苹果阻止网站滥用HSTS安全标准来追踪用户

在发现2015年证明的理论攻击最近在野外针对Safari用户部署后，苹果现在已经在其开源浏览器基础设施WebKit中添加了缓解措施，该WebKit是其Safari web浏览器的基础，以防止HST被滥用。

HSTS，HTTP严格的传输安全，是一个很好的功能，如果用户意外打开不安全的URL，然后总是记得将用户路由到安全连接，网站可以自动重定向用户的web流量，以通过HTTPS保护页面连接。
由于HSTS不允许网站在用户的web浏览器上存储任何信息/值，除非记住有关打开/关闭以供将来使用的重定向信息，使用这些信息，对跟踪网络用户感兴趣的人可以创建一个所谓的supercookie，然后跨站点跟踪服务器可以读取该文件，以标记网站上的用户。

以下是基于HSTS的跟踪工作原理：

为了了解HSTS supercookie跟踪的工作原理，这里有一个简单的例子：

• 为了跟踪每个用户，网站为每个访问者分配一个唯一的随机数，例如909090，其中909090的32个字符的二进制转换为000000000000110111111100100010。
• 要为特定用户设置此二进制数，站点会相应地为其32个子域（tr01.example.com、tr02.example.com和tr32.example.com）设置HSTS策略，如果启用了某个子域的HSTS，则该值为1，如果未启用，则该值为0。
• 现在，每次用户访问同一个网站时，它都会在后台悄悄打开32个子域中不可见的像素，这些像素代表二进制数中的位，并向服务器发送信号，告知哪些子域是通过HTTPS（1）打开的，哪些子域是通过HTTP（0）打开的。
• 瞧！将上述值结合起来，可以向服务器显示用户的唯一二进制值，帮助网站/广告商在不同的网站上标记用户。

缓解一号解决了超级cookie设置问题，即攻击者使用长URL对主域名的子域中的数字进行编码，并同时在广泛的子域中设置HST。

Safari现在将HSTS状态限制为加载的主机名，或顶级域加一（TLD+1），并且“WebKit还限制可以链接在一起的重定向数量，这将对可以设置的位数设置上限，即使延迟被判断为可接受”。

Safari WebKit engine的开发人员布伦特·富勒姆（Brent Fulgham）说：“这会阻止跟踪器在大量不同的位上有效地设置HST，相反，他们必须单独访问代表跟踪标识符中活动位的每个域”。

“虽然内容提供商和广告商可能会判断，用户无法察觉通过一个来源进行单一重定向以设置多个位所带来的延迟，但要求重定向到32个或更多域以设置标识符的位，用户可能会察觉到，因此用户和内容提供商无法接受”。

在里面缓解措施二，Safari会忽略对被阻止域的子资源请求的HSTS状态，WebKit会阻止不可见的跟踪像素之类的事情强制HSTS重定向，导致HSTS超级脚本变成一个只有零的位字符串。

然而，苹果没有提到任何个人、组织或任何广告公司使用HSTS Supercokie跟踪来瞄准Safari用户。