英国伦敦的一位软件开发者发现了一串代码,可以在浏览器的隐私模式下执行普通会话,这会导致隐私模式失效失败。目前,所有主流浏览器都提供了隐私保护模式。在这种模式下,网站上的cookie无法跟踪用户身份。例如,GoogleChrome提供了一种名为“Incognito”的功能,而Firefox则提供了“PrivateWindow”功能。不过,新发现的漏洞会导致浏览器隐私模式失效。例如,当用户使用常规浏览器在Amazon上购物或浏览Facebook时,用户可能会启动隐私窗口来浏览包含有争议内容的博客。如果博客使用与亚马逊相同的广告网络,或者集成了Facebook的“赞”按钮,广告商和Facebook就可以知道访问过亚马逊和Facebook的用户也访问了这个有争议的博客。对于这个漏洞,用户有一个临时的解决办法,但是比较麻烦:用户可以在开启隐私模式前删除所有Cookies文件,或者使用专用浏览器完全进入隐私模式浏览。具有讽刺意味的是,该错误是由旨在增强隐私保护的功能引起的。如果用户在浏览器地址栏中使用前缀https://来加密与某些网站的通信,某些浏览器会记住这一点。浏览器会保存一个“超级cookie”,确保用户下次连接该网站时,浏览器会自动进入https通道。即使用户激活隐私模式,这种记忆也会持续存在。同时,此类超级cookie还允许第三方网络程序(例如广告和社交媒体按钮)记住用户。发现该漏洞的独立研究员SamGreenhelgh在一篇博文中表示,该功能尚未被任何公司使用。但这种方法公开后,就没有办法阻止企业这样做了。在线隐私软件公司Abine的联合创始人EugeneKuznetsov认为,这种“超级cookie”将成为下一代跟踪工具。该工具脱胎于Cookies,但变得更加复杂。目前,用户在浏览过程中始终拥有唯一的设备识别码和唯一的浏览器指纹,这些痕迹很难抹去。由于“超级cookie”,互联网匿名变得更加困难。库兹涅佐夫说:“我们已经看到了隐私保护方面的军备竞赛。追踪互联网用户的欲望就像寄生虫一样。你浏览器中的一切都在被网站和广告商仔细审查,以实现更多的追踪。”Mozilla已经在最新版本的Firefox中修复了这个问题,而谷歌则更愿意让Chrome保持原样。谷歌早已知道“超级cookies”带来的问题,但选择继续启用Chrome的https记忆功能。在安全和隐私保护之间,谷歌选择了前者。微软的IE浏览器没有这样的问题,因为这个浏览器没有内置https内存功能。Greenhalgh还表示,在iOS设备上,同样存在“超级cookie”导致的问题。
