網站頭像也可用於追踪你的上網活動
網站頭像(Favicons)基本上是每個網站都會使用到的東西,但很多時候會被我們忽略。當你打開100 甚至更多標籤的時候,瀏覽器標籤頁開頭的小圖標能夠讓你知道打開的是什麼網站。例如Twitter 使用的是藍色的小鳥,Gmail 是紅色的郵件圖標,維基百科是粗體的W。
不過一位研究專家表示,這些網站頭像也可能會成為一個安全漏洞,可以讓網站繞過VPN、隱身瀏覽狀態以及其他傳統的隱匿你在線行動的方法來追踪你的網絡行為。這種追踪方法叫做“Supercookie”,是由德國軟件設計師Jonas Strehle 發現的。
Supercookie 使用網站頭像為網站訪問者分配一個唯一的標識符。與傳統的跟踪方法不同,這個ID幾乎可以持久地存儲,而且不能輕易被用戶清除。Strehle 在他的Github 上說:“這種跟踪方法即使在瀏覽器的隱身模式下也能工作,而且無法通過刷新緩存、關閉瀏覽器或重啟系統、使用VPN 或安裝AdBlockers 來清除”。
Strehle 在他的Github 解釋說,他在閱讀了伊利諾伊大學芝加哥分校關於該主題的研究論文後,對使用網站頭像跟踪用戶的想法產生了興趣。
在論文中寫道:“現代瀏覽器的複雜性和功能豐富的性質經常導致部署看似無害的功能,很容易被對手濫用,在本文中,我們引入了一種新型的跟踪機制,濫用了一個簡單而又無處不在的瀏覽器功能:網站頭像”。
要說明的是,這是一個概念驗證,而不是已經有黑客將其用於網絡追踪。Strehle 的Supercookie 程序(它使用的是Cookie Monster 網站頭像)是大學研究人員描述的概念證明。
他表示:“網站頭像必須讓瀏覽器非常容易訪問。因此,它們被緩存在系統上一個單獨的本地數據庫中,稱為favicon緩存(F-Cache)”。F-Cache 條目包括了大量關於用戶曾經去過的地方的數據,所有這些數據都是為了向你的瀏覽窗口提供一個快速的小圖標而服務的。
Strehle 說:“當用戶訪問一個網站時,瀏覽器會通過查找請求網頁的快捷圖標鏈接參考源來檢查是否需要網站頭像。瀏覽器最初會檢查本地F緩存中是否有包含活動網站URL的條目。如果存在一個favicon條目,圖標將從緩存中加載,然後顯示。但是,如果沒有條目,例如因為在這個特定的域名下從未加載過favicon,或者緩存中的數據已經過時,瀏覽器就會向服務器發出GET請求,以加載該網站的favicon。”