Evercookie瀏覽器安全

Question

我剛剛在Github上發現了Evercookie項目。

Evercookie是一個JavaScript API，它在瀏覽器中生成非常持久的cookie。其目標是即使在他們刪除了標準Cookie，Flash cookies（本地共享對象或LSO）以及其他人之後也能識別客戶端。

這可以通過將cookie數據存儲爲儘可能多的瀏覽器存儲機制來完成。如果從任何存儲機制中刪除cookie數據，evercookie會積極地在每個機制中重新創建它，只要其中一個仍然完好無損。

如果LSO機制可用，Evercookie甚至可能在同一客戶端機器上的不同瀏覽器之間傳播cookie！

我在線測試它，在this example page。我點擊「創建evercookie」按鈕，我刪除了所有瀏覽數據，並刷新了頁面。通過刪除瀏覽數據刪除的cookie在那裏再次返回。

這件事情的瀏覽器安全在哪裏？這是安全的嗎？

Answer 1

爲了創建一個Evercookie，所有你需要的是：

• 運行JavaScript（或其他活動內容，如Flash或許是Java）的能力;和
• 訪問存儲Cookie數據副本的各種客戶端位置的功能。

完全禁用對所有存儲機制的訪問將導致其中大部分無用;對於他們中的大多數人來說，他們存在的全部理由是以允許腳本使用它們。因此，唯一的遠程可行的選擇是通過域來限制訪問。不過，我不確定哪些瀏覽器（如果有）允許這種粒度。大多數可以允許或阻止JS作爲一個整體從某些域，但至於什麼功能給定域的腳本可以使用......？至少，我在Chrome 26或IE 10中看不到這種能力。

Answer 2

那麼，它似乎並沒有那麼好。

• 創造了everCookie
• 關閉窗口
• 空（只是要刪除最近的歷史ANC檢查，除了現場的喜好一切）
• 關閉窗口
• 回來的Firefox緩存中的所有元素到頁面
• 最後意識到它沒有存儲

奇怪的是，我沒有明確刪除Flash網站存儲設置面板中的Flash cookies。也許它已經集成到Firefox中。或者我可能已經禁用了它們。

我認爲還有其他幾種存儲cookie和跟蹤你的方法。即使在斷開連接時，Facebook已經在網絡上跟蹤你。 Google也是（你使用Chrome嗎？）。而且，對於IPv4地址，我們當然可以找回你（爲什麼不在你清空緩存後？）。我們還可以在任何網站上登錄時找到您，並與您之前的會話建立鏈接。

我建議：

• 使用Firefox，甚至它比瀏覽器更慢，它仍然是更尊重隱私
• 拆卸窗口關閉整個互聯網緩存（對不起，你就得重新登錄您的首選網站）
• 檢查第三方cookie的選項
• 使用瀏覽器插件小心
• 檢查FLASH & Silverlight的cookie的選項
• 避免網站信譽檢查（前提是你能識別釣魚企圖）
• 使用隱私瀏覽模式時，你不希望分享您的數字生活

Answer 3

如果您希望禁用基於Flash的餅乾，這裏使用Adobe的 「全局存儲設置」 面板：

http://www.macromedia.com/support/documentation/en/flashplayer/help/settings_manager03.html

執行這些步驟的所有：

1. 取消選擇「允許第三方Flash內容存儲在您的計算機上的數據」
2. 檢查「不再詢問」（非顯而易見的，但重要的一步）
3. 點擊2日至最後一個標籤：「網站存儲設置」
4. 刪除所有現有數據

瀏覽器捆綁在Windows和Mac OS X.自己的Flash插件的設置和磁盤存儲是從由Adobe直接包裝插件分開的，所以你可能需要執行如果您使用Chrome，請按上述步驟兩次。另外，單獨的storage location可以防止Flash被用來同步Cookie與Chrome和其他瀏覽器之間的同步。

我推薦的測試與我的個人網站：

http://noc.to

「殭屍曲奇」部分可以準確地告訴你如何餅乾被恢復，幫助您確定是否上述步驟（或者你使用任何工具） 在工作中。