抵制跨站点隐私追踪库 supercookie

最近 GitHub 出现了一个新的项目，https://github.com/jonasstrehle/supercookie 。
根据作者的介绍，Supercookie 使用了 favicon 的一个 bug，可以生成一个对于浏览器的唯一 ID 。它不会根据你的网络环境而改变。甚至你开启了隐私模式，刷新缓存，重启操作系统也是无效的。
原理： https://supercookie.me/workwise#content-threat-model
当你的浏览器请求 favicon （即网站小图标）的时候，会尝试从本地的 F-Cache 读取，若本地没有存储则会向服务器请求。在对网站的多次访问中通过对 favicon 请求的解析就可以构建一个唯一的 ID 。因为 F-Cache 中包含了足以实现唯一性的信息。

你可以在 https://demo.supercookie.me 尝试 demo，若你的浏览器几次生成的 ID 一致，则你的浏览器中招了。

影响：这个方法大大威胁了我们的隐私安全，普通用户根本不知道 F-Cache 的管理，一般的缓存清理方法也没有效果。这可能导致互联网对你用户信息的全方位统计和挂钩，任何一个小网站都可以通过这种方式来定位某一个人在该网站或者跨网站的任何资料。这对于公民隐私权是一个极大的威胁。也就是说，我们直接暴露于了老大哥。
然而作者和某些使用者毫无惭愧之意，叫嚣着“SPREAD TO WORLD”和技术无罪论。我在 issue 上面对他们进行了批评，然而却被倒打一耙挂了起来。参见
https://github.com/jonasstrehle/supercookie/issues/10

我认为，这属于妥妥的技术作恶，虽然我们知道大型互联网公司有多种手段通过账号信息大数据分析我们的隐私，但大型互联网公司有政府机构监管，而这种恶意 bug 的滥用将会使我们的隐私权受到极大的侵犯，无论在哪个法制健全的国家这都是不能容忍的。

你们对这种技术作恶的 repo 有什么看法？如何看待这种 repo ？下一步应该怎么处理？

知乎讨论同步： http://www.zhihu.com/question/447111920?utm_source=qq&utm_medium=social

Al0rid4l

2021-03-01 23:40:44 +08:00

虽然我不喜欢, 但是对于抵制这件事也持保留态度, 因为根本问题并不会因为抵制而消失, 抵制也只是解决提出问题的人罢了, 问题最终需要浏览器厂商去解决
本质上这和其他安全漏洞一样, 不妥之处或许是作者没有直接将其作为漏洞报给厂商而是选择了公开 POC, 当然也不知道作者之前是否有提交过被无视就是了

jinliming2

2021-03-02 00:10:53 +08:00

已经被浏览器封了吗？ Chrome Canary 90.0.4430.8，亲测隐私模式两次 ID 不一样、访客模式两次 ID 也不一样。
网页未在正常模式中打开过，直接右键隐身模式打开，测试完第一次 ID 72 43 0C 25 AE 90，关掉窗口后（但没有退出浏览器），再次重新在隐身模式打开，测试第二次 ID 28 8E 96 EE BB 6D 。
然后开启 Chrome 右上角头像里的访客模式，测试第三次 ID ED 07 C8 AD BF A5 。关掉访客窗口后再次重新打开访客窗口，测试第四次 ID 2B E9 51 B5 87 43 。

Firefox Nightly 88.0a1 ，开启了 Never remember history （火狐我主要做测试用，所以日常开着这个，干净）。未进入隐私模式，在正常模式下第一次测试 ID EC 1B 88 42 18 B1，关闭浏览器重新打开，第二次测试 ID D1 9A EB 51 D0 0C 。