什么是Supercookies,僵尸Cookies和Evercookies,它们是安全威胁吗?

译文
安全 应用安全
容易被第三者发现你浏览器中的秘密信息曾经是围绕cookie的最大隐私问题,不过,随着互联网的发展,这种情况已经好多了。虽然普通的浏览器cookie通常很有用,也很容易清除,但也有一些其他的cookie变体可能被留下来监视你。

【51CTO.com快译】容易被第三者发现你浏览器中的秘密信息曾经是围绕cookie的最大隐私问题,不过,随着互联网的发展,这种情况已经好多了。虽然普通的浏览器cookie通常很有用,也很容易清除,但也有一些其他的cookie变体可能被留下来监视你。其中有两种类型,supercookies和僵尸cookies(通常也被称为“Evercookies”),特别难以清除。幸运的是,它们并没有被忽视,浏览器正在不断进化以对抗这些偷偷摸摸的跟踪技术。

[[245955]]

Supercookies

这个术语可能会让人有点困惑,因为它被用来描述几种不同的技术,而其中只有小部分才是实际意义上的cookies。一般来说,它指的是那些为了给你一个唯一的可识别ID而用来改变你浏览器配置文件的任何东西。通过这种方式,它们提供了与cookie相同的功能,允许网站和广告商对您进行跟踪,但与cookie不同的是,它们不能被真正删除。

[[245956]]

你经常听到的“supercookie”一词,通常用于指代唯一标识标头(UIDH)以及HTTP严格传输安全机制(HSTS)中的一些漏洞,尽管原始术语源自于顶级域名中的Cookie。你可以为“.com”或“.co.uk”这样的域设置一些特殊的cookie,这些cookie允许任何具有该域后缀的网站查看它。

比如,如果Google.com设置了一个这样的超级cookie,那么这个cookie将会出现在任何其他的“.com”网站上。这是一个明显的隐私问题,但由于它是一个传统的cookie,所以几乎所有的现代浏览器默认都会阻止它们。目前已经很少有人再会来谈论这种supercookie了,所以你通常会听到更多的关于另外两种cookie的信息。

唯一标识符头(UIDH)

事实上,唯一标识符头根本不在您的计算机上——它发生在您的ISP和一个网站的服务器之间。以下是它的发生过程:

  • 你向你的ISP发送了一个网站请求。
  • 在ISP将请求转发到服务器之前,它会向请求的头部添加一个唯一的标识符字符串。
  • 这个字符串允许网站在你每次访问时将你识别为同一用户,即使你已经删除了他们的cookies。一旦他们知道你是谁,他们就可以直接把同样的cookie放回你的浏览器。

简单来说,如果ISP使用UIDH跟踪,它会将您的个人签名发送到您访问的每个网站(或为其付费的网站)。这对于优化广告收入非常有用,但它的侵入性已经够大了,以至于美国联邦通讯委员会对Verizon处以了135万美元的罚款,原因是Verizon没有通知他们的客户,或者没有给他们选择退出的权利。

除了Verizon之外,关于还有哪些公司正在使用UIDH信息的数据并不多,但消费者的强烈反对使它成为了一个相当不受欢迎的技术策略。好消息是,它只适用于未加密的HTTP连接,并且由于大多数网站现在都默认使用HTTPS,加上您可以轻松下载像HTTPS Everywhere这样的扩展程序,这个supercookie实际上已经不再是一个问题了,并且它也可能没有被广泛使用。如果你想要额外的保护,就使用VPN吧。这能够保证你的请求会被安全的转发到网站上,而不会附上你的UIDH。

HTTPS严格传输安全机制(HSTS)

这是另外一种罕见的supercookie,虽然在任何特定网站上都没有被明确识别,但显然它也正在被利用,因为苹果公司在Safari浏览器上对它进行了修补,并引用了已证实的攻击实例

HSTS实际上是一件好事。它允许浏览器安全地重定向到网站的HTTPS版本,而不是不安全的HTTP版本。不幸的是,它也可以用来创建一个supercookie,其过程如下:

  • 创建许多子域名(如“domain.com”、“subdomain2.domain.com”等)。
  • 给主页的每个访问者分配一个随机数。
  • 强制用户加载所有子域,方法是将它们添加到页面上不可见的像素中,或者是在加载页面时重定向用户通过每个子域。
  • 对于某些子域,告诉用户的浏览器使用HSTS切换到安全版本。而对于其他的子域,则保留使用不安全的HTTP。
  • 如果子域的HSTS策略被打开,计为“1”,如果关闭,计为“0”。使用这种策略,网站可以在浏览器的HSTS设置中以二进制形式写入用户的随机ID号。
  • 当访问者重新访问网站时,网站将检查用户浏览器的HSTS策略,该策略将返回与最初生成的相同的二进制数,用以识别用户。

这听起来很复杂,简单来说就是,网站可以让你的浏览器生成并记住多个页面的安全设置,下次你访问时,它就可以告诉你你是谁了,因为没有其他人也有这种设置的精确组合。

苹果已经想出了解决这个问题的办法了,比如只允许为每个网站设置一两个主要域名的HSTS设置,并限制网站允许使用的链接重定向数量。其他浏览器可能会遵循这些安全措施(Firefox的隐身模式似乎也能起到作用),但由于没有任何确认的情况发生,所以这并不是当下大多数浏览器的首要任务。您可以通过深入了解一些设置并手动清除HSTS策略来亲自处理这些问题,但能做的也仅此而已。

僵尸cookies/Evercookies

[[245957]]

僵尸cookies就如它的名字所表达的那样——它会在你以为它们消失了之后又重新复活。你可能已经见过被称为“evercookie”的cookies了,但不幸的是,它们有各种各样的变种。“Evercookie”实际上是一个JavaScript API,用于演示cookie可以通过多少种不同的方式来绕过cookie的删除工作。

僵尸cookies之所以不会被清除,是因为它们隐藏在你常规的cookies存储区之外。实现本地存储是这些僵尸cookie的一个主要目标(Adobe Flash和Microsoft Silverlight也经常使用这一点),一些HTML5存储也可能是一个问题。这些死而复活的cookie甚至可以存在于您的web历史记录中,或者存在于浏览器允许进入其缓存的RGB颜色代码中。一个网站所要做的就是找到一个隐藏的cookie,然后它就能复活其他cookies了。

但是,其中的许多安全漏洞正在消失。 因为Flash和Silverlight并不是现代web设计的重要组成部分,现在的许多浏览器已经不再那么容易受到其他隐藏Evercookie位置的攻击了。但是,由于这些cookie有许多不同的方式来狡猾地进入您的系统,因此没有一种固定的方法可以保护您自己。然而,一套像样的隐私扩展和良好的浏览器清理习惯从来都不是一个坏主意!

等等,那我们现在究竟是不是安全的呢?

在线追踪技术是一项不断升级的技术,因此,如果你担心隐私问题,你可能需要习惯这样一种想法:我们可能永远无法保证100%的在线匿名。

不过,你也不需要太过担心supercookies,因为它们并不常见,而且正越来越多的受到屏蔽。但是,僵尸cookies/Evercookies一旦出现,通常就很难去除。虽然很多的实现途径已经被关闭,但是他们可能仍然发挥着潜在作用,直到每个漏洞都被修复,遗憾的是,他们总能想出新的技术。

原文标题:What Are Supercookies, Zombie Cookies, and Evercookies, and Are They a Threat?,作者: Andrew Braun

【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】

责任编辑:赵宁宁 来源: 51CTO.com
相关推荐

2022-01-04 22:00:38

数据安全云计算信息泄露

2023-09-09 00:06:29

2022-02-20 10:35:05

僵尸网络网络攻击

2023-05-17 15:36:57

2020-11-17 14:28:56

数据中心

2017-12-15 09:40:47

Linux僵尸进程

2023-05-05 14:45:05

2022-05-11 15:08:16

加密货币私钥安全

2021-07-01 19:35:29

智能电表物联网智慧城市

2016-09-29 15:43:33

2020-09-03 06:42:12

线程安全CPU

2022-08-22 13:17:19

智能建筑楼宇自控物联网

2022-08-02 10:33:50

虚拟机操作系统软件

2016-04-07 08:56:06

2018-08-03 09:32:06

Linux 系统 Windows

2021-09-06 10:32:16

云计算云安全错误配置

2018-05-01 07:16:20

2022-08-21 14:11:25

容器云原生

2023-07-11 00:12:05

2019-10-18 19:06:13

安全工具网络
点赞
收藏

51CTO技术栈公众号