Evercookie 浏览器安全性

Question

我刚刚在Github 上发现了 Evercookie 项目。

Evercookie 是一种 Javascript API，可在浏览器中生成极其持久的 cookie。它的目标是即使在客户删除了标准 cookie、Flash cookie（本地共享对象或 LSO）等之后也能识别他们。

这是通过尽可能多的浏览器存储机制存储 cookie 数据来实现的。如果 cookie 数据从任何存储机制中删除，evercookie 会在每个机制中积极地重新创建它，只要其中一个仍然完好无损。

如果 LSO 机制可用，Evercookie 甚至可以在同一客户端机器上的不同浏览器之间传播 cookie！

我在this example page 上在线测试了它。我单击“创建evercookie”按钮，删除了所有浏览数据并刷新了页面。通过删除浏览数据删除的cookies又回到那里。

这个东西的浏览器安全性在哪里？这是安全的吗？

Answer 1

如果您想禁用基于 Flash 的 cookie，请在此处使用 Adob​​e 的“全局存储设置”面板：

http://www.macromedia.com/support/documentation/en/flashplayer/help/settings_manager03.html

执行所有这些步骤：

1. 取消选中“允许第 3 方 Flash 内容在您的计算机上存储数据”
2. 选中“不再询问”（一个不明显但很重要的步骤）
3. 点击倒数第二个标签：“网站存储设置”
4. 删除所有现有数据

Chrome 在 Windows 和 Mac OS X 上捆绑了自己的 Flash 插件。设置和磁盘存储与 Adob​​e 直接打包的插件是分开的，因此如果您使用 Chrome，可能需要执行上述步骤两次。从好的方面来说，单独的 storage location 可以防止 Flash 被用于与 Chrome 和其他浏览器同步 cookie。

我建议使用我的个人网站进行测试：

http://noc.to

“Zombie Cookie”部分可以准确地向您展示 Cookie 是如何恢复的，并帮助您确定上述步骤（或您使用的任何工具）是否有效。

Answer 2

要创建 Evercookie，您只需要：

• 能够运行 JavaScript（或其他活动内容，如 Flash，也许还有 Java）；和
• 能够访问存储 cookie 数据副​​本的各种客户端位置。

完全禁用对所有存储机制的访问将使它们中的大多数变得无用；对于他们中的大多数人来说，他们存在的全部原因是允许脚本使用它们。因此，唯一甚至远程可行的选择是按域限制访问。不过，我不确定哪些浏览器（如果有）允许这种粒度。大多数可以允许或阻止整个 JS 来自某些域，但至于给定域的脚本可以使用哪些 功能...？至少我在 Chrome 26 或 IE 10 中没有看到这种能力。

Answer 3

嗯，它似乎没有那么好。

• 创建了everCookie
• 关闭窗口
• 清空 Firefox 缓存的所有元素（只需删除最近的历史记录并检查除站点首选项之外的所有内容）
• 关闭窗口
• 回到页面
• 终于意识到它没有被存储

奇怪的是，我没有在 Flash 网站存储设置面板中明确删除 Flash cookie。也许它已集成到 Firefox 中。或者我可能禁用了它们。

我认为还有其他几种方法可以存储 cookie 并跟踪您。 Facebook 已经在整个网络上跟踪您，即使断开连接也是如此。谷歌也是（你使用 Chrome 吗？）。此外，使用 IPv4 地址，我们当然可以找回您（为什么不在您清空缓存之后！）。我们还可以在重新登录任何网站时找到您，并与您之前的会话建立链接。

我建议：

• 使用火狐，虽然比Chrome慢，但还是比较尊重隐私
• 在关闭窗口时删除整个 Internet 缓存（抱歉，您必须重新登录首选站点）
• 检查第三方 cookie 选项
• 谨慎使用浏览器插件
• 检查 Flash 和 Silverlight cookie 选项
• 避免网站信誉检查（前提是您可以识别钓鱼尝试）
• 当您不想分享您的数字生活时使用隐私浏览模式