Evercookie浏览器安全
我刚刚在Github上发现了Evercookie项目。Evercookie浏览器安全
Evercookie是一个JavaScript API,它在浏览器中生成非常持久的cookie。其目标是即使在他们删除了标准Cookie,Flash cookies(本地共享对象或LSO)以及其他人之后也能识别客户端。
这可以通过将cookie数据存储为尽可能多的浏览器存储机制来完成。如果从任何存储机制中删除cookie数据,evercookie会积极地在每个机制中重新创建它,只要其中一个仍然完好无损。
如果LSO机制可用,Evercookie甚至可能在同一客户端机器上的不同浏览器之间传播cookie!
我在线测试它,在this example page。我点击“创建evercookie”按钮,我删除了所有浏览数据,并刷新了页面。通过删除浏览数据删除的cookie在那里再次返回。
这件事情的浏览器安全在哪里?这是安全的吗?
为了创建一个Evercookie,所有你需要的是:
- 运行JavaScript(或其他活动内容,如Flash或许是Java)的能力;和
- 访问存储Cookie数据副本的各种客户端位置的功能。
完全禁用对所有存储机制的访问将导致其中大部分无用;对于他们中的大多数人来说,他们存在的全部理由是以允许脚本使用它们。因此,唯一的远程可行的选择是通过域来限制访问。不过,我不确定哪些浏览器(如果有)允许这种粒度。大多数可以允许或阻止JS作为一个整体从某些域,但至于什么功能给定域的脚本可以使用......?至少,我在Chrome 26或IE 10中看不到这种能力。
那么,它似乎并没有那么好。
- 创造了everCookie
- 关闭窗口
- 空(只是要删除最近的历史ANC检查,除了现场的喜好一切)
- 关闭窗口
- 回来的Firefox缓存中的所有元素到页面
- 最后意识到它没有存储
奇怪的是,我没有明确删除Flash网站存储设置面板中的Flash cookies。也许它已经集成到Firefox中。或者我可能已经禁用了它们。
我认为还有其他几种存储cookie和跟踪你的方法。即使在断开连接时,Facebook已经在网络上跟踪你。 Google也是(你使用Chrome吗?)。而且,对于IPv4地址,我们当然可以找回你(为什么不在你清空缓存后?)。我们还可以在任何网站上登录时找到您,并与您之前的会话建立链接。
我建议:
- 使用Firefox,甚至它比浏览器更慢,它仍然是更尊重隐私
- 拆卸窗口关闭整个互联网缓存(对不起,你就得重新登录您的首选网站)
- 检查第三方cookie的选项
- 使用浏览器插件小心
- 检查FLASH & Silverlight的cookie的选项
- 避免网站信誉检查(前提是你能识别钓鱼企图)
- 使用隐私浏览模式时,你不希望分享您的数字生活
如果您希望禁用基于Flash的饼干,这里使用Adobe的 “全局存储设置” 面板:
http://www.macromedia.com/support/documentation/en/flashplayer/help/settings_manager03.html
执行这些步骤的所有:
- 取消选择“允许第三方Flash内容存储在您的计算机上的数据”
- 检查“不再询问”(非显而易见的,但重要的一步)
- 点击2日至最后一个标签:“网站存储设置”
- 删除所有现有数据
浏览器捆绑在Windows和Mac OS X.自己的Flash插件的设置和磁盘存储是从由Adobe直接包装插件分开的,所以你可能需要执行如果您使用Chrome,请按上述步骤两次。另外,单独的storage location可以防止Flash被用来同步Cookie与Chrome和其他浏览器之间的同步。
我推荐的测试与我的个人网站:
“僵尸曲奇”部分可以准确地告诉你如何饼干被恢复,帮助您确定是否上述步骤(或者你使用任何工具) 在工作中。
请勿使用此软件! Chrome将以名字中的evercookie阻止脚本,这是你的第一个线索,这是个坏消息。如果您对其进行重命名,则Chrome会看到名为evercookie的全局变量,并向Google的服务器发送请求以记录您网站的网址。如果您在生产网站上使用它,我认为您的域名将被标记为不安全。 – Golphy 2016-08-29 21:21:16