反复测试,发现微软已经利用 HTTPS 的 HSTS 跟踪锁定个人

2015-01-12 23:54:50 +08:00
 gnup

微软肯定是用了 HSTS 来确定是不是同一人在注册。

最简单的测试方法,
用firefox 34.0.5以前的浏览器注册帐号,你是清除cookies,改user-agent,更换IP,微软都可以识别出你是一个人在注册帐号,禁止注册。

firefox 34.0.5 修复了 HSTS 的BUG,所以换IP,清除cookies就可以重复注册
Chroimium 41.0.2251.0测试 也会被 HSTS锁定

IE浏览器没这个BUG
火狐 34.0.5之前的全有这个BUG
Chrome未测试

3087 次点击
所在节点    微软
5 条回复
myliyifei
2015-01-13 02:12:12 +08:00
那么 原理呢?HSTS好像是有个KEY。
yyfearth
2015-01-13 06:17:47 +08:00
HSTS 在某些浏览器里面 清除cookie等信息的时候不会清除
所以可以用来跟踪
但是有些浏览器已经没有这个问题了 在清理cookie的时候也会把HSTS清除
honeycomb
2015-01-13 11:03:50 +08:00
Chrome可能会打算不改这个bug
gnup
2015-01-13 13:40:58 +08:00
Firefox 34.05 跟 31 比,真心慢不少,没办法,
升级!
aaaa007cn
2015-01-13 21:32:36 +08:00
http://www.solidot.org/story?sid=42570
记得去看原文 http://www.radicalresearch.co.uk/lab/hstssupercookies 的更新

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/161584

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX