Hacker News 中文摘要

RSS订阅

我们发现一个稳定的Firefox标识符可关联所有Tor匿名身份 -- We found a stable Firefox identifier linking all your private Tor identities

文章摘要

研究发现Firefox浏览器存在隐私漏洞,通过IndexedDB数据库条目排序可生成唯一标识符。该标识符在浏览器进程生命周期内稳定存在,导致不同网站可跨域追踪用户活动,甚至在隐私浏览模式和Tor浏览器的"新身份"功能中依然有效。

文章总结

标题:研究发现Firefox存在可追踪Tor匿名身份的稳定标识符漏洞

来源:https://fingerprint.com/blog/firefox-tor-indexeddb-privacy-vulnerability/ 发布时间:2026年4月22日

研究人员发现所有基于Firefox的浏览器存在隐私漏洞。该漏洞允许网站通过IndexedDB返回的条目顺序生成一个独特、确定且稳定的进程生命周期标识符,即使用户处于期望更强隔离性的隐私浏览模式中。

这一漏洞意味着: 1. 网站可通过创建IndexedDB数据库并检查返回顺序,将其作为浏览器进程的指纹 2. 该标识符具有跨源追踪能力,不同网站可识别同一浏览器进程 3. 在Firefox隐私浏览模式下,只要进程未关闭,标识符就会持续存在 4. Tor浏览器的"新身份"功能也无法重置该标识符,严重破坏了用户期待的隔离性

技术细节: - 漏洞源于Gecko引擎中IndexedDB的实现方式 - 在隐私模式下,数据库名称被映射为UUID并存储在全局哈希表中 - 返回结果顺序由哈希表内部结构决定,而非按创建时间排序 - 该顺序在同一进程的所有源中保持一致

隐私影响: 1. 跨源追踪:不同网站可识别同一浏览器实例 2. 同源追踪:隐私窗口关闭后仍可识别用户 3. Tor浏览器中,该漏洞直接破坏了"新身份"功能的核心隐私承诺

解决方案: Mozilla已在Firefox 150和ESR 140.10.0中修复该漏洞,主要措施是对IndexedDB返回结果进行字典排序,消除内部排序带来的熵值。

启示: 该案例表明,隐私漏洞可能来自看似无害的API实现细节。对于注重隐私的浏览器开发而言,需要特别注意避免泄露进程级别的稳定状态信息。

注:已删除部分技术实现细节和重复说明,保留了核心漏洞描述、影响范围和解决方案。

评论总结

总结评论内容如下:

  1. 关于Tor浏览器的漏洞修复时间

    • 有用户质疑Tor项目未明确说明修复漏洞的时间表
    • 引用:"did that section leave out when the Tor Project planned to respond"
    • 引用:"is there a large lag?"
  2. 对研究公司的动机质疑

    • 用户好奇为何指纹识别公司会主动报告漏洞
    • 引用:"why would this company report this vulnerability...if their product is fingeprinting?"
    • 引用:"Isn't it better for the business...to keep the vulnerability private"
  3. 技术解决方案讨论

    • Qubes OS用户指出其系统不受影响
    • 引用:"Qubes OS and Qubes-Whonix are not affected"
    • 禁用JavaScript可避免漏洞
    • 引用:"if you block execution of JavaScript, you won't be affected"
  4. 漏洞危害性评估

    • 有观点认为漏洞重启后失效,降低了危害性
    • 引用:"it doesn't persist past browser restart...reduce the usefulness to attackers"
    • 建议改用Links2浏览器等替代方案
    • 引用:"best for Tor would just be Links2...disabling cookies altogether"
  5. 浏览器隐私设计批评

    • 批评网站无需许可获取用户信息
    • 引用:"why don't browsers make it like phones where...has to be granted permission"
    • 认为Web标准过度扩展助长指纹识别
    • 引用:"most of Web Standards are used mostly for fingerprinting"
    • 引用:"Browser should provide minimal APIs"
  6. 研究资源需求

    • 用户寻求学术界对指纹识别的研究
    • 引用:"does anyone know of any researchers in the academic world focusing on this issue"
    • 指出安全与匿名的矛盾
    • 引用:"security through extensions...anonymity slips through our fingers"
  7. 文章风格评价

    • 有用户认为部分内容像AI生成
    • 引用:"This reads almost LLM-ish"

注:所有评论均未显示评分(None),因此未纳入认可度分析。不同观点保持平衡,既有技术讨论,也有对商业伦理和系统设计的批评。