Chrome,Firefox,Safari,以及Tor浏览器都受到“计划洪水”攻击的影响
一种漏洞研究人员警告说,这可以允许网站beplay体育能用吗绕过用户绕过隐私保护,以多个主要浏览器存在。
该缺陷可以允许一个站点分配用户永久唯一标识符,并使用它来追踪不同浏览器的行为 - 即使它们是使用的vpn.,私人浏览会话或其他隐私保留工具和技术。
称之为“计划洪水”,这个问题已经存在浏览器至少五年 - 尽管事实上,没有证据表明,在大规模上积极开发,研究人员警告说,这个问题仍然是“违反隐私”。
漏洞是由FingerPrintjs的安全研究人员确定谁发现他们能够在Chrome中发起计划泛滥利用,苹果浏览器,firefox和tor浏览器。
检查它
浏览器可以通过测试32个应用程序的列表来生成32位交叉浏览器设备标识符,并在用户的设备上安装它们是否安装了它们。
根据研究人员,平均而言,指纹过程需要几秒钟,跨桌面窗口,麦克斯和Linux操作系统工作。
自定义URL方案处理用于检查是否已安装相关的应用程序 - 这用于允许浏览器通过弹出配置框打开应用程序。
研究人员写道,解释了利用漏洞所需的步骤:
- 准备要测试的应用程序URL计划列表。列表可能取决于您的目标,例如,如果要检查某些行业或兴趣特定的应用程序是否已安装。
- 在网站上添加一个脚本,该脚本将从列表beplay体育能用吗中测试每个应用程序。脚本将返回一个有序的布尔值数组。如果未安装应用程序或者,则每个布尔值都是如此。如果不是,则为False。
- 使用此阵列生成永久交叉浏览器标识符。
- 可选地,使用机器学习算法猜测您的网站访问者使用已安装的应用程序数据的访问者的职业,兴趣和年龄。beplay体育能用吗
绕过保护
今天的Web浏览beplay体育能用吗器具有内置的安全机制,旨在保护用户的隐私。但是,这些机制可以用方案泛滥绕过。
由于利用同源策略实现,遗漏,Firefox和Tor浏览器在Firefox CodeBase内构建的浏览器易受攻击。
博客文章读取:“每次导航到未知的URL方案时,Firefox都会向您展示一个错误的内部页面。此内部页面具有与任何其他网站不同的原始原点,因此无法访问它是不可能的beplay体育能用吗同性策略限制。
“另一方面,已知的自定义URL方案将被打开为关于:空白,其起源将从当前网站访问。“beplay体育能用吗
别忘了读什么floc?您需要了解谷歌的新广告技术的一切,旨在取代第三方饼干
研究人员添加了:“通过使用自定义URL方案打开弹出窗口并检查其文档是否可从JavaScript代码中获得,您可以检测应用程序是否安装在设备上。”
铬合金是唯一有针对方案泛滥保护的浏览器,但即使这也可以绕过。FingerPrintJS研究人员指出,该问题已被标记为铬虫跟踪器并很快解决。
有趣的是,虽然Tor浏览器 - 这是为提供增强的匿名而建立的隐私- 富有意识的用户 - 很脆弱,研究人员更久以利用它。
缓解
为了防止漏洞,研究人员指出,“直到此漏洞是固定的,唯一可以与主设备关联的私人浏览会话的唯一方法是完全使用另一个设备”。
每日SWbeplay2018官网IG.已达到Chrome,Firefox,Safari和Tor浏览器的开发人员,了解修复程序时的更多信息。
你可能也会喜欢谷歌和Mozilla推出计划将HTML Sunitization释放到浏览器中