網(wǎng)站站長(zhǎng)如何做好網(wǎng)站的搜索引擎優(yōu)化 |
發(fā)布時(shí)間:2015-01-15 文章來(lái)源: 瀏覽次數(shù):4019 |
注:在隱私模式下瀏覽網(wǎng)頁(yè)真的能保護(hù)好隱私嗎?一位軟件參謀從安全機(jī)制中找到漏洞創(chuàng)造了HSTS Super Cookies,除非用戶提前采取預(yù)防措施,否則就算打開(kāi)了隱私模式,這些超級(jí)cookies也會(huì)殘留在瀏覽器里,網(wǎng)站就能追蹤用戶的流動(dòng)。
多年來(lái),Chrome、Firefox以及其他幾乎所有瀏覽器都提供不保留或不能查詢網(wǎng)站cookies、瀏覽歷史和臨時(shí)文件的隱私模式,注重隱私的人以此掩蓋身份,避免網(wǎng)站追蹤以前的操縱,F(xiàn)在有一個(gè)軟件參謀發(fā)現(xiàn)了一個(gè)簡(jiǎn)樸的方法,假如用戶不太小心,網(wǎng)站就可以繞過(guò)這些保護(hù)隱私的措施。 諷刺的是,這個(gè)能讓網(wǎng)站追蹤用戶的匿名瀏覽記實(shí)的空子實(shí)際上是一種重要的新安全機(jī)制,被稱為HTTP Strict Transport Security(HSTS),網(wǎng)站用它來(lái)確保終端用戶只有在使用安全的HTTPS連接時(shí)才能與服務(wù)器連接。在瀏覽器向服務(wù)器發(fā)送哀求時(shí),每接收一個(gè)標(biāo)題就添加一個(gè)標(biāo)志,這樣HSTS就能確保接下來(lái)與網(wǎng)站的連接都經(jīng)由一種廣泛使用的HTTPS協(xié)議的加密。因?yàn)橹蟮乃羞B接都要被加密,HSTS能保護(hù)用戶不受降級(jí)攻擊,也就是黑客將已加密的連接再轉(zhuǎn)換回純文本HTTP。 Sam Greenhalgh是RadicalResearch的技術(shù)與軟件參謀,他找出了一種方法能把這種安全機(jī)制變成潛伏的隱私漏洞。這個(gè)觀點(diǎn)的證據(jù)就是HSTS Super Cookies。它們和其他的cookies一樣假如用戶正常模式下瀏覽了他的網(wǎng)站,之后這些用戶再以隱私模式瀏覽這個(gè)網(wǎng)站他也能知道他們?cè)诟墒裁矗屗鼈冏兊蒙裢ǚ翰┑脑蛴袃蓚(gè)。第一點(diǎn)是一旦被設(shè)定好在特定的瀏覽器或平臺(tái)上運(yùn)行,即使用戶設(shè)置了匿名瀏覽,它們也是可見(jiàn)的。第二點(diǎn)是網(wǎng)站可以以不同的域名讀取這些cookies,不僅僅是一開(kāi)始設(shè)定標(biāo)識(shí)符的那個(gè)。結(jié)果就是:除非用戶提前采取預(yù)防措施,否則就算打開(kāi)了隱私模式,這些超級(jí)cookies也會(huì)殘留在瀏覽器里,網(wǎng)站就能追蹤用戶的流動(dòng)。 為避免cookies殘留,F(xiàn)irefox最新的34.0.5版本已經(jīng)不答應(yīng)HSTS Super Cookies在常規(guī)模式下運(yùn)行了。Greenhalgh說(shuō)這個(gè)修補(bǔ)是暫時(shí)的,并提供了他在Windows中Firefox 33版本上的概念證實(shí)的截圖。在Windows中的Chrome和Firefox 34.0.5以及iPad上的Chrome和Safari都還運(yùn)行瀏覽器獲取cookies,但I(xiàn)E不會(huì),由于IE現(xiàn)在的版本不支持HSTS。 對(duì)任何一個(gè)網(wǎng)址來(lái)說(shuō),HSTS只能從“開(kāi)”和“關(guān)”中二者選其一。為了繞過(guò)這個(gè)限制,Greenhalgh將32個(gè)網(wǎng)址串在一起,將每個(gè)網(wǎng)站的“開(kāi)”和“關(guān)”以二進(jìn)制表示,結(jié)果能標(biāo)識(shí)超過(guò)20億個(gè)瀏覽器。為了讓網(wǎng)站使用起來(lái)更輕易,他把十進(jìn)制改為了36進(jìn)制,169ze7表示71009647,Im8nsf表示1307145327。當(dāng)然,不那么謹(jǐn)嚴(yán)的網(wǎng)站用不那么顯著的方法同樣可以追蹤到用戶。 |
|