【51CTO.com快譯】容易被第三者發(fā)現(xiàn)你瀏覽器中的秘密信息曾經(jīng)是圍繞cookie的最大隱私問題，不過，隨著互聯(lián)網(wǎng)的發(fā)展，這種情況已經(jīng)好多了。雖然普通的瀏覽器cookie通常很有用，也很容易清除，但也有一些其他的cookie變體可能被留下來監(jiān)視你。其中有兩種類型，supercookies和僵尸cookies(通常也被稱為“Evercookies”)，特別難以清除。幸運的是，它們并沒有被忽視，瀏覽器正在不斷進化以對抗這些偷偷摸摸的跟蹤技術。

[[245955]]

Supercookies

這個術語可能會讓人有點困惑，因為它被用來描述幾種不同的技術，而其中只有小部分才是實際意義上的cookies。一般來說，它指的是那些為了給你一個唯一的可識別ID而用來改變你瀏覽器配置文件的任何東西。通過這種方式，它們提供了與cookie相同的功能，允許網(wǎng)站和廣告商對您進行跟蹤，但與cookie不同的是，它們不能被真正刪除。

[[245956]]

你經(jīng)常聽到的“supercookie”一詞，通常用于指代唯一標識標頭(UIDH)以及HTTP嚴格傳輸安全機制(HSTS)中的一些漏洞，盡管原始術語源自于頂級域名中的Cookie。你可以為“.com”或“.co.uk”這樣的域設置一些特殊的cookie，這些cookie允許任何具有該域后綴的網(wǎng)站查看它。

比如，如果Google.com設置了一個這樣的超級cookie，那么這個cookie將會出現(xiàn)在任何其他的“.com”網(wǎng)站上。這是一個明顯的隱私問題，但由于它是一個傳統(tǒng)的cookie，所以幾乎所有的現(xiàn)代瀏覽器默認都會阻止它們。目前已經(jīng)很少有人再會來談論這種supercookie了，所以你通常會聽到更多的關于另外兩種cookie的信息。

唯一標識符頭(UIDH)

事實上，唯一標識符頭根本不在您的計算機上——它發(fā)生在您的ISP和一個網(wǎng)站的服務器之間。以下是它的發(fā)生過程：

• 你向你的ISP發(fā)送了一個網(wǎng)站請求。
• 在ISP將請求轉(zhuǎn)發(fā)到服務器之前，它會向請求的頭部添加一個唯一的標識符字符串。
• 這個字符串允許網(wǎng)站在你每次訪問時將你識別為同一用戶，即使你已經(jīng)刪除了他們的cookies。一旦他們知道你是誰，他們就可以直接把同樣的cookie放回你的瀏覽器。

簡單來說，如果ISP使用UIDH跟蹤，它會將您的個人簽名發(fā)送到您訪問的每個網(wǎng)站(或為其付費的網(wǎng)站)。這對于優(yōu)化廣告收入非常有用，但它的侵入性已經(jīng)夠大了，以至于美國聯(lián)邦通訊委員會對Verizon處以了135萬美元的罰款，原因是Verizon沒有通知他們的客戶，或者沒有給他們選擇退出的權利。

除了Verizon之外，關于還有哪些公司正在使用UIDH信息的數(shù)據(jù)并不多，但消費者的強烈反對使它成為了一個相當不受歡迎的技術策略。好消息是，它只適用于未加密的HTTP連接，并且由于大多數(shù)網(wǎng)站現(xiàn)在都默認使用HTTPS，加上您可以輕松下載像HTTPS Everywhere這樣的擴展程序，這個supercookie實際上已經(jīng)不再是一個問題了，并且它也可能沒有被廣泛使用。如果你想要額外的保護，就使用VPN吧。這能夠保證你的請求會被安全的轉(zhuǎn)發(fā)到網(wǎng)站上，而不會附上你的UIDH。

HTTPS嚴格傳輸安全機制(HSTS)

這是另外一種罕見的supercookie，雖然在任何特定網(wǎng)站上都沒有被明確識別，但顯然它也正在被利用，因為蘋果公司在Safari瀏覽器上對它進行了修補，并引用了已證實的攻擊實例。

HSTS實際上是一件好事。它允許瀏覽器安全地重定向到網(wǎng)站的HTTPS版本，而不是不安全的HTTP版本。不幸的是，它也可以用來創(chuàng)建一個supercookie，其過程如下：

• 創(chuàng)建許多子域名(如“domain.com”、“subdomain2.domain.com”等)。
• 給主頁的每個訪問者分配一個隨機數(shù)。
• 強制用戶加載所有子域，方法是將它們添加到頁面上不可見的像素中，或者是在加載頁面時重定向用戶通過每個子域。
• 對于某些子域，告訴用戶的瀏覽器使用HSTS切換到安全版本。而對于其他的子域，則保留使用不安全的HTTP。
• 如果子域的HSTS策略被打開，計為“1”，如果關閉，計為“0”。使用這種策略，網(wǎng)站可以在瀏覽器的HSTS設置中以二進制形式寫入用戶的隨機ID號。
• 當訪問者重新訪問網(wǎng)站時，網(wǎng)站將檢查用戶瀏覽器的HSTS策略，該策略將返回與最初生成的相同的二進制數(shù)，用以識別用戶。

這聽起來很復雜，簡單來說就是，網(wǎng)站可以讓你的瀏覽器生成并記住多個頁面的安全設置，下次你訪問時，它就可以告訴你你是誰了，因為沒有其他人也有這種設置的精確組合。

蘋果已經(jīng)想出了解決這個問題的辦法了，比如只允許為每個網(wǎng)站設置一兩個主要域名的HSTS設置，并限制網(wǎng)站允許使用的鏈接重定向數(shù)量。其他瀏覽器可能會遵循這些安全措施(Firefox的隱身模式似乎也能起到作用)，但由于沒有任何確認的情況發(fā)生，所以這并不是當下大多數(shù)瀏覽器的首要任務。您可以通過深入了解一些設置并手動清除HSTS策略來親自處理這些問題，但能做的也僅此而已。

僵尸cookies/Evercookies

[[245957]]

僵尸cookies就如它的名字所表達的那樣——它會在你以為它們消失了之后又重新復活。你可能已經(jīng)見過被稱為“evercookie”的cookies了，但不幸的是，它們有各種各樣的變種。“Evercookie”實際上是一個JavaScript API，用于演示cookie可以通過多少種不同的方式來繞過cookie的刪除工作。

僵尸cookies之所以不會被清除，是因為它們隱藏在你常規(guī)的cookies存儲區(qū)之外。實現(xiàn)本地存儲是這些僵尸cookie的一個主要目標(Adobe Flash和Microsoft Silverlight也經(jīng)常使用這一點)，一些HTML5存儲也可能是一個問題。這些死而復活的cookie甚至可以存在于您的web歷史記錄中，或者存在于瀏覽器允許進入其緩存的RGB顏色代碼中。一個網(wǎng)站所要做的就是找到一個隱藏的cookie，然后它就能復活其他cookies了。

但是，其中的許多安全漏洞正在消失。 因為Flash和Silverlight并不是現(xiàn)代web設計的重要組成部分，現(xiàn)在的許多瀏覽器已經(jīng)不再那么容易受到其他隱藏Evercookie位置的攻擊了。但是，由于這些cookie有許多不同的方式來狡猾地進入您的系統(tǒng)，因此沒有一種固定的方法可以保護您自己。然而，一套像樣的隱私擴展和良好的瀏覽器清理習慣從來都不是一個壞主意!

等等，那我們現(xiàn)在究竟是不是安全的呢?

在線追蹤技術是一項不斷升級的技術，因此，如果你擔心隱私問題，你可能需要習慣這樣一種想法：我們可能永遠無法保證100%的在線匿名。

不過，你也不需要太過擔心supercookies，因為它們并不常見，而且正越來越多的受到屏蔽。但是，僵尸cookies/Evercookies一旦出現(xiàn)，通常就很難去除。雖然很多的實現(xiàn)途徑已經(jīng)被關閉，但是他們可能仍然發(fā)揮著潛在作用，直到每個漏洞都被修復，遺憾的是，他們總能想出新的技術。

原文標題：What Are Supercookies, Zombie Cookies, and Evercookies, and Are They a Threat?，作者： Andrew Braun

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】