GN⁺ 5달전 | parent | ★ favorite | on: 브라우저 파비콘을 이용한 지문 추적 기술 ‘Supercookie’(github.com/jonasstrehle)
Hacker News 의견
  • 예전부터 이런 문제가 있었던 것 같음. Safari에서 특정 사이트의 파비콘이 잘못 표시되는 경우가 자주 있음
    예를 들어 Reddit에서 Ars Technica의 파비콘이 뜨는 식임
    • 내 경우엔 Hacker News 아이콘이 날씨 사이트 아이콘으로 고정되어 있음
      iOS 업데이트 이후에도 그대로고, 프로필이나 시크릿 모드에서도 계속 유지됨
    • Safari의 파비콘 캐시가 너무 오래 유지됨
      강제로 새로 고치려면 시스템 시계를 몇 년 뒤로 돌려야 함
    • 나만 그런 줄 알았는데, UI 캐시가 손상된 것 같음
      MacBook에서 몇 년째 이러길래 그냥 포기했음
    • 모바일 Chrome에서도 HN 파비콘이 잘못 표시됨
    • Firefox에서도 가끔 같은 버그가 발생함
  • Brave가 이 문제를 패치했다니 반가움
  • 예전 논의(2021년)도 있었음 — 관련 댓글 스레드
  • 라이브 데모가 뭘 해야 하는지 모르겠음
    iOS Safari에서 1부터 18까지 카운터가 돌다가 다시 리다이렉트되는 무한 루프에 빠짐
    • 우리가 논문 작업 중에 이 문제를 보고했고, 그 후 수정되었음
    • Android/Firefox에서는 처음 18회 후 내 고유 ID가 표시되었고, 다시 시도 버튼을 누르면 같은 루프에 빠졌음
  • 제목에 (2023)을 추가해야 할 듯함
    • 사실 (2021)이 맞을지도 모르겠음. 이렇게 오래됐는데 아직 수정이 안 된 건가 궁금함
  • macOS Safari가 새 탭 페이지를 열 때마다 파비콘을 자주 불러오는 현상이 있음
    이건 원치 않는 동작이라 즐겨찾기를 지우거나 HTML로 저장해둘까 고민 중임
    주로 프라이빗 윈도우를 쓰는데, Little Snitch 덕분에 이걸 발견했음
  • 관련 토론으로 "Tales of Favicons and Caches: Persistent Tracking in Modern Browsers" (2021년 1월, 53개 댓글)이 있음
  • 나는 비영속 VM 기반 브라우저 환경을 씀
    qemu + cage + firefox 조합으로, 종료 시 이미지가 삭제됨
    속도는 느리지만 보안상 안심됨. 컨테이너화도 가능하지만 브라우저가 호스트 커널에 접근하는 게 불안함
    eBPF 정책으로 제어하려는 것도 복잡해서 그냥 VM으로 격리함
    • 나도 비슷한 시도를 했는데, VM 환경에서는 캡차가 자주 뜸
      예를 들어 SwiftShader 렌더러나 폰트 부재 같은 특징이 탐지됨
      이런 걸 속이려 해도 캔버스 노이즈 조작 같은 건 금방 들킴. 혹시 해결책이 있으면 공유해줬으면 함
    • 흥미로운 접근임. 혹시 이 내용을 문서화한 자료가 있는지 궁금함
  • 나도 1/18부터 18/18까지 카운터만 돌고 새로고침되는 걸 봤음
    20초 정도 허비한 기분임
  • 공격 메커니즘이 GitHub 저장소에 구체적으로 설명돼 있지 않고, 논문 링크도 깨져 있어서 아쉬움