Web秘密入侵浏览器状态的研究.docxVIP

??

?

??

Web秘密入侵浏览器状态的研究

?

?

?

?

?

??

?

?

?

何旭

（达州职业技术学院，四川达州635001）

摘要：通过检查浏览器缓存包括的范围与已访问超链接的颜色，客户端浏览器的状态能够用来跟踪用户的行为。本文分析了网站跟踪用户的浏览器状态被合理地分段，交叉区域网站使用Web属性返回网站的用户信息，所有浏览器状态协同秘密入侵的不可避免性，其状态影响浏览器的行为，同时也分析了网站访问浏览器的历史数据库的弊端。提出一种相同区域源策略用于缓存行为探听访问者的设想，显示使用共享稳定的标识符作越过缓存区域边界的检查，完善使用相同区域源策略扩展机制的解决方案。

关键词：事务跟踪；缓存检查；相同区域源；协同欺骗

TP393.092：A

0引言

隐藏来自恶意入侵者的状态信息对于安全和隐私来讲是相当重要的。Web浏览器使用相同区域源原理阻止来自不同区域网络网站与其它网站的交互，并且该原理使cookies与Java脚本成为可能，大量值得信任的网站使浏览器不妨碍与其它网站的交互。应用了相同区域源原理而去改写稳定持久的浏览器状态可能会失败的，同时浏览器状态也是最令人担忧的Web隐私泄漏的源泉。

Web缓存具有提高浏览速度与减少传输时间以增强性能；然而，由于缓存持久保存本地计算机的信息，同时也不隐藏来自其它网站的信息，这样就成为Web隐私入侵的诱惑目标。Weh的另一个特征访问链接区分与Web隐私具有相似的风险。用户递归链接，网站可以质询浏览器的历史数据库，通过浏览器访问网页也就能够插入新信息到该数据库。使用交叉网站链接的重定向能够用于传输参与网站相同区域的状态，也允许它们唯一地标识访问者，同时构造其交互区域的形为特征。

IE等浏览器提供支持第三方cookie阻止能力，可以使用交叉网页嵌入内容设置限制跟踪。尽管各种浏览器在阻止策略上有区别，但是都不能完全阻止第三方cookie。然而，即使一个完整的相同区域策略和第三方阻止策略正确地强迫cookie与所有其它Web特征，这些策略不可能停止使用相互共享信息网站的方法，除非用户愿意使浏览器所有包括长期状态的特征为非可用状态，或者经常重置这些状态，并非浏览器能够提供保证阻止相互协作的入侵。

1跟踪类型

相同区域原理在Web浏览器中作为一种通用的处理Java脚本与cookie的方法。然而，该原理并没有通用于Web网站使其能够从用户计算机中存贮与恢复信息。通用相同区域原理用于附加隐私机制使用户控制其跟踪。只要Web泄漏一些其浏览器的状态信息到外部，该信息对于用户跟踪来讲都是相当重要的。用户的Web行为可以从多个方面被跟踪，有从单网站的单事务跟踪到交叉网站的多事务跟踪。

1.1单事务跟踪

单事务跟踪是Web浏览器运行的必然结果。例如，网站可以在URL中嵌入询问参数以识别用户所点击的网站，同时跟踪它们作为其跟踪的链接到其它协同操作的网站。

1.2多事务跟踪

多事务跟踪允许单网站去识别一个访问者从头到尾的多个访问链接，这是大多数用户可以接受的跟踪范围。然而，对于浏览器允许该类型的跟踪而没有同样允许协同网站的跟踪是不可能的。

1.3协同跟踪

协同跟踪允许多个协同网站建立所有访问过的网站活动的历史记录，甚至用户访问的每个个别的网站。它允许用户在网站的个人信息可以与似乎不相关的不同网站的活动链接到一起。

1.4半协同跟踪

半协同跟踪允许入侵者的网站去确定关于访问者在另外的目标网站的活动信息，通过使目标网站相信嵌入指向入侵者网站的信息。半协同跟踪与相同区域原理是一致的，允许交叉网站嵌入信息而可以不允许半协同跟踪．

1.5无协同跟踪

无协同跟踪允许网站确定关于访问者在其它目标网站的活动信息，目标网站没有其它来自目标网站的任何参与。

1.6交叉网站跟踪

交叉网站跟踪如图1所示，外部的矩形表示包括具有嵌入信息网页的网站，内部的矩形表示嵌入信息的网站。

用户[来自wwW.lW5]可能想关闭所有Weh性能特征，只允许单事务跟踪，但是浏览器的缺省配置允许所有这些跟踪类型。一般地讲，网站不可能可靠地跟踪用户刚好使用过的IP地址与用户代理。移动计算用户可能频繁改变IP地址，当用户建立NAT防火墙时共享一个单IP地址。这样，只使用该信息，就不可能确定用户的交叉访问，存贮唯一的标识符在浏览器的状态数据库中，并读取访问序列的跟踪用户的方法而可能无法获得任何个人信息。

2缓存跟踪

Web浏览器可以请求访问已缓存在客户端浏览器的文件，以便加快下载。由于网站能够嵌入交叉区域的内容，没有相同区域策略去限制缓存形为，该特征可以造成大量跟踪机会。

2.1缓存定时

通过测量加载缓存文件的时间，可能确定来自一个非协同网站的内容是图像还是页面，并且该网页就已经在浏览器的缓存巾。使用Java或Java脚本，网站能