1
ericls 2021-03-01 23:32:10 +08:00
浏览器厂商封了就是
|
2
codehz 2021-03-01 23:35:26 +08:00 via Android 19
技术不发出来人家就用不了了吗?
让浏览器厂商应对才是正确的解决方法 |
3
Al0rid4l 2021-03-01 23:40:44 +08:00 9
虽然我不喜欢, 但是对于抵制这件事也持保留态度, 因为根本问题并不会因为抵制而消失, 抵制也只是解决提出问题的人罢了, 问题最终需要浏览器厂商去解决
本质上这和其他安全漏洞一样, 不妥之处或许是作者没有直接将其作为漏洞报给厂商而是选择了公开 POC, 当然也不知道作者之前是否有提交过被无视就是了 |
4
Zzzzzzzzzzz 2021-03-01 23:41:28 +08:00 19
解决问题 ❎
解决提出问题的人 ✅ |
5
lp10 2021-03-01 23:44:05 +08:00
好像找个往 canvas 里面加噪音的插件就可以了
|
6
ak47iej 2021-03-01 23:44:35 +08:00 2
现在公开出来才能逼迫浏览器厂商出来封堵啊..不然下架了你以为那些公司不会用?
|
7
jinliming2 2021-03-02 00:10:53 +08:00
已经被浏览器封了吗? Chrome Canary 90.0.4430.8,亲测隐私模式两次 ID 不一样、访客模式两次 ID 也不一样。
网页未在正常模式中打开过,直接右键隐身模式打开,测试完第一次 ID 72 43 0C 25 AE 90,关掉窗口后(但没有退出浏览器),再次重新在隐身模式打开,测试第二次 ID 28 8E 96 EE BB 6D 。 然后开启 Chrome 右上角头像里的访客模式,测试第三次 ID ED 07 C8 AD BF A5 。关掉访客窗口后再次重新打开访客窗口,测试第四次 ID 2B E9 51 B5 87 43 。 Firefox Nightly 88.0a1 ,开启了 Never remember history (火狐我主要做测试用,所以日常开着这个,干净)。未进入隐私模式,在正常模式下第一次测试 ID EC 1B 88 42 18 B1,关闭浏览器重新打开,第二次测试 ID D1 9A EB 51 D0 0C 。 |
8
7gugu 2021-03-02 00:18:19 +08:00 via iPhone 3
据我所知,火狐在上个版本就把 super cookie 给屏蔽了
|
9
ttyhtg 2021-03-02 00:18:42 +08:00
经测试,我的 id 不一样:
9D 5B AD E9 7B AF 7B E6 10 6A 3B 84 B5 3E 1E 1B 18 B6 |
12
Greatshu 2021-03-02 00:42:41 +08:00
支持,这个 repo 影响力越大,这个 bug 解决得越快
chrome 88.0.4324.190 实测隐身窗口可以追踪 |
13
2kCS5c0b0ITXE5k2 2021-03-02 00:45:30 +08:00 via iPhone
提出问题很正常啊 没人提出问题才不正常
|
14
ysc3839 2021-03-02 00:50:59 +08:00
@Greatshu 我这里 Chrome 88.0.4324.190 和 Edge 88.0.705.81 的隐身模式,分别访问两次的 ID 都不一样。
|
16
Jirajine 2021-03-02 01:37:52 +08:00 1
他这个库的目的就是为了促进修复这个 bug 啊,要抵制也是抵制 fingerprintjs.com 这种。
|
17
datou 2021-03-02 01:39:31 +08:00
windows 版 Chrome 88.0.4324.190 中招....
|
19
autoxbc 2021-03-02 02:04:11 +08:00
感觉只是使隐私模式失效,并没有使常规模式泄露更多信息
|
20
fengchang 2021-03-02 03:18:50 +08:00 2
你的脑回路很奇怪,没了这个库难道广告联盟不会自己写吗?
|
21
fengchang 2021-03-02 03:20:41 +08:00 6
我看了一下你的 github issue,对方不是说的很明白了
Demonstration purposes to force the major browser vendors to take action against this vulnerability. Very far from collaborating with the dark side! 你还有啥不懂的? |
22
dingwen07 2021-03-02 03:39:03 +08:00 via Android
Android Chrome 中招
|
23
muzuiget 2021-03-02 04:12:13 +08:00
就一个技术验证,有什么好抵制,等浏览器想对策就是了。
|
24
elfive 2021-03-02 08:06:52 +08:00 via iPhone
开源的安全,才能有机会保证相对的安全。
闭源的安全,肯定不能保证绝对的安全。 |
25
cslive 2021-03-02 08:16:12 +08:00 1
chrome 隐私模式无用,chrome 版本 88.0.4324.190 (正式版本) ( 64 位)
|
26
dLvsYgJ8fiP8TGYU 2021-03-02 08:32:07 +08:00
iOS Safari / Firefox Windows / Firefox Mac 均中招
|
27
belin520 2021-03-02 08:36:13 +08:00 via iPhone
这不就是反馈一个 bug 吗?浏览器跟进修复就好了
好事啊 |
28
Lemeng 2021-03-02 08:40:40 +08:00
这种问题,说大不大说小不小,出现问题,浏览器厂商应该跟进
|
29
whileFalse 2021-03-02 08:41:21 +08:00 13
我想起来有个 Repo 公布了人们常用的 N 个密码,提醒大家不要用这些密码。
然后有人发了个 issue:“我的密码是 xxxx,你现在把它公布出来对我的账户安全造成了威胁,请求从列表中删除” |
30
cominghome 2021-03-02 08:45:07 +08:00
翻了翻你提的那个 issue,其实大家说得都有道理,但个人觉得 po 主片面了。
不要先入为主地看待问题,要中立,如果因为这个项目漏洞被封了,你觉得是好还是坏呢?(没准现在已经有公司偷偷摸摸用了好久了...) |
31
krixaar 2021-03-02 09:12:22 +08:00 2
这个抵制我没看明白,人家详解原理做了个 POC 然后引发关注度等主流浏览器厂商修复,说白了就是“吹哨人”,你发个 Issue 批评人家干什么?
|
32
treblex 2021-03-02 09:13:01 +08:00
|
33
FS1P7dJz 2021-03-02 09:23:49 +08:00
公开才会引起重视
不然别说一般用户,就算是程序员也很难想到小小的 favico 可以泄露隐私 |
34
learningman 2021-03-02 09:35:20 +08:00 via Android
你被挂起来挺合理的
典型掩耳盗铃 |
35
no1xsyzy 2021-03-02 09:40:06 +08:00 4
第一,LZSB
第二,这个 repo 的发布方式可能不符合 security 的惯例。惯例上说,问题不应直接公开,而应先提交给厂商,在规定期限后公开,Project Zero 设定的是 90 天。repo 内未见提交过厂商的声明。 第三,第二并不妨碍 LZSB |
36
abersheeran 2021-03-02 09:40:36 +08:00 1
“我发现了一个漏洞可以持续的追踪用户足迹,它……”
“你是谁?你发这些是受谁指使的?你知道不知道发出来有多少人的隐私安全会受到威胁?” v2ex 上天天有人骂某些机构尸位素餐,怎么,换到自己身上也这个腔调了?互联网基础设施上不知道有多少地方有漏洞,互联网头部公司、美国国家安全局用自己发现的漏洞干事不知道多少年了。现在有一个人公开了一个小东西,你在这抵制?抵制个鬼啊,不如多发几封邮件让苹果、微软、谷歌的人去完善浏览器。 |
37
janxin 2021-03-02 09:42:15 +08:00
看了一下,Firefox 86.0 应该已经修正了这个问题了。
这个直接披露 POC 是确实不是很恰当。当然,如果在之前反馈给 Chrome 和 Firefox 等浏览器厂商人家不修,那就是厂商傻逼。 |
38
shintendo 2021-03-02 10:12:34 +08:00
|
39
phpc 2021-03-02 10:20:35 +08:00
Windows firefox 78.7.0esr (64 位) 两次生成的 ID 不一样
|
40
DOLLOR 2021-03-02 14:28:20 +08:00
Opera74 两次隐私模式下不一样
|
41
fucUup 2021-03-02 14:29:06 +08:00
chromium 的同事说这个问题是 P2, 应该会做
|
42
S4m 2021-03-02 14:46:35 +08:00
开源的情况下,厂商至少能想办法抵制这类追踪方法。
有这个时间不如去抵制国内那些客户端追踪 SDK 。 |
43
Rhilip 2021-03-02 15:22:21 +08:00
emm,你抵制有啥用,掩耳盗铃吗?
|
44
xianxiaobo 2021-03-02 15:52:41 +08:00
活该被挂
|
45
GreenDam 2021-03-02 16:15:38 +08:00
《情商》
|
46
yolee599 2021-03-02 16:36:58 +08:00
|
47
imn1 2021-03-02 16:37:13 +08:00
纯粹就是个立场问题,抵制 or 不抵制的表态都不能说错
即使浏览器禁了,还有 APP 可以用上,除非商店有针对地下架相关应用 简单说,站在其中一方立场,期望全行业封杀,防止未有规范时被滥用,这个主张可以有,但很难做到 换个立场,网站追踪用户信息,是否作恶,并不能有罪推定 如果这个技术可以实现免登录保持“唯一”,还是有一定用途的,方便对同一设备的权限管理 例如 GDPR 并不禁止收集,只限定收集的事项遵守“最初之约定” 砒霜也能药用,要规管只能立法 |
48
chinvo 2021-03-02 17:03:01 +08:00
Remove my password from lists so hackers won't be able to hack me?
|
49
ayase252 2021-03-02 17:10:02 +08:00 via iPhone
😅我看这个 issue 去年 4 月份就在 chromium 开了啊。也该修好了吧
|
50
dqzcwxb 2021-03-02 17:11:59 +08:00
与其听信谣言,不如相信**
|
51
momocraft 2021-03-02 17:15:58 +08:00
你要是知道有人用 POC 交流安全研究 岂不是要气到爆炸
|
52
Zikinn 2021-03-02 17:24:36 +08:00
Chrome Windows 88.0.4324.190
实测隐私模式可以追踪 |
53
TomatoYuyuko 2021-03-02 17:31:32 +08:00
类似的技术之前就有吧,比如数字指纹,不过那个碰撞几率比较高
|
54
dsg001 2021-03-02 17:38:38 +08:00
ff68,开小号模式、隐私模式获取的 id 都不一样
|
55
jim9606 2021-03-02 17:56:30 +08:00
Edge88.0.705.81 没有复现。
我目前见过比较牛的是 fingerprintjs,基于 EFF 的一项研究做的,利用浏览器特性生成的 ID,例如分辨率、插件列表、字体列表等,隐私模式也会中招。不过不清楚这个方案的 ID 唯一性做得怎样,猜测不怎么好。 https://fingerprintjs.github.io/fingerprintjs/ 不过也没必要太在乎这个了,哪个大众化的网站不是一打开就要你登录账户才能用?灰产用这个感觉收益不怎么行。 |
56
codehz 2021-03-02 18:49:12 +08:00 via Android 3
@no1xsyzy 之前的论文已经通知浏览器厂商修了
不过这里有一件趣事,论文作者故意没通知 Mozilla,因为他们不是有 bug 导致 favicon 没缓存吗,然后作者反过来提一个 bug 报告要求 firefox 修 https://bugzilla.mozilla.org/show_bug.cgi?id=1618257 就为了让论文里可以写在所有浏览器上都能用,被 Mozilla 发现以后一顿批判 这里有几十天前 hn 关于此事的讨论 https://news.ycombinator.com/item?id=26051370 |
58
no1xsyzy 2021-03-02 19:10:03 +08:00
|
60
parametrix 2021-03-02 21:05:01 +08:00
Firefox yes. (特别是发现 Firefox 在 Big Sur 上硬件加速播放 vp9 以后 :)
|
62
paradoxs 2021-03-02 21:21:02 +08:00
其实你们不用担心 chromium 会处理不了这种东西, 其实 chromium 会处理的东西挺多的。
很多色站都被处理过(不管是技术上的还是另外一种层面的),特别是某个 A 开头的色站。(不方便开展) |
63
niceworld 2021-03-02 23:21:39 +08:00
edge 88.0.705.81
有的,开和不开隐私模式出来 id 的一样 :( 不过我看#55 楼没用复现,就感觉很玄学 |
64
nikan999 2021-03-02 23:34:35 +08:00
The demo of "supercookie" as well as the publication of the source code of this repository is intended to draw attention to the problem of tracking possibilities using favicons.
作者的 readme 在你发这个 issue 之前就有说过是为了别人关注这个漏洞啊,通过一定的影响力。 |
65
no1xsyzy 2021-03-02 23:54:58 +08:00 1
@imn1 这一漏洞是运用了 F-Cache ( Favicon Cache )来下探针,一个 App 已经能存储数据,再用 F-Cache 绕远路了呀。
少数泄漏点是系统 WebView,实际上也是浏览器。 更 Meta 地看,这一漏洞的核心在于外部缓存的存在,通过嗅探外部缓存命中情况来检测用户。那样的话,这一问题甚至不是新鲜事儿,似乎从幽灵开始,或者更早,大家就开始针对缓存进行检查。之前在哪看到说利用了 Favicon Cache 的时候我就根本没继续看下去,因为知道是 Favicon 之后其他都是细枝末节。 |
66
iseki 2021-03-03 01:06:57 +08:00 via Android
这个库相当于 PoC,不去解决漏洞反而去抵制 PoC ?解决提出问题的人???
|
67
dfkjgklfdjg 2021-03-03 10:02:58 +08:00
提出问题才能解决问题,不是不让别人提出问题,掩耳盗铃。就像为什么现在维权都要媒体曝光,就是要引起关注
|
68
ttgo 2021-03-03 12:16:24 +08:00
关了 tab 再开 都没退浏览器 返回值都不一样了 没问题啊??
|
69
JounQin 2021-03-24 15:15:41 +08:00
还真是典型的想解决掉提问题的人。
|
70
lasm OP 网友的批评很显然也是带了“先入为主”的倾向。请注意,我没有说过任何想要去解决提出问题的人
这个 Repo 并不是在提出问题质疑不择手段的广告商,而是去利用这一种 Bug,将其平民化 以前可能是潜规则,现在可以零成本追踪了。 真正的“提出问题的人”应该是去曝光,发声,像我这样宣传,而不是把这个 Bug 的利用手段传播出去。这与淘宝薅羊毛,刷单行为有何区别?曝光规则的漏洞和传播钻空子的手段是两码事 希望各位网友审视别人的有色眼镜的时候先看看自己有没有有色眼镜。 另一方面,Firefox 的解决和其他浏览器厂商,以及用户对隐私的重视也是可喜的。 |
71
lasm OP 诚然,网友们有一条逻辑就是加速主义的逻辑:漏洞被曝光出来,写个长篇大论,厂商是不会重视的;而漏洞被大面积传播和利用才能引起厂商和社会的足够重视。这确实是让事情得到发酵并解决的办法,但这不是最优解。
|