http://fwd4.me/0ByO 根據M6 Security 亞太銷售工程師資安總監 Jason Pearce 表示，使用者隱私是使用 supercookies 時的最大考量，因為其會在業界常見的方式外秘密的蒐集使用者的資料。 使用者對於 supercookies 與瀏覽器 cookies 會變成身份竊取的方法尚未有所意識。 Pearce 也指出，惡意的駭客常常會安裝 supercookies 到某部電腦進行身份竊取，或是 在大型的先進寄生威脅攻擊前用來偵察。公司行號也常常使用 supercookies 做為追蹤網 站是否合法使用的方式。「許多的網站行銷業者、廣告公司與可疑網站拒絕遵循業界的慣 例，但是使用者必須要被警告其中的風險，資料的濫用可能不僅僅導致品牌的受損，也可 能面臨法律的問題。」 上個月包括 MSN.com、Hulu.com 等主要網站被發現透過 supercookies 追蹤使用者的網 路行為，加州大學與史丹佛大學的研究人員表示，這樣可能在使用者刪除 Cookies 之後 再次建立使用者的個人檔案。 WatchGuard Technologies 的 CISSP 資深網路安全策略師 Corey Nachreiner 表示， Supercookies 是一種新的 cookies 用來避免在一般的瀏覽器中被刪除。一般的網頁 cookies 被存放在特定的位置，而 supercookies 則是被放置在瀏覽器的目錄之外，瀏 覽器無法清除的位置，讓使用者更難以擺脫 supercookies。 Pearce 也指出，就像大家熟知的「Flash cookies」或是「殭屍 cookies」都可以在多個 網站中追蹤使用者的活動，瀏覽器無法管制存放於不同檔案或是擴充套件的 supercookies。 另外要滿足類似于一般cookies的目的，supercookies也同樣有透過隱私控制追蹤使用者 特定網站瀏覽記錄與偏好的能力。不過這樣做法的嚴重程度取決於使用者對隱私的看法， 例如在 Amazon 購物的使用者如果沒有這個功能就無法提供個人化的購物體驗，某些使用 者也樂意透過這些cookies 讓廣告商將內容直接推送給他們。 然而 Nachreiner 表示，這個問題的症結點在于是否可以讓使用者輕易的將瀏覽器的 cookies 移除。「不論接收的 cookies 好壞，有一件事是確定的，使用者應該要有權決 定是否要將之移除，除非這項控制權在使用者手上，能夠被簡單地從電腦中移除，否則都 有做惡的可能。」 防治評估 根據 Nachreiner 表示，使用者對於使用 supercookies 的網站防治能做的有限，因為追 蹤的動作都是發生在不知不覺中，建議使用者可以在 Adobe Flash 的設定中進行變更， 或是將現有的cookies 刪除，甚至避免 Flash 儲存檔案。 M86 的 Pearce 表示，最好的資安評量就是不要在 Flash 表格中輸入任何的個人資料， cookies 能夠取得資料的唯一方法就是你在表格中填入資料。而一些如 CCLeaner 的檔案 清除工具是特別用來清除 cookies，甚至是 supercookies 可能也會有所幫助。而當 supercookies 的使用越來越多時，瀏覽器最終也將修正為具有移除 supercookies 的能 力。 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 211.20.3.180