一种新概念的指纹

https://github.com/RobinLinus/socialmedia-leak
在线演示 https://robinlinus.github.io/socialmedia-leak/
利用了网站登录入口的回调参数
除去完全禁用 javascript 外几乎无法从浏览器这里避免这种攻击

利用 Container Tab 隔离登录的网站到不同的分类下可以在某种程度上减少泄露的信息
https://www.firefox.net.cn/read-53424
但使用上肯定会稍显不便

Container Tab 也只能隔离部分数据，如果真采用这种指纹跟踪技术，那的确是挺可怕的。

图片：BaiduShurufa_2016-10-13_21-35-50.jpg

全部被屏蔽了

文科：全部被屏蔽了回到原帖

https://news.ycombinator.com/item?id=12695817

我又细细捋了一遍逻辑
这应该还是第三方 cookie 的锅
我有用 cookie monster
看来 cookie monster 的实现有点问题

aaaa007cn：https://news.ycombinator.com/item?id=12695817

我又细细捋了一遍逻辑
这应该还是第三方 cookie 的锅
我有用 cookie monster
看来 cookie monster 的实现有点问...回到原帖

cookie monster怎么了？

被泄露登陆的社交网站……会造成什么问题呢？
更精确的clickjacking？

文科：全部被屏蔽了回到原帖

你这个说明不了什么问题。如果有那些网站的账号的话，保持它们登录状态才能看到是否有泄漏。而且socialmedia-那条规则完全不能应对用这种技术的网站，只能针对这个demo站点

白左：被泄露登陆的社交网站……会造成什么问题呢？
更精确的clickjacking？回到原帖

泄漏个人兴趣和行为啊。比如你登录了github那十有八九是个程序员，登录了airbnb说明要么你准备去旅行要么是房东

所以我的umatrix默认不允许来自第三方站点的图片和cookie，网站用完就点退出而不是直接关标签。

文科：cookie monster怎么了？回到原帖

如果设置许可某个域名设置 cookie
cookie monster 对于来自此域名的第三方 cookie 同样许可
即使 firefox 里设置禁用第三方 cookie

这个演示实际上还是利用了第三方 cookie
虽然原本设计上访问的网站是不能读取第三方 cookie 的
参见
https://www.firefox.net.cn/read-53562
但是这个演示利用了登录页面的漏洞
导致客户端非预期地泄漏了本不应泄漏的信息

白左：被泄露登陆的社交网站……会造成什么问题呢？
更精确的clickjacking？回到原帖

虽然原文写的是 socialmedia-leak
但这种方式可以应用到任意登录页面设计上存在 *缺陷* 的网站

另外我觉得这不应该叫指纹
应该叫做泄漏个人隐私给第三方
虽然作者这么起名就是了

配合其他用于跟踪的超级指纹
可以更好的描绘出你这个个体的特征、兴趣、爱好
可用于定向广告、定向 MITM、钓鱼、社工、执法等

taoww：所以我的umatrix默认不允许来自第三方站点的图片和cookie，网站用完就点退出而不是直接关标签。回到原帖

便利安全难两全

aaaa007cn：如果设置许可某个域名设置 cookie
cookie monster 对于来自此域名的第三方 cookie 同样许可
即使 firefox 里设置禁用第三方 cookie

这个演示实际上还是利用了第三方 cookie
虽然原本设计上访问的...回到原帖

设置里的第三方cookie只管在本机设置又不管送出，因为本来发送请求时就应当带上已有的cookie
其实第三方网站可以在一定程度上处理这个问题，比如对这类请求检查一下referer

taoww：设置里的第三方cookie只管在本机设置又不管送出，因为本来发送请求时就应当带上已有的cookie
其实第三方网站可以在一定程度上处理这个问题，比如对这类请求检查一下referer回到原帖

开 F12 看请求
第三方 cookie 设 always 或者 from visited 会带 cookie 出站
设 never 就完全剥除 cookie