现代浏览器提供了各种各样的功能来改善和简化用户体验。其中一个特性就是所谓的favicon:favicon是一个小的(通常是16×16或32×32像素)logo,由web浏览器使用,以可识别的方式标记网站。多数浏览器通常在地址栏和书签列表中的页面名称旁边显示favicon。
为了在他们的网站上提供favicon,开发者必须在网页的标题中包含一个属性。如果此标记确实存在,则浏览器会从预定义源请求图标,如果服务器响应包含可以正确呈现的有效图标文件,则浏览器会显示此图标。在任何其他情况下,都会显示一个空白的favicon。
<link rel="icon" href="https://www.freebuf.com/favicon.ico" type="image/x-icon">
favicon文件对于浏览器来说,必须是可以很容易访问到的。因此,它们被缓存在系统上一个单独的本地数据库中,称为favicon缓存(F-cache)。F-Cache数据项包括访问的URL(子域、域、路由、URL参数)、favicon ID和生存时间(TTL)。虽然这为Web开发人员提供了使用各种各样的图标来描绘其网站的各个部分的能力,但是它也导致了一种可能的跟踪场景。
当用户访问某个网站时,浏览器通过查找所请求网页的快捷图标链接引用的源来检查是否需要favicon。浏览器初始检查本地F-Cache中是否有包含活动网站URL的条目。如果favicon条目存在,图标将从缓存加载,然后显示。但是,如果没有条目,例如,因为此特定域下从未加载favicon,或者缓存中的数据已过期,则浏览器会向服务器发出GET请求,以加载站点的favicon。
本文将介绍一种可能的威胁模型,该模型允许为每个浏览器分配一个唯一的标识符,以便得出关于用户的结论,并且即使在应用了反指纹措施的情况下也能够识别该用户,例如使用VPN、删除Cookie、删除浏览器缓存或操纵客户端标题信息等等。
一台Web服务器可以判断是否已经加载了favicon,因此当浏览器请求网页时,如果favicon不在本地F-cache中,则会对favicon发出另一个请求。如果该图标已存在于F-Cache中,则不发送进一步的请求。通过组合浏览器特定URL路径的已传递和未传递favicon的状态,可以为客户端分配唯一的模式(标识号)。当网站重新加载时,Web服务器就可以根据客户端发送的favicon丢失请求来重建标识号,从而识别浏览器。
支持该攻击场景的浏览器如下(包含移动端浏览器):
Supercookie可以使用favicon来给网站的访问者分配唯一的标识符。跟传统的用户追踪技术不同,这种ID标识符几乎是可以永久存储的,而且用户无法轻易删除或修改。
值得一提的是,这种跟踪技术即使是浏览器处于匿名模式下也是可以正常工作的,而且无法通过刷新缓存、关闭浏览器、重新启动系统、使用VPN或安装AdBlockers来清除。
要求:Docker守护进程
首先,我们需要使用下列命令将该项目源码克隆至本地:
git clone https://github.com/jonasstrehle/supercookie
接下来,更新supercookie/server/.env中的.env文件:
HOST_MAIN=yourdomain.com #or localhost:10080 PORT_MAIN=10080 ? HOST_DEMO=demo.yourdomain.com #or localhost:10081 PORT_DEMO=10081
现在,使用下列命令运行容器:
cd supercookie/server docker-compose up
此时,我们的Web服务器就已经在运行了。(https://yourdomain.com)
要求:Node.js
首先,我们需要使用下列命令将该项目源码克隆至本地:
git clone https://github.com/jonasstrehle/supercookie
接下来,更新supercookie/server/.env中的.env文件:
HOST_MAIN=localhost:10080 PORT_MAIN=10080 ? HOST_DEMO=localhost:10081 PORT_DEMO=10081
现在,使用下列命令运行服务:
cd supercookie/server node main.js
此时,我们的Web服务器就已经在运行了。(http://localhost:10080)
演示地址:【点我查看】
Supercookie:【GitHub传送门】
https://supercookie.me/workwise
https://supercookie.me/
https://www.cs.uic.edu/~polakis/papers/solomos-ndss21.pdf
https://heise.de/-5027814?
先问~道!后天~骄3 一般国内的黑客是不会盗小花仙的号的,因为几乎无利可图,黑客们热衷于盗像wow,cf,dnf那样的热门游戏的号,一般盗小花仙的号都是一些低素质小孩子,盗号。 可以在U77网站搜...
跟着经济程度的晋升,各人也是越来越存眷饮食文化和饮品文化的成长。各人对付饮品行业市场上畅通着的饮品产物长短常感乐趣的,这样一来公共加盟商创业者也是可以省心的加盟个中。咖啡饮品在公共消费市场上占据着越来...
一般来说,主要有这些方法,首先,最简2单的就是申诉,加了对方好友很久,而且经常联系,而且你自5己进行了实名认证,反正就是,你自己资料越详3细越好。 朋友你好!对于这种搞破坏的人,确实很讨厌!一般很难有...
无论是敲代码仍是做视频修改,多接一个显现器,是最便利不过的。 我信任普通用户,家里有2台显现器的并不多。 但是有平板电脑的,必定数量不少。 今日就介绍一款能够用平板电脑,给Win10做无线扩展显现器的...
本文导读目录: 1、开房可以删除吗 2、开房记录保留多久 3、公安局多久删除宾馆记录 4、公安系统多久会清除住房记录 5、改身份证号能消除开房记录吗 6、外出住酒店应该怎样保护自己...
结婚时,有的新娘会为自己的伴娘准备清一色的伴娘服,也有的新人会提供给伴娘更多的选择,当然,更多的选择并不等同于随便,在搭配伴娘服的时候,我们就必须要注意到颜色混搭的问题,那么伴娘服混色搭配有哪些呢?下...