网站头像(Favicons)基本上是每个网站都会使用到的东西,但很多时候会被我们忽略。当你打开 100 甚至更多标签的时候,浏览器标签页开头的小图标能够让你知道打开的是什么网站。例如 Twitter 使用的是蓝色的小鸟,Gmail 是红色的邮件图标,维基百科是粗体的 W。
不过一位研究专家表示,这些网站头像也可能会成为一个安全漏洞,可以让网站绕过VPN、隐身浏览状态以及其他传统的隐匿你在线行动的方法来追踪你的网络行为。这种追踪方法叫做“Supercookie”,是由德国软件设计师 Jonas Strehle 发现的。
Supercookie 使用网站头像为网站访问者分配一个唯一的标识符。与传统的跟踪方法不同,这个ID几乎可以持久地存储,而且不能轻易被用户清除。Strehle 在他的 Github 上说:“这种跟踪方法即使在浏览器的隐身模式下也能工作,而且无法通过刷新缓存、关闭浏览器或重启系统、使用 VPN 或安装 AdBlockers 来清除”。
Strehle 在他的 Github 解释说,他在阅读了伊利诺伊大学芝加哥分校关于该主题的研究论文后,对使用网站头像跟踪用户的想法产生了兴趣。
在论文中写道:“现代浏览器的复杂性和功能丰富的性质经常导致部署看似无害的功能,很容易被对手滥用,在本文中,我们引入了一种新型的跟踪机制,滥用了一个简单而又无处不在的浏览器功能:网站头像”。
要说明的是,这是一个概念验证,而不是已经有黑客将其用于网络追踪。Strehle 的 Supercookie 程序(它使用的是 Cookie Monster 网站头像)是大学研究人员描述的概念证明。
他表示:“网站头像必须让浏览器非常容易访问。因此,它们被缓存在系统上一个单独的本地数据库中,称为favicon缓存(F-Cache)”。F-Cache 条目包括了大量关于用户曾经去过的地方的数据,所有这些数据都是为了向你的浏览窗口提供一个快速的小图标而服务的。
Strehle 说:“当用户访问一个网站时,浏览器会通过查找请求网页的快捷图标链接参考源来检查是否需要网站头像。浏览器最初会检查本地F缓存中是否有包含活动网站URL的条目。如果存在一个favicon条目,图标将从缓存中加载,然后显示。但是,如果没有条目,例如因为在这个特定的域名下从未加载过favicon,或者缓存中的数据已经过时,浏览器就会向服务器发出GET请求,以加载该网站的favicon。”
更多细节访问:https://supercookie.me/workwise