注：在隱私模式下瀏覽網(wǎng)頁真的能保護好隱私嗎？一位軟件參謀從安全機制中找到漏洞創(chuàng)造了HSTS Super Cookies，除非用戶提前采取預防措施，否則就算打開了隱私模式，這些超級cookies也會殘留在瀏覽器里，網(wǎng)站就能追蹤用戶的流動。

多年來，Chrome、Firefox以及其他幾乎所有瀏覽器都提供不保留或不能查詢網(wǎng)站cookies、瀏覽歷史和臨時文件的隱私模式，注重隱私的人以此掩蓋身份，避免網(wǎng)站追蹤以前的操縱�，F(xiàn)在有一個軟件參謀發(fā)現(xiàn)了一個簡樸的方法，假如用戶不太小心，網(wǎng)站就可以繞過這些保護隱私的措施。

諷刺的是，這個能讓網(wǎng)站追蹤用戶的匿名瀏覽記實的空子實際上是一種重要的新安全機制，被稱為HTTP Strict Transport Security（HSTS），網(wǎng)站用它來確保終端用戶只有在使用安全的HTTPS連接時才能與服務器連接。在瀏覽器向服務器發(fā)送哀求時，每接收一個標題就添加一個標志，這樣HSTS就能確保接下來與網(wǎng)站的連接都經(jīng)由一種廣泛使用的HTTPS協(xié)議的加密。因為之后的所有連接都要被加密，HSTS能保護用戶不受降級攻擊，也就是黑客將已加密的連接再轉換回純文本HTTP。

Sam Greenhalgh是RadicalResearch的技術與軟件參謀，他找出了一種方法能把這種安全機制變成潛伏的隱私漏洞。這個觀點的證據(jù)就是HSTS Super Cookies。它們和其他的cookies一樣假如用戶正常模式下瀏覽了他的網(wǎng)站，之后這些用戶再以隱私模式瀏覽這個網(wǎng)站他也能知道他們在干什么，而讓它們變得神通泛博的原因有兩個。第一點是一旦被設定好在特定的瀏覽器或平臺上運行，即使用戶設置了匿名瀏覽，它們也是可見的。第二點是網(wǎng)站可以以不同的域名讀取這些cookies，不僅僅是一開始設定標識符的那個。結果就是：除非用戶提前采取預防措施，否則就算打開了隱私模式，這些超級cookies也會殘留在瀏覽器里，網(wǎng)站就能追蹤用戶的流動。

為避免cookies殘留，F(xiàn)irefox最新的34.0.5版本已經(jīng)不答應HSTS Super Cookies在常規(guī)模式下運行了。Greenhalgh說這個修補是暫時的，并提供了他在Windows中Firefox 33版本上的概念證實的截圖。在Windows中的Chrome和Firefox 34.0.5以及iPad上的Chrome和Safari都還運行瀏覽器獲取cookies，但IE不會，由于IE現(xiàn)在的版本不支持HSTS。

對任何一個網(wǎng)址來說，HSTS只能從“開”和“關”中二者選其一。為了繞過這個限制，Greenhalgh將32個網(wǎng)址串在一起，將每個網(wǎng)站的“開”和“關”以二進制表示，結果能標識超過20億個瀏覽器。為了讓網(wǎng)站使用起來更輕易，他把十進制改為了36進制，169ze7表示71009647，Im8nsf表示1307145327。當然，不那么謹嚴的網(wǎng)站用不那么顯著的方法同樣可以追蹤到用戶。