更多事情在夜晚發生：HTTP ETag，Web存儲和“歷史竊取”

在我們關於Flash Cookie和瀏覽器指紋識別的文章中，我們研究了商業互聯網公司，特別是第三方分析和廣告領域如何使用越來越狡猾和復雜的方法來躲避公眾對HTTP cookie危險的認識，以便他們能夠繼續唯一地識別並跟踪我們在網絡上的動作。

雖然Flash cookie（包括所謂的殭屍cookie）以及越來越多的瀏覽器指紋識別是最常用的方法，但還有其他方法。在本文中，我們將介紹其中的一些內容，並討論它們如何被挫敗。

HTML5網絡存儲

HTML5的一個特性（對Flash的大肆宣傳）是Web存儲（也稱為DOM（文檔對像模型）存儲）。網絡存儲甚至比網頁存儲更加強大和強大，它類似於在網絡瀏覽器中存儲數據的cookie，但更持久，具有更大的存儲容量，通常無法監控，讀取或選擇性從您的網絡瀏覽器中刪除。

與包含4 kB數據的常規HTTP cookie不同，Web存儲允許Chrome，Firefox和Opera中每個源5MB，Internet Explorer中10 MB。網站對網絡存儲具有更高級別的控制，與網卡不同，網絡存儲在一段時間後不會自動過期（即默認情況下是永久性的）。

當Ashkan Soltani和加州大學伯克利分校的一組研究人員在2011年進行網絡跟踪研究時，他們發現在調查的前100個網站中，有17個使用了網絡存儲，包括twitter.com，tmz.com，squidoo.com，nytimes .com，hulu.com，foxnews.com和cnn.com。其中大多數都連接到第三方分析服務，如Meebo，KISSanalytics或Pollydaddy。

我怎麼阻止它？

網絡存儲很容易關閉，但是如果你這樣做，許多網站（例如CNN）將無法正常工作。

在Firefox中：

• 啟動Firefox並在地址欄中輸入about：config
• 點擊'我會小心的，我保證！'
• 向下滾動，直至到達dom.storage.enabled或將“dom.storage.enabled”複製/粘貼到搜索欄中
• 雙擊“dom.storage.enabled”，它將從默認值“true”更改為“false”

Firefox用戶還可以配置BetterPrivacy插件以定期自動刪除Web存儲，或使用Click＆Clean插件。

在Internet Explorer中：

• 啟動Internet Explorer並打開“工具”菜單
• 選擇“互聯網選項”
• 點擊“高級”標籤
• 向下滾動，直到達到“安全”
• 取消選中“啟用DOM存儲”複選框
• 點擊“確定”

在Chrome中：

Chrome用戶可以使用Click＆Clean擴展程序，也可以使用多功能的Google NotScripts擴展程序，但這需要高度配置。

在Safari和Opera中：

這些瀏覽器確實使用網絡存儲，但據我們所知，沒有辦法將其關閉。

請注意，使用任何瀏覽器擴展都會增加使瀏覽器指紋唯一的機會。

HTTP ETag

ETag（或實體標籤，有時稱為“無cookie的cookie”）是“萬維網協議”的一部分，其目的是識別URL上的特定資源，並跟踪對其所做的任何更改。

比較這些資源的方法允許它們用作指紋，因為服務器只是為每個瀏覽器提供一個唯一的ETag，當它再次連接時，它可以在其數據庫中查找ETag。

Ashkan Soltani及其團隊首次發現使用ETags'野外'作為跟踪機制，他發現媒體流媒體網站Hulu正在使用由網絡分析公司KISSmetrics託管的服務來重新生成（Zombie風格）HTTP和HTML5 cookie使用'緩存鏡像值，特別是ETag。'

該報告指出，'ETag跟踪和重新生成特別成問題，因為即使在消費者阻止HTTP，Flash和HTML5 cookie的情況下，該技術也會產生獨特的跟踪值，即使在私密瀏覽模式下，ETag也可以在瀏覽器會話期間跟踪用戶“。

或許更糟糕的是，'我們觀察到的ETag重生在hulu.com上設置了第一方cookie。這意味著訂閱kissmetrics.com服務的其他網站可以在他們的域中同步這些標識符。

我怎麼能阻止他們？

不幸的是，這種緩存跟踪實際上是不可檢測的，因此可靠的預防非常困難。清除您訪問的每個網站之間的緩存應該有效，就像完全關閉緩存一樣。不幸的是，這些方法很艱鉅，會對您的瀏覽體驗產生負面影響。

Firefox附加組件Secret Agent可以防止ETag跟踪，但可能會增加您的瀏覽器指紋（或者因為它的工作方式，可能不會）。

歷史偷竊

現在我們開始變得非常可怕。歷史竊取（也稱為歷史窺探）利用了Web的設計方式，允許您訪問的網站發現您過去的瀏覽歷史記錄。

最簡單的方法，已經知道了十年，它依賴於這樣一個事實：當你點擊它們時（傳統上從藍色到紫色），網絡鏈接會改變顏色。當您連接到網站時，它可以通過一系列是/否問題查詢您的瀏覽器，您的瀏覽器會忠實地回复這些問題，允許攻擊者發現哪些鏈接已經改變顏色，從而跟踪您的瀏覽歷史記錄。

儘管不願意解決這個安全漏洞，因為它影響了World Wide工作的方式，但現在大多數現代瀏覽器都提供了防止這種基本歷史竊取攻擊的保護，但依賴CSS頁面佈局和圖像屬性的其他更複雜的攻擊仍在使用中。

使用歷史記錄竊取來唯一識別您

好的，所以網站可以使用歷史記錄竊取來跟踪您的瀏覽歷史記錄，但它無法識別您的身份，對吧？錯誤。使用身份指紋識別流程，網站將您訪問過的網頁與社交網絡群組相匹配，很有可能將您識別為獨特的個人。

考慮一下：幾乎所有社交網絡（例如Facebook）都允許您加入興趣小組，而我們大多數人都加入了數十個這樣的小組，其中很多可能是公開的。您加入的公共群組列表通常足以為您提供單獨的指紋，可以與您的社交網絡個人資料相匹配。如果您經常訪問與您的社交網絡群體興趣相關的網站，那麼將您的被盜網絡歷史記錄與您的社交網絡個人資料相匹配是相當容易的。

就像我們說的那樣，嚇人！此外，不幸的是，你沒有太多可以做的事情。*甚至超過“常規”的超級英雄，網絡行業認為歷史偷竊是不道德的，但到目前為止，企圖建立自願實施的行業指導方針已經一事無成。

*注意：正如讀者Annie所觀察到的，刪除您的瀏覽歷史記錄和Cookie也應重置鏈接顏色。這將防止歷史偷竊。當然，除非您在訪問的每一頁之後刪除瀏覽歷史記錄等，否則此技術仍可能能夠確定您的瀏覽歷史記錄。

結論

商業互聯網廣告利益與使用公眾的普通互聯網之間實際上存在持久的軍備戰爭，並且必須說商業利益正在贏得。許多攻擊現在如此復雜和微妙（最值得注意的瀏覽器指紋和歷史竊取），可靠的預防幾乎是不可能的，當然需要一定程度的努力，不便和技術知識，以使即使是最關心我們的人聳聳肩，給予起來。我們不願意這樣說，但也許唯一的答案就在於立法，或者至少是一個強有力的行業認可的自願行為準則，它會阻止更多受尊重的網站沉迷於這種行為。

關於這種情況的一個好處是，雖然他們跟踪你，但大多數方法都沒有單獨識別你（甚至社交網絡指紋識別，雖然有效，但不可靠），如果你用VPN（或Tor）屏蔽你的IP地址那麼你將在很長一段時間內將你的真實身份與被跟踪的網絡行為分開。