剑客
关注科技互联网

火狐浏览器杀死电池状态 ‘超级 cookie’

火狐浏览器杀死电池状态 '超级 cookie'

W3C 的电池状态 API 允许网站看多少电池汁在其坦克留下了您的设备。

这是方便的如果他们想要给他们无精打采的用户休息和后退他们过度的风扇嚎叫诱导的 Flash 动画,但它原来也是非常有用的跟踪用户,尤其是那些真的不想遵循。

如我去年写了,生活离开在你电池艾滋病跟踪因为它可以被用于,简短的窗口的时候,作为一个独特的 ID:

……万能是不同的 14,172,310 值放电的电池和充电电池的两倍。

在大多数计算机上这些独特的 Id 都是短暂的也许 30 秒,但这仍然是足够长的时间,一些聪明像重生已删除 cookie,击败隐身模式或戏弄分开的用户,否则为类似浏览器指纹戏法。

您的浏览器将快乐这可笑精确的”超级 cookie”志愿去做任何要求它的网站,和不同于正常的 cookie,您不能删除它。

当时我建议电池状态跟踪可能会联合其他技术来提高精度的浏览器指纹 — — 少 cookie 跟踪技术依赖于您的浏览器的唯一性,这是很难破坏。

没过多久我做出的预测,在普林斯顿大学的研究人员大研究发现,这正是如何电池状态 API 在野外被剥削。

研究搜索跟踪顶部 100 万网站所使用的技术的现实世界,揭示两个使用电池状态 API 的跟踪脚本︰

一个脚本…检索主机设备目前的收费水平,并结合几个其他识别特征。这些功能包括帆布指纹和用户的本地 IP 地址…

第二个脚本…查询检索当前的充电状态、 电量和放电或充电的剩余时间的 BatteryManager 接口的所有属性。 与前面的脚本,这些功能结合使用指纹设备其他识别功能。

也有人担心对潜在的其他形式的虐待后基思 · 陈,尤伯杯,在 NPR (国家公共广播电台),用户更容易付出妖孽的高得多”激增”率,如果他们很恐慌,因为一次采访中透露经济研究主管他们的电话就要死。

还有没有超级增加其价格,当您的电池开始动摇 (陈直接告诉 NPR”公司不会使用这些信息来设置价格”) 但面试帮助似乎有至少几个坏的用例和小如果 API 燃料担心任何好的建议。

作为一个用户问在 Mozilla 的 mozilla.dev.platform 谷歌集团,”能有人指出真正的网站,使用电池 API 为合法的目的吗?”

Mozilla 的答案似乎是”不”,或至少”不够”,和自版本 52,其火狐浏览器会说谢天谢地,电池状态 API。

[剑客-翻译]

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址