以下是网站如何在线跟踪你

 

一名研究人员展示了两个未修补的缺陷，可以利用它们追踪数百万互联网用户，从而允许恶意网站所有者：

 

这两种浏览器指纹识别技术被滥用HTTP严格传输安全（HSTS）和内容安全策略 – Mozilla Firefox和Google Chrome中已经内置了新的安全功能，并有望在不久的将来应用于其他主流浏览器。

 

 

上周末在圣地亚哥举行的图尔肯安全会议上，一名安全研究人员证明了这一点。

独立安全研究员朱燕（音译）演示了网站如何滥用HSTS保护和内容安全策略来追踪哪怕是最偏执的用户，从而允许网站嗅探用户之前访问过的域。

 

是的，尽管HTTP Strict Transport Security（HSTS）与“严格性”和“安全性”有着明显的联系，但在你访问网站时，它可能会被滥用来跟踪你，尽管它声称可以让你与该网站的通信更加安全。

 

该漏洞试图通过HTTP嵌入不同HSTS保护域中不存在的图像。

 

嗤之以鼻然后使用JavaScript检测您的web浏览器是否可以与这些网站建立安全连接。

如果您以前访问过HSTS网站，它将在几毫秒内连接。但是，如果连接需要更长的时间，你可能从未访问过HSTS网站。

 

这种浏览器指纹识别技术是一种简单的方法，可以快速嗅出用户访问过和未访问过哪些安全站点的列表。

朱开发了这个 她称之为概念验证攻击网站嗤之以鼻，以展示她的攻击，并将其源代码发布在GitHub上。你也可以在下面观看她的演示视频。

即使在删除cookie之后，证书固定也会跟踪您

除了追踪浏览器历史，朱还展示了一个网站如何追踪谷歌Chrome用户，即使他们每次访问后都会删除所有cookie。

 

而不是利用HST超级球"技术滥用弱点" HTTP公钥固定（HPKP），也称为证书固定。

 

HPKP是一种安全措施，旨在通过允许网站指定哪些证书颁发机构为其网站颁发了有效证书，而不是接受数百个内置根证书中的任何一个，来保护用户免受证书伪造。

 

嗤之以鼻可以通过固定每个访问者独有的文本，从而在后续访问中读取文本，并使用浏览器cookie跟踪用户的网站习惯，从而滥用标准。

几乎没有限制

但是，与浏览器cookie不同的是，即使删除cookie，证书pin仍将保持不变。

 

例如，研究人员开发的指纹嗅探攻击只记录域和子域，而不是完整的URL。此外，它目前只跟踪对HSTS保护站点的访问。

 

此外，对于使用该方法的人来说，结果并不准确HTTPS无处不在然而，浏览器插件在未来可能会通过修改和完善代码来克服这些缺点。