什麼是 Supercookies、Zombie Cookies 和 Evercookies？它們有害嗎？

追蹤一直是cookie用戶最關心的隱私問題之一，但由於網路的出現，這種情況發生了變化。雖然常規瀏覽器 cookie 非常有用且易於清除，但還有其他變體可以保存和追蹤使用者的瀏覽活動。其中兩個變體是超級cookie 和殭屍cookie（通常稱為“Evercookies”）。這兩個變體之所以出名，是因為它們給想要刪除它們的人帶來了很多困難。幸運的是，它們已經「得到」了安全專家的適當關注，並且當今的網路瀏覽器正在不斷發展以對抗這些複雜的偷偷摸摸的追蹤技術。

超餅乾

這個術語可能有點令人困惑，因為它用於描述許多不同的技術，其中一些實際上是 cookie。一般來說，該術語指的是覆蓋您的瀏覽設定檔以為您提供唯一 ID 的事物。這樣，它們支援與 cookie 相同的功能，允許網站和廣告商追蹤您，但與 cookie 不同的是，它們無法被刪除。

您經常會聽到術語「supercookie」用於指唯一識別碼標頭 (UIDH) 以及 HTTP 嚴格傳輸安全性 (HSTS) 中的漏洞，儘管最初的短語指的是源自頂級域的cookie 。這意味著可以為「.com」或「.co.uk」等網域設定 cookie，允許任何具有該網域後綴的網站看到它。

如果 Google.com 設定了超級 cookie，則任何其他「.com」網站都可以看到該 cookie。這顯然是一個隱私問題，但由於它是常規 cookie，因此大多數現代瀏覽器預設都會阻止它們。因為沒有人再談論這種類型的超級 cookie，所以您經常會聽到更多其他兩種（Zombie Cookies 和 Evercookies）的資訊。

唯一識別碼標頭 (UIDH)

唯一識別碼標頭通常不會出現在您的電腦上，它出現在您的 ISP 和網站伺服器之間。 UIDH 的建立方式如下：

您向 ISP 發送網站請求。
在您的 ISP 將請求轉發到伺服器之前，它會在您的請求標頭中添加一個唯一識別符字串。
這個唯一的識別符字串允許網站在您每次訪問時將您識別為同一用戶，即使您已經清除了他們的 cookie。一旦網站知道您是誰，他們只需將相同的 cookie 直接設定到您的瀏覽器即可。

簡而言之，如果您的 ISP 使用 UIDH 跟踪，它會將您的個人「簽名」發送到您訪問的每個網站。這主要用於優化廣告收入，但令人惱火的是，FCC 對 Verizon 處以 135 萬美元的罰款，因為它沒有告知客戶，或者沒有提供給他們選擇退出的選項。

在 Verizon 之外，沒有太多數據表明公司正在使用 UIDH 類型的信息，但消費者的強烈反對使其成為不受歡迎的策略。即使它只適用於未加密的 HTTP 連線。此外，由於當今大多數網站預設使用 HTTPS，並且您可以輕鬆下載 HTTPS Everywhere 等附加元件，因此這個 supercookie 確實不再是一個大問題，並且可能不會被廣泛使用。如果您需要額外的保護層，請使用 VPN。VPN確保您的請求將轉送至不附加 UIDH 的網站。

HTTPS 嚴格傳輸安全性 (HSTS)

HSTS（HTTP 嚴格傳輸安全性）是保護 HTTPS 安全網站免受低階攻擊所需的安全性原則。 HSTS 確保與網站的所有連線都使用HTTPS 協定進行加密，並且從不使用 HTTP 協定。目前，Google 正在將 HSTS 應用到 45 個頂級域名，其中包括以 .google、.how 和 .soy 結尾的域名。

HSTS確實是一個很好的解決方案。它允許您的瀏覽器安全地重新導向到網站的 HTTPS 版本，而不是不安全的 HTTP 版本。不幸的是，它也可以用於創建具有以下公式的超級cookie：

建立多個子網域（例如“domain.com”、“subdomain2.domain.com”...）。
為主頁的每個訪客分配一個隨機號碼。
透過將子網域新增至頁面上的隱藏像素來強制使用者載入所有子網域，或在頁面載入時透過每個子網域重新導向使用者。
對於某些子網域，它們要求使用者的瀏覽器使用 HSTS 切換到安全性版本。對於其他一些人來說，他們將網域視為 HTTP 不安全。
如果子網域的 HSTS 策略已啟用，則計為「1」。如果關閉，則計為“0”。使用此策略，網站可以在瀏覽器的 HSTS 設定中以二進位形式記錄使用者的隨機 ID 號碼。
每次訪客返回時，網站都會檢查使用者瀏覽器上的 HSTS 策略，HSTS 將傳回與標識使用者相同的初始產生的二進位數。

聽起來很複雜，但簡而言之，網站可以讓你的瀏覽器創建並記住許多頁面的安全設置，並且在你下次訪問時，它可以通過數據得知你是誰。

蘋果也針對此問題推出了解決方案，例如只允許每個站點為一兩個主域設置 HSTS 設置，並限制站點允許使用的重定向數量。其他瀏覽器也可能遵循這些安全措施（Firefox 的隱身模式就是一個例子），但由於尚未確認其有效性，因此情況並非如此。對於大多數瀏覽器來說，這是首要任務。您可以透過詳細了解一些手動安裝和刪除 HSTS 策略的方法來自行解決問題。

殭屍餅乾/Evercookies

Zombie cookie，也稱為 Evercookie，本質上是一個 JavaScript API，旨在說明您在嘗試刪除 cookie 時將面臨的困難。

殭屍 cookie 無法刪除，因為它們隱藏在您的常規 cookie 儲存之外。本機儲存是 Zombie cookie 的主要目標（Adobe Flash和 Microsoft Silverlight 經常使用它），某些HTML5儲存也可能是個問題。殭屍 cookie 甚至可能位於您的瀏覽記錄中或您的瀏覽器允許快取的RGB 顏色代碼中。

然而，許多安全漏洞正逐漸消失。 Flash 和 Silverlight 並不是現代網頁設計的重要組成部分，許多瀏覽器現在不再容易受到 Evercookie 的影響。由於這些 cookie 可以透過多種方式乾擾和「寄生」您的系統，因此您沒有辦法保護自己，但定期清理瀏覽器絕不是一個好主意，而是一個糟糕的措施。

我們安全不安全？

在當今的安全世界中，開發線上追蹤技術是一場持續不斷的競賽，因此，如果您特別關心隱私，您可能應該習慣這樣一個事實：我們永遠無法保證在線上環境中 100% 安全。

然而，您無需太擔心超級cookie，因為它們不太常見，並且被越來越積極地阻止。在修補任何漏洞之前，這些 cookie 一直保持活動狀態，並且始終可以使用新技術進行更新。

看更多：