據(jù)外媒SlashGear報(bào)道，近日隱私問題讓Facebook處于風(fēng)口浪尖。然而，有時(shí)候，這可能不完全是Facebook的錯(cuò)。最近的一篇報(bào)道指出，固有漏洞允許惡意的第三方網(wǎng)站收集Facebook信息，如用戶的個(gè)人資料圖片和名字等。諷刺的是，這個(gè)漏洞來自于2016年推出的一個(gè)標(biāo)準(zhǔn)Web功能。

這就是所謂的旁路攻擊（Side Channel Attacks），因?yàn)樗皇怯绍浖旧淼娜毕菰斐傻模怯伤\(yùn)行的系統(tǒng)造成的。在這個(gè)案例中，該漏洞歸因于2016年CSS層疊樣式表(Cascading Style Sheets)標(biāo)準(zhǔn)中引入的一項(xiàng)新功能。該功能稱為“mix-blend-mode”混合模式，通過iframe將Facebook頁面嵌入到第三方網(wǎng)站時(shí)候，可以泄露可視內(nèi)容（從技術(shù)角度來說就是像素）。

通常情況下，這不應(yīng)該是因?yàn)榫W(wǎng)頁瀏覽器實(shí)施的同源策略。當(dāng)然，如果是這樣的話，那么這個(gè)漏洞首先就不存在了。該漏洞不會(huì)直接從Facebook配置文件中提取圖像或文本。相反，它分析每個(gè)像素，并在文本情況下使用光學(xué)字符識(shí)別來提取有意義的單詞，如姓名或帖子。這可能看起來像很多工作，但實(shí)際上只需要20秒鐘就能完成。

據(jù)Ars Technica報(bào)道，安全研究人員DarioWei?er和Ruslan Habalov披露了Google和Firefox的漏洞，Google已經(jīng)修復(fù)了瀏覽器以阻止未來的嘗試。但是，盡管如此，2016年至2017年年末仍有許多人不受保護(hù)。研究人員報(bào)告稱，由于原因尚不清楚，蘋果的Safari瀏覽器、微軟Internet Explorer和Edge瀏覽器也未受影響，因?yàn)樗鼈兩踔翛]有實(shí)現(xiàn)標(biāo)準(zhǔn)“mix-blend-mode”模式功能。