決戰Cookie殭屍：惡性追蹤API意在“提高警惕”

對抗目前殭屍Cookie——好像永遠不會丟失你資料的cookie——的戰爭硝煙四起，因為越來越多的使用者知道了其技術內幕。儘管廣泛傳播的Flash cookie和最近最新的HTML5儲存技術內幕讓使用者提高了警惕，但要我們避免Internet使用者被頑固跟蹤，仍然任重而道遠。

一個很好的例子：evercookie，一個由Samy Kamkar開發的開源JavaScript API。當被網站使用時，evercookie儲存user ID和cookie data不只是兩個或三個地方，而是八個不同的地方——以後還會更多！其中就有你的standard HTTP cookies，Flash cookies，你強制快取的PNG的RGB值，你的Web history以及一些HTML5儲存特性。此外，Silverlight Storage和Java顯然也在跟近。

因此當你刪掉一處、三處或五處的cookie時，evercookie可以從其他cookie源獲取你的user ID，並恢復資料跟蹤cookie。它還跨瀏覽器——如果Local Shared Object cookie（本地共享物件cookie）完整，evercookie可以傳播到任何你在本機上使用的瀏覽器。由於大多數使用者對這些cookie儲存技術不甚瞭解，他們不大可能徹底清除某一cookie。

“簡單把它想象成不會擺脫的cookie（Cookie殭屍）吧，”evercookie FAQ這樣寫著。

聽起來很邪惡吧？是。但是Kamkar——他的座右銘是“think bad, do good”（“防小人，為君子”）——看起來就不那麼邪惡了。事實上，Kamkar告訴Ars（本網站站名）說，他寫evercookie是為了向使用者展示公司可以跟蹤他們的方法。

“我希望evercookie只是向人們演示跟蹤他們的是何種方法，由他們決定他們是否應該阻止這些方法，”他說。“我作為一個安全業餘愛好者，寫evercookie也才用了不到一天的時間，因此我很容易想像那些受僱的開發者可以做出什麼來。”

Kamkar說他並無意去用evercookie來跟蹤人們——它主要為上述概念而存在，他沒有使用開發者世界裡的極端技術。

“這些全都不是什麼新技術，”他告訴Ars，“但有這樣的一個API就足以引起警惕。”

當然，只要evercookie存在（並以一個開源專案的形式存在，每個人都可以使用），就一定會有邪惡的網路開發者利用它。但這正中本技術的意旨——我們應該被敲醒警鐘。

Kamkar視他的專案為一種立見分曉的檢驗辦法，用以研究人們會否起身保護自己免受任何人都可以利用的頑固cookie之擾。他同時瞭解，普通Internet使用者對傳統cookie都不甚知曉，更不用說Flash cookies 和後面的了。從所有的八個（或更多）儲存機制裡刪除資料連對於一個有經驗的上網者來說都是很怯人的。

“我希望開發允許人任一或所有的這些儲存機制中刪除資料的軟體，供普通使用者使用，”Kamkar說。“我希望evercookie能給再開發這樣軟體的人以警醒。

Kamkar的API僅僅晚於針對某一公司的訴訟的立案。該公司利用了Safari，Chrome，和 Opera支援的 HTML5 Web SQL資料庫儲存能力。最先被Ars Technica曝光的這家特殊的公司（Ringleader Digital，元凶數碼——名字很形象，編者注）極力想儲存一個頑固的ID至本地，即使使用者將cookie和其HTML5資料庫刪除。這家公司告訴Ars說，唯一擺脫這一跟蹤的方法是使用該公司的退出連結（它在讓使用者退出時也不給提示）。

然後，之前還有一系列針對殭屍Flash cookie的訴訟；那些cookie在跟蹤使用者方面有著同樣的野心。它們不想讓你刪除它們的資訊，因此它們通過將資料儲存在多個地方並在你刪除後重置，以此和你周旋。

在Internet使用者等待軟體來幫他們擺脫此煩擾的同時，Kamkar指出很多瀏覽器的安全瀏覽模式很可能可以幫你一把。“我發現在Safari中使用‘隱私瀏覽’會阻擋所有evercookie的方法，”他說。

原文連結：Zombie cookie wars: evil tracking API meant to “raise awareness”

譯文連結：http://www.linux-ren.org/modules/newbb/viewtopic.php?topic_id=56675&forum=72