此进行了修复,而Google则倾向于Chrome维持原状。
Google已经知道了Cookie带来的问题,但仍选择继续启用Chrome的https记录功能。在安全性和隐私保护之间,Google选择了前者。
微软IE浏览器并不存在这个问题,因为IE并压根没https记录功能。
这名开发者还表示,在iOS设备上,Cookie带来的问题同样存在。
(编译自SINA.HK)