根據(jù)互聯(lián)網(wǎng)系列標(biāo)準(zhǔn)(RFC)收錄的第6797號文件描述，HTTP強(qiáng)制安全傳輸協(xié)議(HSTS)指的是一種可以將用戶從不安全HTTP版本網(wǎng)站重定向到安全HTTPS版本網(wǎng)站的機(jī)制,。比如用戶在瀏覽器中訪問http://www.google.com，瀏覽器就可以將網(wǎng)站重定向到https://www.google.com。

[[125964]]

問題是，有人認(rèn)為如果瀏覽器在用戶每次訪問HTTPS網(wǎng)站的時候都必須做一次重定向，是一件很麻煩的事情。所以HSTS的作者創(chuàng)造了一種機(jī)制，讓瀏覽器記住用戶已訪問網(wǎng)站的HSTS策略。

安全研究人員山姆·格林哈爾希(Sam Greenhalgh)發(fā)現(xiàn)，這種具有安全特性的HTTPS網(wǎng)絡(luò)協(xié)議，可以在一些瀏覽器中變得具有跟蹤特性，并且無法根除。

這就是山姆·格林哈爾希識別出來的超級COOKIE。他的觀點是，HSTS探針的存在是為每個用戶訪問的HTTPS網(wǎng)站進(jìn)行重定向的，它對于用戶和網(wǎng)站都是獨一無二的，并且可以由任何網(wǎng)站從瀏覽器設(shè)置中進(jìn)行讀取。

一旦數(shù)字被存儲下來，那它就可以在未來被其他網(wǎng)站讀取。讀取該數(shù)字只需要測試相同站點地址發(fā)送的請求是否得到重定向。“私密瀏覽模式”或“隱身瀏覽模式”都無濟(jì)于事。

格林哈爾希指出，一些瀏覽器允許HSTS標(biāo)志被清除，所以在一定程度上，Chrome、Firefox和Opera的問題就可以得到一定程度的減輕(當(dāng)然IE壓根就不支持HSTS)。

然而，Safari瀏覽器就完蛋了。當(dāng)在蘋果設(shè)備上使用Safari，要通過用戶來清除HSTS標(biāo)志根本沒門。不僅無法清除，HSTS標(biāo)志甚至還被iCloud服務(wù)同步到云端，就算蘋果設(shè)備上的數(shù)據(jù)被清除，也可以通過iCloud進(jìn)行恢復(fù)。蘋果這時候反而體現(xiàn)出了它高效的跟蹤特性，讓人根本沒辦法刪除。

格林哈爾希還指出，早在2012年米哈伊爾·大衛(wèi)多夫(Mikhail Davidov)就曾描述過，稱其對于惡意站點擁有者來說要利用這個漏洞“幾乎信手拈來”。

谷歌也曾告訴格林哈爾希，在Web工作原理如果沒有根本性轉(zhuǎn)變的情況下，要打敗所謂的指紋識別是不切實際的。而IE完全不支持HSTS也讓人匪夷所思。當(dāng)然，這或許只是谷歌自己的看法。畢竟谷歌是HSTS的投資人之一，況且亞當(dāng)·巴斯(Adam Barth，谷歌軟件工程師)還是6797號文件三位寫作者中的作者之一。