图片-稻子网
图片-稻子网
图片-稻子网
图片-稻子网

服务器cookie-不使用“Cookie”的Cookie缓存技术

【IT168技术】还有一种不用or就可以跟踪用户的方法。这种方法已在无数网站上使用。本文解释了此方法的工作原理以及如何保护自己。

不需要使用这种跟踪方法:

• //

• Flash、Java 或其他组件

图片[1]-服务器cookie-不使用“Cookie”的Cookie缓存技术-稻子网

• 您的 IP 地址或用户代理字符串(User Agent)

• 使用的任何方法

相反,它使用了另一种即使浏览器重新启动也可以持久化的存储方式,即:。

即使您完全禁用、关闭该功能并使用 VPN,该技术仍然可以跟踪您。

在线示例:

图片[2]-服务器cookie-不使用“Cookie”的Cookie缓存技术-稻子网

让我们继续,输入一些东西并保存。然后关闭浏览器并再次打开此页面。它还在吗?

检查你的,在吗?当然不是,因为它完全在一张假图片的校验和中,几乎没有人能意识到。看到页面右上角的眼睛了吗?这是我们的追踪器。

那么它是怎样工作的?

图中的ETag是校验和。当图片改变时,校验和也会改变。所以当浏览器有图片并且知道校验和时,它可以将校验和发送到Web服务器进行验证。然后 Web 服务器验证图片是否已更改。如果没有,就不需要重传图片,节省了大量的数据流量。

图片[3]-服务器cookie-不使用“Cookie”的Cookie缓存技术-稻子网

图片[4]-服务器cookie-不使用“Cookie”的Cookie缓存技术-稻子网

细心的读者可能已经注意到,人们可以这样被跟踪:浏览器返回给服务器的信息就是它之前收到的信息(ETag)。这听起来非常相似。服务器可以给每个浏览器一个唯一的ETag,当浏览器再次连接时可以从数据库中找到ETag。

此示例的技术要点(和错误)

为了描述它如何在不使用它的情况下有效服务器cookie,我必须找到一些您独有的信息,除了ETag。加载页面后加载图像,但只有图像包含ETag。如何在页面上显示实时信息?结果就是不动态刷新页面我做不到,但是需要动态刷新,这也是我想避免的。

这个先有鸡还是先有蛋的问题导致了一些错误:

• 从上一页加载所有可见信息。只有按 F5 才能看到新数据。

图片[5]-服务器cookie-不使用“Cookie”的Cookie缓存技术-稻子网

• 当您浏览一个页面并且您没有 ETag(例如匿名模式)时,您的将被清除。只有在超载时才能再次看到它。

我从未见过解决这些问题的简单方法。当然这是人为的,但与其他网站不同的是,我希望保持代码简单并贴近现实。

请注意,当您真的要跟踪用户时,这些错误通常不会存在。因为您不想让用户知道他们正在被跟踪。

源代码

什么项目没有源代码?哦,是的,它来自微软。

图片[6]-服务器cookie-不使用“Cookie”的Cookie缓存技术-稻子网

我们怎样才能阻止它?

我强烈建议你做的一种方法是,任何时候你想更安全地浏览网页,请打开一个隐私浏览窗口,只使用 https 连接。这样可以单方面消除shape(最新的https 方法)攻击的影响,禁止任何可能发生的跟踪,也消除了我在这个页面展示的缓存跟踪问题的影响,我会使用隐私浏览模式当我在网上购物时。下(我要IE应该是)快捷键是Ctrl+Shift+P,下面是Ctrl+Shift+N。

此外,它还取决于您的偏执程度。

由于实际上无法检测到缓存跟踪,因此我目前没有一个非常直观的解决方案,因为缓存本身非常有用(包括对您而言)并且可以节省时间和金钱。站长会消耗更少的带宽(你可以想象最终用户最终会为更多的带宽支付这笔费用),你的网页加载速度会更快,尤其是在移动设备上,如果你不处理无限流量会更明显如果你住在高延迟和低带宽的农村地区,情况更糟。

如果您非常怀疑,最好禁用所有缓存。这将防止发生任何跟踪,但我个人认为收益大于损失。

插件Self-可以在您一段时间不使用浏览器后清除您的缓存。在不禁用缓存的情况下,这可能是一个不错的选择;你只会在你访问的时候被跟踪服务器cookie,但是他们很早就已经通过查看哪个IP访问了哪个页面来做到这一点,所以这种方法非常划算。如果所有其他跟踪方法也已被阻止,则任何未来的访问似乎都来自其他用户。

我不知道有什么插件可以定期(例如每 72 小时一次)删除缓存,但可能有。对于 99% 的用户来说,这将是一个好主意,因为它限制了跟踪功能,同时对性能的影响较小。

© 版权声明
THE END
喜欢就支持一下吧
点赞0 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码图片