隐患!黑客可以绕过cookies跟踪用户

如果你非常感兴趣与在网上保护你的隐私,那么,你可能采用了一些步骤,例如删除浏览器的cookies或者使用有隐私浏览模式的浏览器,类似Safari或者Google Chrome。

理论上,这可以避免可以跟踪你的网络浏览历史记录。但是,前沿电子基金会技术专家撰文表示,这个不是真实有效的。

原因很简单,但是有可能不符合我们的直觉:现在的浏览器都是在其访问目标网站的时候向网站发送一个信息,内容包括版本号细节、操作系统信息、屏幕尺寸、安装的字体,有时甚至包括系统中曾经安装过的字体。例如,向网站发送一个版本号,类似“Intel Mac OS X 10/Gecko/20100315 Firefox/3.5.9”。

一旦将这些匿名用户数据信息集合在一起,同时对比其他的用户浏览器和数据,这将变为一个可以识别的身份信息。(就像如果你要知道一个人的名字,你手头已经有了他的出生日期、邮编、性别等,这就不是很困难的事情了)

在EFF的澳洲电脑技术研究所的Peter Eckersley发表了一份报告,关于“浏览器的指纹”,Eckersley的报告将在7月份在柏林举行的隐私研讨会上讨论。

Eckersley表示说,“影响来自隐私政策与技术设计。”他认为,网站识别浏览器指纹信息应该受到更多的法律上的限制,同时,他还建立浏览器厂商更改他们的做法,减少向网站发送的配置信息。

Eckersley表示,如果浏览器有Flash和Java插件,那么,它的指纹是独一无二的概率为450000分之一。这个结论是基于他收集了成千上万个访问EFF Panopticlick站点的用户数据之后得出的。

通常,网站业务的进行在隐私保护上都会有一点小问题。商人们将这个称为“未认证设备识别”或者CDI,银行、信用卡公司需要通过这样的手段来确认访问该网站的用户是否是合法用户。

2010年2月份,Gartner的报告指出,“CDI是一个很有用的工具,在欺诈检测方面有着重要的作用,企业使用这项技术将会让他们的服务器欺诈检测率提升15到25个百分点。”

在过去几年中,电子商务发生了许多变化,比如Flash上cookies的使用,这个cookies是不可见的,同时在用户清除cookies之后仍然可被追踪。Windows 7中有了很多关于Flash cookies的警告,这是这个cookies吸引了很多黑客的眼光。

Gartner的报告指出,“网站利用在用户本地保存的Flash来保存cookies的时代将要结束了,现在很多人利用技术来对客户进行追踪,但到2012年前,将会有相关法律法规制止这种行为。”