Firefox 缓存中间证书机制泄露用户“指纹”信息

据外媒报道，Firefox 缓存中间证书运行方式存在隐患，允许攻击者查看 Firefox 用户的各种详细信息。

安全研究员 Alexander Klink 发现，如果浏览器的中间 CA 证书已缓存完成，那么即使服务器没有向其提供完整的证书链，Firefox 也可以加载网页。通常，Root 证书颁发机构不会使用 Root 证书来建立安全连接，而是用 Root 证书生成中间证书的代替。当服务器配置错误时，如果仅发送服务器证书，那么浏览器将加载失败无法获取网页信息，不过，要是 Firefox 浏览器的中间 CA 证书已缓存完成，用户仍可成功建立连接、加载信息。

攻击者可以根据浏览器缓存的中间 CA 证书来确定有关目标用户的具体细节。这些细节包括地理位置、浏览习惯、运行环境等用户“指纹”。攻击者可以将此信息出售给广告公司，或者利用它向目标用户提供特定“内容”。

Klink 在 1 月 27 日向 Mozilla 报告了这个问题，但目前还不清楚该公司将如何解决该问题。

用户可行的解决方法：
1、定期清理配置文件、创建新配置文件
2、从 Firefox UI 中或使用 certutil 命令行清除现有配置文件
3、使用插件阻止第三方

本文由 HackerNews.cc 翻译整理，封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接。