跨站点隐私追踪库 Supercookie 可威胁用户隐私

    今年一月底 GitHub 出现了一个新的项目 supercookie，据作者介绍，Supercookie 使用了 favicon（即网站小图标）的一个 BUG，可以生成一个对于浏览器的唯一 ID，并且其不会根据用户网络环境而改变，甚至用户开启了隐私模式、刷新缓存、重启操作系统也无效的（原理）。

    当浏览器请求 favicon 时，会尝试从本地的 F-Cache 读取，若本地没有存储则会向服务器请求。在对网站的多次访问中通过对 favicon 请求的解析就可以构建一个唯一的 ID，因为 F-Cache 中包含了足以实现唯一性的信息。

    这对用户隐私是一个重大威胁，普通用户可能并不知道 F-Cache 的管理，一般的缓存清理方法也没有效果。这可能导致互联网对用户信息的全方位统计和追踪，任何一个网站都可能通过这种方式来追踪和收集某个用户在该网站或者跨网站的任何资料。

    目前您可以通过 https://demo.supercookie.me 进行测试，若浏览器多次生成的 ID 一致，则您的浏览器中招了。

via：https://www.v2ex.com/t/757467

简单测试了一下手机chrome88和via浏览器都有这个问题。

火狐好像没有这个问题，如果使用火狐浏览器，请勿使用国内版，使用原版：

https://www.mozilla.org/en-US/firefox/all