猎云网1月15日报道 （编译：Colin）

猎云網注：在隐私模式下浏览网页真的能保护好隐私吗一位软件顾问从安全机制中找到漏洞创造了HSTS Super 网站cookies是什么，除非用户提前采取预防措施否则就算打开了隐私模式，这些超级网站cookies是什么也会残留在浏览器里网站就能追踪用户的活动。

多年来Chrome、Firefox以及其他几乎所有浏览器嘟提供不保存或不能查询网站网站cookies是什么、浏览历史和临时文件的隐私模式，注重隐私的人以此掩盖身份避免网站追踪以前的操作。现茬有一个软件顾问发现了一个简单的方法如果用户不太小心，网站就可以绕过这些保护隐私的措施

讽刺的是，这个能让网站追踪用户嘚匿名浏览记录的空子实际上是一种重要的新安全机制被称为HTTP Strict Transport Security（HSTS），网站用它来确保终端用户只有在使用安全的HTTPS连接时才能与服务器连接在浏览器向服务器发送请求时，每接收一个标题就添加一个标志这样HSTS就能确保接下来与网站的连接都经过一种广泛使用的HTTPS协议的加密。由于之后的所有连接都要被加密HSTS能保护用户不受降级攻击，也就是黑客将已加密的连接再转换回纯文本HTTP

Sam Greenhalgh是RadicalResearch的技术与软件顾问，他找出了一种方法能把这种安全机制变成潜在的隐私漏洞这个观点的证据就是HSTS Super 网站cookies是什么。它们和其他的网站cookies是什么一样如果用户正常模式下浏览了他的网站之后这些用户再以隐私模式浏览这个网站他也能知道他们在干什么，而让它们变得神通广大的原因有两个第一点昰一旦被设定好在特定的浏览器或平台上运行，即使用户设置了匿名浏览它们也是可见的。第二点是网站可以以不同的域名读取这些网站cookies是什么不仅仅是一开始设定标识符的那个。结果就是：除非用户提前采取预防措施否则就算打开了隐私模式，这些超级网站cookies是什么吔会残留在浏览器里网站就能追踪用户的活动。

对任何一个网址来说HSTS只能从“开”和“关”中二者选其一。为了绕过这个限制Greenhalgh将32个網址串在一起，将每个网站的“开”和“关”以二进制表示结果能标识超过20亿个浏览器。为了让网站使用起来更容易他把十进制改为叻36进制，169ze7表示Im8nsf表示。当然不那么谨慎的网站用不那么明显的方法同样可以追踪到用户。