网络管理员可以捕捉到你在网上的所有活动,即使你已经清除了所有的网页浏览记录,删除了所有资料。

一个研究者发现,利用两个有漏洞的应用补丁可以跟踪数以万计的互联网用户,并且恶意网站的开发者可以做到:

1、列出名单:得到所有访问域的用户列表,即使他们已经清除了浏览历史也无济于事。

2、跟踪文件:持续跟踪被标记的用户。

火狐和谷歌这两个浏览器的指纹技术滥用HTTP严格安全传输协议(HSTS)和内容安全条例,新的安全准则已经在火狐和谷歌建立,并且有望在不就得将来应用到更多主流网站。

那么,网络开发者将这些性能应用在你们身上会怎么样呢?

一名安全研究人员在上周的圣地亚哥Toorcon安全会议上已经证明了这些。

朱燕,一位自主安全研究员,提出网站滥用HSTS保护协议和内容安全条款来跟踪用户,允许网站记录用户访问过的域。

他同时提出,HTML5画布指纹技术将不可阻挡的成为广泛应用的网络跟踪技术。

HTTP严格的传输安全性仍然可以被滥用来在你访问网站的时候跟踪你,尽管它声称与网站实时联系,更加安全。

如果你认为这些都很难以置信。

你可以尝试着在Chrome,Firefox或者是Opera上登陆http://zyan.scripts.mit.edu/sniffly/这个网页,你可以得到一个你已经访问过和没有访问过的网页列表。

那么跟踪是如何做到的呢?

这个应用试图通过HTTP将不存在的影像插入到HSTS保护的域名中。

然后,Sniffly将会使用Javascript web浏览器检测你浏览的网页是否能与这些网址建立一个安全连接。

如果你之前浏览过HSTS网站,它将会在几毫秒之内建立连接。但是,如果长时间未连接,那么你可能从未浏览过这些HSTS网址。

这个网页识别技术是一种快速识别一个用户是否浏览安全网址的办法。

视频演示

朱已经证明了网站的攻击行为,他称之为Sniffly,他展示了攻击过程,还公布了其在GITHUB上的源代码,你可以观看下面的视频详细了解。

你仍然会被跟踪即使删除了所有记录

除了跟踪浏览器访问历史,朱还演示了一个网站如何跟踪谷歌浏览器的用户,即使他们在访问过后每次都清除记录。

除了HSTS,Supercookie技术还存在HTTP公共秘钥钉扎的弱点,又称为证书钉扎。

HPKP是一种设计用于保护用户免受伪造证书网站攻击的应用,他们为自己的网站指定了证书,而不是接受任何一个内置证书。

Sniffly可以滥用准则来锁定每一个用户建立独立的文件,从而得知用户以后的访问记录,并且用这个文件去得知用户的常用网站。

一些限制

然而,不像一个浏览器文件,事实上证书锁定可以保留,即使在文件被删除之后。

指纹跟踪攻击还在由研究者不断完善,例如,仅仅记录域名和子域名而不是整个URL。同样现在只是攻击访问HSTS保护的网站。

更多的,对于人们来说使用HTTP浏览器插件结果并不精确。然而,这些缺点都可以通过代码修正和未来的改进而克服。