压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　根據互聯網系列標準（RFC）收錄的第6797號文件描述，HTTP強制安全傳輸協議（HSTS）指的是一種可以將用戶從不安全HTTP版本網站重定向到安全HTTPS版本網站的機制，。比如用戶在瀏覽器中訪問http：//www.google.com，瀏覽器就可以將網站重定向到https：//www.google.com。

　　問題是，有人認為如果瀏覽器在用戶每次訪問HTTPS網站的時候都必須做一次重定向，是一件很麻煩的事情。所以HSTS的作者創造了一種機制，讓瀏覽器記住用戶已訪問網站的HSTS策略。

　　安全研究人員山姆·格林哈爾希（Sam Greenhalgh）發現，這種具有安全特性的HTTPS網絡協議，可以在一些瀏覽器中變得具有跟蹤特性，并且無法根除。

　　這就是山姆·格林哈爾希識別出來的超級COOKIE。他的觀點是，HSTS探針的存在是為每個用戶訪問的HTTPS網站進行重定向的，它對于用戶和網站都是獨一無二的，并且可以由任何網站從瀏覽器設置中進行讀取。

　　一旦數字被存儲下來，那它就可以在未來被其他網站讀取。讀取該數字只需要測試相同站點地址發送的請求是否得到重定向。“私密瀏覽模式”或“隱身瀏覽模式”都無濟于事。

　　格林哈爾希指出，一些瀏覽器允許HSTS標志被清除，所以在一定程度上，Chrome、Firefox和Opera的問題就可以得到一定程度的減輕（當然IE壓根就不支持HSTS）。

　　然而，Safari瀏覽器就完蛋了。當在蘋果設備上使用Safari，要通過用戶來清除HSTS標志根本沒門。不權無法清除，HSTS標志甚至還被iCloud服務同步到云端，就算蘋果設備上的數據被清除，也可以通過iCloud進行恢復。蘋果這時候反而體現出了它高效的跟蹤特性，讓人根本沒辦法刪除。

　　格林哈爾希還指出，早在2012年米哈伊爾·大衛多夫（Mikhail Davidov）就曾描述過，稱其對于惡意站點擁有者來說要利用這個漏洞“幾乎信手拈來”。

　　谷歌也曾告訴格林哈爾希，在Web工作原理如果沒有根本性轉變的情況下，要打敗所謂的指紋識別是不切實際的。而IE完全不支持HSTS也讓人匪夷所思。當然，這或許只是谷歌自己的看法。畢竟谷歌是HSTS的投資人之一，況且亞當·巴斯（Adam Barth，谷歌軟件工程師）還是6797號文件三位寫作者中的作者之一。