超级Cookies来了！开启隐私模式，也能获取浏览历史

多年来，Chrome、Firefox以及其他几乎所有浏览器都提供不保存或不能查询网站cookies、浏览历史和临时文件的隐私模式，注重隐私的人以此掩盖身份，避免网站追踪以前的操作。现在有一个软件顾问发现了一个简单的方法，如果用户不太小心，网站就可以绕过这些保护隐私的措施。

讽刺的是，这个能让网站追踪用户的匿名浏览记录的空子实际上是一种重要的新安全机制，被称为HTTP Strict Transport Security（HSTS），网站用它来确保终端用户只有在使用安全的HTTPS连接时才能与服务器连接。在浏览器向服务器发送请求时，每接收一个标题就添加一个标志，这样HSTS就能确保接下来与网站的连接都经过一种广泛使用的HTTPS协议的加密。由于之后的所有连接都要被加密，HSTS能保护用户不受降级攻击，也就是黑客将已加密的连接再转换回纯文本HTTP。

Sam Greenhalgh是RadicalResearch的技术与软件顾问，他找出了一种方法能把这种安全机制变成潜在的隐私漏洞。这个观点的证据就是HSTS Super Cookies。它们和其他的cookies一样如果用户正常模式下浏览了他的网站，之后这些用户再以隐私模式浏览这个网站他也能知道他们在干什么，而让它们变得神通广大的原因有两个。第一点是一旦被设定好在特定的浏览器或平台上运行，即使用户设置了匿名浏览，它们也是可见的。第二点是网站可以以不同的域名读取这些cookies，不仅仅是一开始设定标识符的那个。结果就是：除非用户提前采取预防措施，否则就算打开了隐私模式，这些超级cookies也会残留在浏览器里，网站就能追踪用户的活动。

为避免cookies残留，Firefox最新的34.0.5版本已经不允许HSTS Super Cookies在常规模式下运行了。Greenhalgh说这个修补是暂时的，并提供了他在Windows中Firefox 33版本上的概念证明的截图。在Windows中的Chrome和Firefox 34.0.5以及iPad上的Chrome和Safari都还运行浏览器获取cookies，但IE不会，因为IE现在的版本不支持HSTS。

对任何一个网址来说，HSTS只能从“开”和“关”中二者选其一。为了绕过这个限制，Greenhalgh将32个网址串在一起，将每个网站的“开”和“关”以二进制表示，结果能标识超过20亿个浏览器。为了让网站使用起来更容易，他把十进制改为了36进制，169ze7表示71009647，Im8nsf表示1307145327。当然，不那么谨慎的网站用不那么明显的方法同样可以追踪到用户。