自稱為駭客的澳洲工程師Nik Cubrilovic本周揭露,Facebook在使用者電腦上所植入的cookie即使在用戶登出後還能追蹤使用者行為,Facebook在此一消息曝光後,快速刪除了相關的cookie,但仍堅稱沒有追蹤使用者,並說此一事件稱不上是安全或隱私漏洞。
Cubrilovic周二(9/27)進一步分析了Facebook在各階段於使用者電腦上所留下的cookie,並指出Facebook已刪除其中兩個可用來辨識使用者身份的cookie─a_user及a_xs。Facebook原本會保留這兩個cookie,一直到使用者重新啟動瀏覽器,但現在Facebook已採取行動在使用者登出後就刪除a_user與a_xs。
自稱是Facebook登入系統工程師的Gregg Stefancik曾在Cubrilovic的部落格上留言,表示Facebook沒有廣告網路也不銷售使用者資訊,因此對追蹤用戶沒有興趣;並強調Facebook的cookie並不是用來追蹤用戶,而是用來提供客製化的內容、改善服務與效能,以及保障使用者的安全。
Stefancik說明,使用者登出後還存在的cookie主要是安全考量,包括用來辨識與杜絕垃圾蟲或網釣駭客,或是有使用者嘗試以不同的生日註冊時關閉註冊系統,也能用來協助使用者回復被駭的帳號等。Stefancik還澄清,Facebook從來沒有利用cookie來推薦友人。
英國科技媒體The Register則取得了Facebook的官方聲明,Facebook表示,這稱不上是安全或隱私漏洞,該站並未儲存或使用任何不該擁有的資訊,只是用cookie來提供個人化的內容與安全服務,在Cubrilovic提供了進一步的資訊後,Facebook快速修補這些cookie,在使用者登出後,這些cookie將不會再包含識別資訊。
Facebook與Cubrilovic所持的似乎是兩個觀點,即使Facebook強調不曾利用這些cookie來追蹤使用者,但在使用者登出後Facebook的確曾保留了可識別使用身份的資訊。
Cubrilovic認為,雖然Facebook已儘量解決了使用者登出的問題,惟Facebook仍以安全性為由保留登出後追蹤瀏覽器的能力,還以效能為由持續紀錄頁面請求,他仍然建議使用者清除所有cookie或採用與執行Fcecbook不同的瀏覽器來瀏覽其他的網頁。(編譯/陳曉莉)
熱門新聞
2026-01-12
2026-01-12
2026-01-12
2026-01-16
