'超级曲奇'即使在隐私浏览模式下也可以追踪您，研究人员说

如果网站喜欢做一件事，那就是跟踪他们的用户。现在，看起来有些浏览器甚至可以在私密或隐身模式下进行跟踪。总部位于英国的RadicalResearch公司的Sam Greenhalgh最近发表了一篇名为“HSTS Super Cookies”的概念验证文章。 Greenhalgh展示了一个狡猾的网站仍然可以在线追踪用户，即使他们已经启用了隐私隐藏设置。

漏洞利用的关键是使用HTTP严格传输安全性（HSTS）来实现它不打算用于的目的。 HSTS是一种现代化的网络功能，它允许网站告诉浏览器它只能通过加密连接连接到网站。

比如说，John在启用HSTS的情况下将SecureSite.com键入他的浏览器。然后，SecureSite的服务器可以回复John的浏览器，它只应通过HTTPS连接到SecureSite。从这一点开始，从John的浏览器到SecureSite的所有连接将默认使用HTTPS。

[更多阅读：如何从Windows PC删除恶意软件]

根据Greenhalgh的说法，问题在于HSTS可以正常工作您的浏览器必须存储有关通过HTTPS连接到哪些网站的数据。但是这些数据可以被操纵来指定特定的浏览器。而且，由于HSTS是大多数浏览器维护它的安全功能，无论您处于隐私模式还是正常模式，这意味着在您的浏览器被指纹识别后，即使您的浏览器处于隐身模式，也可以对其进行跟踪。

即使在隐藏隐身模式下，HSTS Super Cookies仍然可以追踪浏览器。

私密浏览或隐身模式（有时称为“色情模式”）时，一旦私密浏览会话结束，浏览器将不会存储数据，如Cookie和浏览记录 - 不要被超级曲奇欺骗。

故事背后的故事： 虽然Greenhalgh的博客文章正在引起关注，但人们一直在谈论HSTS的隐私和安全权衡问题。创建Chrome所基于的开源浏览器的Chromium团队早在2011年就讨论了这个问题。2012年，安全公司Leviathan发布了一篇博文，提出了类似的担忧，Robert“RSnake”Hansen在他的博客中提出了这个问题ha.ckers.org。

保护你自己

虽然这个问题已经有一段时间了，但是现在还不清楚是否有任何网站实际上在利用这个弱点来跟踪用户。无论如何，您可以通过在进入隐身模式之前清除Cookie来保护自己。 Chrome会在您删除Cookie时自动刷新HSTS数据库。 Firefox做了类似的事情，但是Greenhalgh说Firefox的最新版本通过阻止HSTS设置进入隐私浏览模式来解决这个问题。然而，Safari是一个更大的问题，因为显然没有明显的方法来删除HSTS Greenhalgh说，苹果设备上的数据库像iPad或iPhone一样。 HSTS标志也与iCloud同步，使得在使用苹果硬件时HSTS超级Cookie跟踪更加持久（至少在理论上）。

如果您首次以非私人模式访问站点，HSTS超级Cookie仅显示工作。任何第一次以私人模式访问网站的人都不会在他们的常规浏览中携带HSTS超级cookie。

对于Internet Explorer用户，好消息是您完全不受此类跟踪的保护！现在有个坏消息：这是因为IE根本不支持HSTS。

[通过Ars Technica]