隐私浏览,其实没那么“隐私”!

Posted by Eyon on August 10, 2010

最近斯坦福大学对大量浏览器”隐私浏览”的一份研究报告指出这些浏览器所提供的“隐私模式”并不完全隐私,而且有大量种类的信息都可能在使用隐私模式浏览时遭到泄露,同时这份报告将会在本周的USENIX安全会议上发表。

不管是 IE 浏览器的“隐私保护浏览模式”、Chrome 的“隐身模式”还是 FireFox 与 Safari 的“隐私浏览模式”无非都是想达到两个目的:让使用同一台电脑的用户不能找出该电脑上的浏览器都浏览过哪些网站,以及让网站不能知道被哪个特定的用户浏览过。

而对于浏览器来说,想要真正意义上的对使用同一台电脑的其他用户保持隐私,就必须丢弃(或避免创建)任何历史记录、缓存项、Cookies 等等。另一方面为了防止网站对用户行为的跟踪,在隐私模式下的浏览器还必须确保不发送任何在非隐私模式下发送的那些 Cookies 以及其他身份信息。

然而,斯坦福大学的研究员发现浏览器所提供的保护措施并不完善,它们并不能完全妥善的将隐私会话从非隐私模式中剥离,造成的结果就是别有用心的网站完全可以从隐私模式与非隐私模式之间跟踪访问者。同时,网站也可以留下一些访问信息,让本地的其他用户检测到。

更糟糕的问题:浏览器附加组件

更糟糕的是当扩展和插件被允许在隐私模式下使用,通过对以上四款浏览器隐私模式下开启插件的测试,所有浏览器的插件都可以自己储存数据,造成前面提到的两种隐私保护彻底崩溃。

一个很常见的例子就是使用 Adobe Flash。Flash 拥有它自己的一套 Cookie 系统,而这套系统的目的就是无视浏览器的隐私模式,在隐私模式下 Cookies 仍然会正常工作,甚至在隐私模式下获取的 Cookies 一样是公开可读的。最要命的是,Flash 从来都没有考虑修复这个问题,当然其他的插件也同样存在类似的问题。

IE 和 Chrome 都会在隐私模式下默认关闭扩展功能,而 FireFox 不一样,在隐私模式下仍然可以使用插件,这无疑又给隐私泄露提供了另一个途径。

另外,研究小组还收集了用户会在怎样的情况下使用隐私模式的信息。虽然微软宣传隐私模式的广告是告诉用户使用“隐私保护浏览模式”可以在网购时避免任何风险,而实际上好多人都是在上黄网时才用隐私模式,而不是网购。即便是这样,使用隐私模式的用户所占的比例仍然很小,大约只有8%的用户会在上黄网时使用隐私模式,网购和平时浏览时使用隐私模式的比例则更低,加起来只有6%。

还有个很有意思的数据就是不同浏览器用户使用隐私模式的比例也不一样,IE浏览器的用户只有2%会使用隐私模式,这还统计了上黄网的人数,而 Safari 浏览器的用户大约有14%会在上黄网或者网购的过程中保持使用隐私模式的习惯。

via ars