nevan 你以为开了无痕模式就安全了?这个 Supercookie 项目把我看沉默了
你以为开了无痕模式就安全了?这个 Supercookie 项目把我看沉默了
兄弟们,今天这个开源项目有点吓人。
不是那种“黑客电影式”的吓人,也不是一上来就什么木马、远控、漏洞利用。它吓人的地方在于:你以为自己已经把隐私保护做得挺到位了,结果人家根本不走你以为的那条路。
无痕模式?
清 Cookie?
关缓存?
开 VPN?
装广告拦截器?
你以为这一套下来,浏览器就认不出你了。
结果一个德国学生写了个项目,叫 Supercookie,直接给你上一课:浏览器隐私这事,远比普通人想的脆弱。
项目地址在这:
https://github.com/jonasstrehle/supercookie/
我第一次看到它的时候,反应是:这不就是个 favicon 吗?网页标签页左上角那个小图标,平时谁会在意这玩意儿?
结果偏偏就是这个小图标,被玩出了骚操作。
Supercookie 的核心思路,说白了就是利用浏览器对 favicon 的缓存机制,给访问者悄悄打一个类似“永久ID”的标记。这个 ID 不依赖传统 Cookie,所以你清 Cookie 没用;它也不是靠 IP,所以你开 VPN 也不一定解决;甚至无痕模式、广告拦截器,也未必能拦住。
这就很恶心了。
因为普通人对“隐私防护”的理解,基本都停留在 Cookie 这一层。网站追踪我?那我清 Cookie。怕被识别?那我开无痕。怕 IP 暴露?那我挂 VPN。
但 Supercookie 告诉你:
追踪不一定非得用你熟悉的方式。
浏览器里很多不起眼的机制,只要设计时没把隐私边界想清楚,都可能被拿来做指纹识别。favicon 缓存只是其中一个例子。
这个项目最离谱的地方,不是它技术有多复杂,而是它太简单了。作者说两天写完,还直接开源。你想想,一个学生用两天时间,就能做出一个跨浏览器追踪方案,Chrome、Safari、Firefox、Edge 都能跑,这说明什么?
说明问题不是某个网站坏,而是浏览器生态里确实存在很多灰色缝隙。
当然,我得把话说清楚:这个项目不能拿来干坏事。
你要是把它当成偷偷追踪用户、绕过隐私设置的工具,那就是妥妥的伦理和合规问题。尤其现在隐私监管越来越严,GDPR、个人信息保护法这些都不是摆设。你真拿这玩意儿做商业追踪,被查到不是“技术研究”四个字能糊弄过去的。
但作为隐私安全研究,它非常值得看。
因为它把一个长期被忽视的问题摊开了:浏览器里的“非Cookie追踪”到底有多难防。
很多人觉得隐私泄露是因为自己乱下载软件、乱点链接。那当然是风险。但更高级一点的追踪,不一定需要你下载任何东西,也不需要你授权任何权限。你只是正常打开网页,浏览器按照自己的规则缓存了某些资源,然后这个缓存就可能变成识别你的线索。
这事儿细思极恐。
无痕模式为什么也不一定安全?
因为无痕模式主要是防止本地留下浏览记录、Cookie 等常规数据。它不是万能隐身衣,更不是匿名访问保证书。你在网络上的行为,依然可能被服务器、浏览器特性、设备指纹、时间特征、资源缓存等方式关联起来。
VPN 为什么也不一定有用?
因为 VPN 主要改变的是网络出口地址,不是改变你的浏览器行为特征。你换了 IP,但浏览器本身的某些缓存和特征还在,网站依然可能从其他维度认出你。
广告拦截器为什么拦不住?
因为这类追踪不一定走传统广告脚本,也不一定表现得像常见 tracker。它可能藏在非常基础的资源请求里,比如 favicon。你总不能把所有网站图标都一刀切掉吧?切掉了,浏览体验又崩了。
所以 Supercookie 真正让人不舒服的点在于:
它不是“你做错了什么才被追踪”,而是“你正常使用浏览器,也可能被追踪”。
这才是隐私问题最麻烦的地方。
不过也别一看这个项目就觉得世界末日了。开源出来反而是好事。安全领域很多问题,最怕的是没人讲、没人测、没人修。现在有人把问题明晃晃地摆出来,浏览器厂商、隐私研究者、插件开发者才有机会去补洞。
就像很多漏洞一样,公开并不等于鼓励滥用。公开是为了让大家知道:这地方不安全,该修。
如果你是普通用户,我的建议很简单:
第一,别迷信无痕模式。
它只能减少本地痕迹,不等于匿名上网。
第二,别以为清 Cookie 就万事大吉。
现在追踪方式早就不止 Cookie 一种了。
第三,重要场景尽量用隔离环境。
比如不同用途用不同浏览器,工作、娱乐、敏感操作分开。别所有事情都塞在一个浏览器里。
第四,浏览器和插件及时更新。
很多隐私问题,后续都可能通过浏览器更新缓解。你一直用旧版本,就是自己给自己留坑。
第五,少用来路不明的网站和脚本。
别以为只是打开看看没事,很多追踪就是从“看看”开始的。
如果你是开发者,那更应该看看这个项目。不是学它怎么追踪别人,而是反过来理解:用户隐私到底能被哪些机制影响?你在做产品的时候,哪些看似无害的技术实现,可能踩到隐私红线?
这几年大家都在喊 AI、Agent、自动化,讲效率讲增长。但隐私这根弦不能松。技术越强,越需要边界。否则你今天觉得“这只是个小追踪”,明天就可能变成用户完全不可感知、不可控制的监控系统。
Supercookie 这个项目最有价值的地方,不是告诉你“怎么隐身失败”,而是提醒我们:浏览器不是天然安全屋,互联网也从来不是匿名广场。
隐私这玩意儿,真不是开个无痕、清个缓存就能保住的。
