未分類
20 2 月 2021

抵制跨站点隐私追踪库 supercookie

抵制跨站点隐私追踪库 supercookie

資深大佬 : lasm 7

最近 GitHub 出现了一个新的项目,https://github.com/jonasstrehle/supercookie 。
根据作者的介绍,Supercookie 使用了 favicon 的一个 bug,可以生成一个对于浏览器的唯一 ID 。它不会根据你的网络环境而改变。甚至你开启了隐私模式,刷新缓存,重启操作系统也是无效的。
原理: https://supercookie.me/workwise#content-threat-model
当你的浏览器请求 favicon (即网站小图标)的时候,会尝试从本地的 F-Cache 读取,若本地没有存储则会向服务器请求。在对网站的多次访问中通过对 favicon 请求的解析就可以构建一个唯一的 ID 。因为 F-Cache 中包含了足以实现唯一性的信息。

你可以在 https://demo.supercookie.me 尝试 demo,若你的浏览器几次生成的 ID 一致,则你的浏览器中招了。

影响:这个方法大大威胁了我们的隐私安全,普通用户根本不知道 F-Cache 的管理,一般的缓存清理方法也没有效果。这可能导致互联网对你用户信息的全方位统计和挂钩,任何一个小网站都可以通过这种方式来定位某一个人在该网站或者跨网站的任何资料。这对于公民隐私权是一个极大的威胁。也就是说,我们直接暴露于了老大哥。
然而作者和某些使用者毫无惭愧之意,叫嚣着“SPREAD TO WORLD”和技术无罪论。我在 issue 上面对他们进行了批评,然而却被倒打一耙挂了起来。参见
https://github.com/jonasstrehle/supercookie/issues/10

我认为,这属于妥妥的技术作恶,虽然我们知道大型互联网公司有多种手段通过账号信息大数据分析我们的隐私,但大型互联网公司有政府机构监管,而这种恶意 bug 的滥用将会使我们的隐私权受到极大的侵犯,无论在哪个法制健全的国家这都是不能容忍的。

你们对这种技术作恶的 repo 有什么看法?如何看待这种 repo ?下一步应该怎么处理?

知乎讨论同步: http://www.zhihu.com/question/447111920?utm_source=qq&utm_medium=social

大佬有話說 (68)

  • 資深大佬 : ericls

    浏览器厂商封了就是

  • 資深大佬 : codehz

    技术不发出来人家就用不了了吗?
    让浏览器厂商应对才是正确的解决方法

  • 資深大佬 : Al0rid4l

    虽然我不喜欢, 但是对于抵制这件事也持保留态度, 因为根本问题并不会因为抵制而消失, 抵制也只是解决提出问题的人罢了, 问题最终需要浏览器厂商去解决
    本质上这和其他安全漏洞一样, 不妥之处或许是作者没有直接将其作为漏洞报给厂商而是选择了公开 POC, 当然也不知道作者之前是否有提交过被无视就是了

  • 資深大佬 : Zzzzzzzzzzz

    解决问题 ❎
    解决提出问题的人 ✅

  • 資深大佬 : lp10

    好像找个往 canvas 里面加噪音的插件就可以了

  • 資深大佬 : ak47iej

    现在公开出来才能逼迫浏览器厂商出来封堵啊..不然下架了你以为那些公司不会用?

  • 資深大佬 : jinliming2

    已经被浏览器封了吗? Chrome Canary 90.0.4430.8,亲测隐私模式两次 ID 不一样、访客模式两次 ID 也不一样。
    网页未在正常模式中打开过,直接右键隐身模式打开,测试完第一次 ID 72 43 0C 25 AE 90,关掉窗口后(但没有退出浏览器),再次重新在隐身模式打开,测试第二次 ID 28 8E 96 EE BB 6D 。
    然后开启 Chrome 右上角头像里的访客模式,测试第三次 ID ED 07 C8 AD BF A5 。关掉访客窗口后再次重新打开访客窗口,测试第四次 ID 2B E9 51 B5 87 43 。

    Firefox Nightly 88.0a1 ,开启了 Never remember history (火狐我主要做测试用,所以日常开着这个,干净)。未进入隐私模式,在正常模式下第一次测试 ID EC 1B 88 42 18 B1,关闭浏览器重新打开,第二次测试 ID D1 9A EB 51 D0 0C 。

  • 資深大佬 : 7gugu

    据我所知,火狐在上个版本就把 super cookie 给屏蔽了

  • 資深大佬 : ttyhtg

    经测试,我的 id 不一样:
    9D 5B AD E9 7B AF
    7B E6 10 6A 3B 84
    B5 3E 1E 1B 18 B6

  • 資深大佬 : ttyhtg

    @7gugu 哦,忘了说,我就是用火狐测的

  • 資深大佬 : 7gugu

    @ttyhtg

  • 資深大佬 : Greatshu

    支持,这个 repo 影响力越大,这个 bug 解决得越快
    chrome 88.0.4324.190 实测隐身窗口可以追踪

  • 資深大佬 : emeab

    提出问题很正常啊 没人提出问题才不正常

  • 資深大佬 : ysc3839

    @Greatshu 我这里 Chrome 88.0.4324.190 和 Edge 88.0.705.81 的隐身模式,分别访问两次的 ID 都不一样。

  • 資深大佬 : Greatshu

    @ysc3839 #14 EDGE 开严格隐私可以刷出不同 ID,chrome 怎么设置都不行

  • 資深大佬 : Jirajine

    他这个库的目的就是为了促进修复这个 bug 啊,要抵制也是抵制 fingerprintjs.com 这种。

  • 資深大佬 : datou

    windows 版 Chrome 88.0.4324.190 中招….

  • 資深大佬 : ysc3839

    @Greatshu 我还怀疑是什么扩展起的作用,用访客模式也是不同的 ID……

  • 資深大佬 : autoxbc

    感觉只是使隐私模式失效,并没有使常规模式泄露更多信息

  • 資深大佬 : fengchang

    你的脑回路很奇怪,没了这个库难道广告联盟不会自己写吗?

  • 資深大佬 : fengchang

    我看了一下你的 github issue,对方不是说的很明白了

    Demonstration purposes to force the major browser vendors to take action against this vulnerability. Very far from collaborating with the dark side!

    你还有啥不懂的?

  • 資深大佬 : dingwen07

    Android Chrome 中招

  • 資深大佬 : muzuiget

    就一个技术验证,有什么好抵制,等浏览器想对策就是了。

  • 資深大佬 : elfive

    开源的安全,才能有机会保证相对的安全。
    闭源的安全,肯定不能保证绝对的安全。

  • 資深大佬 : cslive

    chrome 隐私模式无用,chrome 版本 88.0.4324.190 (正式版本) ( 64 位)

  • 資深大佬 : dLvsYgJ8fiP8TGYU

    iOS Safari / Firefox Windows / Firefox Mac 均中招

  • 資深大佬 : belin520

    这不就是反馈一个 bug 吗?浏览器跟进修复就好了

    好事啊

  • 資深大佬 : Lemeng

    这种问题,说大不大说小不小,出现问题,浏览器厂商应该跟进

  • 資深大佬 : whileFalse

    我想起来有个 Repo 公布了人们常用的 N 个密码,提醒大家不要用这些密码。
    然后有人发了个 issue:“我的密码是 xxxx,你现在把它公布出来对我的账户安全造成了威胁,请求从列表中删除”

  • 資深大佬 : cominghome

    翻了翻你提的那个 issue,其实大家说得都有道理,但个人觉得 po 主片面了。
    不要先入为主地看待问题,要中立,如果因为这个项目漏洞被封了,你觉得是好还是坏呢?(没准现在已经有公司偷偷摸摸用了好久了…)

  • 資深大佬 : krixaar

    这个抵制我没看明白,人家详解原理做了个 POC 然后引发关注度等主流浏览器厂商修复,说白了就是“吹哨人”,你发个 Issue 批评人家干什么?

  • 資深大佬 : treblex

    ![]( https://tva1.sinaimg.cn/large/e6c9d24egy1go5aiuwq7yj21d40bwgm2.jpg)

  • 資深大佬 : FS1P7dJz

    公开才会引起重视
    不然别说一般用户,就算是程序员也很难想到小小的 favico 可以泄露隐私

  • 資深大佬 : learningman

    你被挂起来挺合理的
    典型掩耳盗铃

  • 資深大佬 : no1xsyzy

    第一,LZSB
    第二,这个 repo 的发布方式可能不符合 security 的惯例。惯例上说,问题不应直接公开,而应先提交给厂商,在规定期限后公开,Project Zero 设定的是 90 天。repo 内未见提交过厂商的声明。
    第三,第二并不妨碍 LZSB

  • 資深大佬 : abersheeran

    “我发现了一个漏洞可以持续的追踪用户足迹,它……”
    “你是谁?你发这些是受谁指使的?你知道不知道发出来有多少人的隐私安全会受到威胁?”

    v2ex 上天天有人骂某些机构尸位素餐,怎么,换到自己身上也这个腔调了?互联网基础设施上不知道有多少地方有漏洞,互联网头部公司、美国国家安全局用自己发现的漏洞干事不知道多少年了。现在有一个人公开了一个小东西,你在这抵制?抵制个鬼啊,不如多发几封邮件让苹果、微软、谷歌的人去完善浏览器。

  • 資深大佬 : janxin

    看了一下,Firefox 86.0 应该已经修正了这个问题了。

    这个直接披露 POC 是确实不是很恰当。当然,如果在之前反馈给 Chrome 和 Firefox 等浏览器厂商人家不修,那就是厂商傻逼。

  • 資深大佬 : shintendo

    抵制跨站点隐私追踪库 supercookie

    Firefox Yes

  • 資深大佬 : phpc

    Windows firefox 78.7.0esr (64 位) 两次生成的 ID 不一样

  • 資深大佬 : DOLLOR

    Opera74 两次隐私模式下不一样

  • 資深大佬 : fucUup

    chromium 的同事说这个问题是 P2, 应该会做

  • 資深大佬 : S4m

    开源的情况下,厂商至少能想办法抵制这类追踪方法。
    有这个时间不如去抵制国内那些客户端追踪 SDK 。

  • 資深大佬 : Rhilip

    emm,你抵制有啥用,掩耳盗铃吗?

  • 資深大佬 : xianxiaobo

    活该被挂

  • 資深大佬 : GreenDam

    《情商》

  • 資深大佬 : yolee599

    Firefox 86.0 好像已经这个问题做了修复。

    https://blog.mozilla.org/security/2021/02/23/total-cookie-protection/

  • 資深大佬 : imn1

    纯粹就是个立场问题,抵制 or 不抵制的表态都不能说错

    即使浏览器禁了,还有 APP 可以用上,除非商店有针对地下架相关应用
    简单说,站在其中一方立场,期望全行业封杀,防止未有规范时被滥用,这个主张可以有,但很难做到

    换个立场,网站追踪用户信息,是否作恶,并不能有罪推定
    如果这个技术可以实现免登录保持“唯一”,还是有一定用途的,方便对同一设备的权限管理
    例如 GDPR 并不禁止收集,只限定收集的事项遵守“最初之约定”

    砒霜也能药用,要规管只能立法

  • 資深大佬 : chinvo

    Remove my password from lists so hackers won’t be able to hack me?

  • 資深大佬 : ayase252

  • 資深大佬 : dqzcwxb

    与其听信谣言,不如相信**

  • 資深大佬 : momocraft

    你要是知道有人用 POC 交流安全研究 岂不是要气到爆炸

  • 資深大佬 : Zikinn

    Chrome Windows 88.0.4324.190
    实测隐私模式可以追踪

  • 資深大佬 : TomatoYuyuko

    类似的技术之前就有吧,比如数字指纹,不过那个碰撞几率比较高

  • 資深大佬 : dsg001

    ff68,开小号模式、隐私模式获取的 id 都不一样

  • 資深大佬 : jim9606

    Edge88.0.705.81 没有复现。

    我目前见过比较牛的是 fingerprintjs,基于 EFF 的一项研究做的,利用浏览器特性生成的 ID,例如分辨率、插件列表、字体列表等,隐私模式也会中招。不过不清楚这个方案的 ID 唯一性做得怎样,猜测不怎么好。
    https://fingerprintjs.github.io/fingerprintjs/

    不过也没必要太在乎这个了,哪个大众化的网站不是一打开就要你登录账户才能用?灰产用这个感觉收益不怎么行。

  • 資深大佬 : codehz

    @no1xsyzy 之前的论文已经通知浏览器厂商修了
    不过这里有一件趣事,论文作者故意没通知 Mozilla,因为他们不是有 bug 导致 favicon 没缓存吗,然后作者反过来提一个 bug 报告要求 firefox 修 https://bugzilla.mozilla.org/show_bug.cgi?id=1618257 就为了让论文里可以写在所有浏览器上都能用,被 Mozilla 发现以后一顿批判
    这里有几十天前 hn 关于此事的讨论 https://news.ycombinator.com/item?id=26051370

  • 資深大佬 : no1xsyzy

    @imn1 App 的 F-Cache 是系统层面的吗?

  • 資深大佬 : no1xsyzy

    发出去了…… 浪费铜币
    ——
    @codehz ……
    我劝!论文作者:钓鱼业障重。(

  • 資深大佬 : imn1

    @no1xsyzy #57
    我不懂 APP 开发,但我觉得有技术能达到目的,自然能想到办法用上,除非这个技术实现成本比较高

  • 資深大佬 : parametrix

    Firefox yes. (特别是发现 Firefox 在 Big Sur 上硬件加速播放 vp9 以后 🙂

  • 資深大佬 : iConnect

    @Jirajine 这种屏幕指纹做的是多维精确度,没法完全解决的。

  • 資深大佬 : paradoxs

    其实你们不用担心 chromium 会处理不了这种东西, 其实 chromium 会处理的东西挺多的。
    很多色站都被处理过(不管是技术上的还是另外一种层面的),特别是某个 A 开头的色站。(不方便开展)

  • 資深大佬 : niceworld

    edge 88.0.705.81
    有的,开和不开隐私模式出来 id 的一样 🙁
    不过我看#55 没用复现,就感觉很玄学

  • 資深大佬 : nikan999

    The demo of “supercookie” as well as the publication of the source code of this repository is intended to draw attention to the problem of tracking possibilities using favicons.
    作者的 readme 在你发这个 issue 之前就有说过是为了别人关注这个漏洞啊,通过一定的影响力。

  • 資深大佬 : no1xsyzy

    @imn1 这一漏洞是运用了 F-Cache ( Favicon Cache )来下探针,一个 App 已经能存储数据,再用 F-Cache 绕远路了呀。
    少数泄漏点是系统 WebView,实际上也是浏览器。

    更 Meta 地看,这一漏洞的核心在于外部缓存的存在,通过嗅探外部缓存命中情况来检测用户。那样的话,这一问题甚至不是新鲜事儿,似乎从幽灵开始,或者更早,大家就开始针对缓存进行检查。之前在哪看到说利用了 Favicon Cache 的时候我就根本没继续看下去,因为知道是 Favicon 之后其他都是细枝末节。

  • 資深大佬 : iseki

    这个库相当于 PoC,不去解决漏洞反而去抵制 PoC ?解决提出问题的人???

  • 資深大佬 : dfkjgklfdjg

    提出问题才能解决问题,不是不让别人提出问题,掩耳盗铃。就像为什么现在维权都要媒体曝光,就是要引起关注

  • 資深大佬 : ttgo

    关了 tab 再开 都没退浏览器 返回值都不一样了 没问题啊??