抵制跨站点隐私追踪库 supercookie

2021-03-01 23:26:03 +08:00
 lasm
最近 GitHub 出现了一个新的项目,https://github.com/jonasstrehle/supercookie
根据作者的介绍,Supercookie 使用了 favicon 的一个 bug,可以生成一个对于浏览器的唯一 ID 。它不会根据你的网络环境而改变。甚至你开启了隐私模式,刷新缓存,重启操作系统也是无效的。
原理: https://supercookie.me/workwise#content-threat-model
当你的浏览器请求 favicon (即网站小图标)的时候,会尝试从本地的 F-Cache 读取,若本地没有存储则会向服务器请求。在对网站的多次访问中通过对 favicon 请求的解析就可以构建一个唯一的 ID 。因为 F-Cache 中包含了足以实现唯一性的信息。

你可以在 https://demo.supercookie.me 尝试 demo,若你的浏览器几次生成的 ID 一致,则你的浏览器中招了。

影响:这个方法大大威胁了我们的隐私安全,普通用户根本不知道 F-Cache 的管理,一般的缓存清理方法也没有效果。这可能导致互联网对你用户信息的全方位统计和挂钩,任何一个小网站都可以通过这种方式来定位某一个人在该网站或者跨网站的任何资料。这对于公民隐私权是一个极大的威胁。也就是说,我们直接暴露于了老大哥。
然而作者和某些使用者毫无惭愧之意,叫嚣着“SPREAD TO WORLD”和技术无罪论。我在 issue 上面对他们进行了批评,然而却被倒打一耙挂了起来。参见
https://github.com/jonasstrehle/supercookie/issues/10

我认为,这属于妥妥的技术作恶,虽然我们知道大型互联网公司有多种手段通过账号信息大数据分析我们的隐私,但大型互联网公司有政府机构监管,而这种恶意 bug 的滥用将会使我们的隐私权受到极大的侵犯,无论在哪个法制健全的国家这都是不能容忍的。

你们对这种技术作恶的 repo 有什么看法?如何看待这种 repo ?下一步应该怎么处理?

知乎讨论同步: http://www.zhihu.com/question/447111920?utm_source=qq&utm_medium=social
7115 次点击
所在节点    程序员
71 条回复
iConnect
2021-03-02 21:11:49 +08:00
@Jirajine 这种屏幕指纹做的是多维精确度,没法完全解决的。
paradoxs
2021-03-02 21:21:02 +08:00
其实你们不用担心 chromium 会处理不了这种东西, 其实 chromium 会处理的东西挺多的。
很多色站都被处理过(不管是技术上的还是另外一种层面的),特别是某个 A 开头的色站。(不方便开展)
niceworld
2021-03-02 23:21:39 +08:00
edge 88.0.705.81
有的,开和不开隐私模式出来 id 的一样 :(
不过我看#55 楼没用复现,就感觉很玄学
nikan999
2021-03-02 23:34:35 +08:00
The demo of "supercookie" as well as the publication of the source code of this repository is intended to draw attention to the problem of tracking possibilities using favicons.
作者的 readme 在你发这个 issue 之前就有说过是为了别人关注这个漏洞啊,通过一定的影响力。
no1xsyzy
2021-03-02 23:54:58 +08:00
@imn1 这一漏洞是运用了 F-Cache ( Favicon Cache )来下探针,一个 App 已经能存储数据,再用 F-Cache 绕远路了呀。
少数泄漏点是系统 WebView,实际上也是浏览器。

更 Meta 地看,这一漏洞的核心在于外部缓存的存在,通过嗅探外部缓存命中情况来检测用户。那样的话,这一问题甚至不是新鲜事儿,似乎从幽灵开始,或者更早,大家就开始针对缓存进行检查。之前在哪看到说利用了 Favicon Cache 的时候我就根本没继续看下去,因为知道是 Favicon 之后其他都是细枝末节。
iseki
2021-03-03 01:06:57 +08:00
这个库相当于 PoC,不去解决漏洞反而去抵制 PoC ?解决提出问题的人???
dfkjgklfdjg
2021-03-03 10:02:58 +08:00
提出问题才能解决问题,不是不让别人提出问题,掩耳盗铃。就像为什么现在维权都要媒体曝光,就是要引起关注
ttgo
2021-03-03 12:16:24 +08:00
关了 tab 再开 都没退浏览器 返回值都不一样了 没问题啊??
JounQin
2021-03-24 15:15:41 +08:00
还真是典型的想解决掉提问题的人。
lasm
2021-04-10 18:07:09 +08:00
网友的批评很显然也是带了“先入为主”的倾向。请注意,我没有说过任何想要去解决提出问题的人
这个 Repo 并不是在提出问题质疑不择手段的广告商,而是去利用这一种 Bug,将其平民化
以前可能是潜规则,现在可以零成本追踪了。

真正的“提出问题的人”应该是去曝光,发声,像我这样宣传,而不是把这个 Bug 的利用手段传播出去。这与淘宝薅羊毛,刷单行为有何区别?曝光规则的漏洞和传播钻空子的手段是两码事

希望各位网友审视别人的有色眼镜的时候先看看自己有没有有色眼镜。

另一方面,Firefox 的解决和其他浏览器厂商,以及用户对隐私的重视也是可喜的。
lasm
2021-04-10 18:11:56 +08:00
诚然,网友们有一条逻辑就是加速主义的逻辑:漏洞被曝光出来,写个长篇大论,厂商是不会重视的;而漏洞被大面积传播和利用才能引起厂商和社会的足够重视。这确实是让事情得到发酵并解决的办法,但这不是最优解。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://tanronggui.xyz/t/757467

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX