我們發現了一個穩定的 Firefox 識別碼，能關聯你所有的 Tor 私密身份

背景

近期一項針對 Firefox 瀏覽器及其衍生產品（如 Tor Browser）的隱私漏洞研究引起廣泛關注。研究人員發現，透過 IndexedDB API 返回資料庫清單的特定排序，網站可以推導出一個穩定且具唯一性的程序級識別碼（Process-lifetime Identifier）。即使使用者開啟私密瀏覽模式，甚至在 Tor Browser 中使用「新身分」功能試圖重置所有連線與快取，只要瀏覽器程序未重啟，這個識別碼就能跨網站追蹤使用者的活動，徹底瓦解了隱私瀏覽器的隔離保證。

社群觀點

在 Hacker News 的討論中，社群對於此漏洞的嚴重性與修復速度反應不一。部分使用者首先關注 Tor Browser 的應對狀況，擔心這類漏洞會讓高度依賴匿名性的使用者暴露身分。不過，根據社群成員提供的資訊，Tor Project 的反應相當迅速，在漏洞揭露後隔日便隨同 Firefox ESR 的更新發布了修復版本。這顯示出 Firefox 生態系在處理安全性漏洞時，上游與下游專案之間仍維持著緊密的協作關係。

討論的另一個焦點集中在揭露此漏洞的公司背景。由於該研究來自一家專門從事瀏覽器指紋追蹤（Fingerprinting）技術的商業公司，引發了關於企業倫理與動機的激烈辯論。有網友質疑，一家靠追蹤技術獲利的公司為何會主動向 Mozilla 提交漏洞，甚至懷疑這是否為一種商業競爭手段，藉由揭露特定技術來限制競爭對手或洗白自身形象。對此，該公司的代表在討論中澄清，他們並不會在產品中使用這類安全性漏洞。然而，社群對此說法仍持保留態度，認為指紋追蹤本質上就是利用軟硬體非預期的行為來識別使用者，將其區分為「合法技術」與「漏洞利用」在道德界線上顯得相當模糊。

此外，關於防禦手段的討論也十分熱烈。有使用者提出關閉 JavaScript 是否能免疫此類攻擊，但隨即遭到反駁。資深用戶指出，在當前的網路環境下，關閉 JavaScript 反而會讓使用者的指紋特徵變得極其罕見，進而更容易在人群中被識別出來。針對 Tor Browser 未能完全偽裝作業系統平台資訊的現況，社群也表達了憂慮。至於 Qubes OS 等基於虛擬化隔離的系統使用者則相對樂觀，因為在該架構下，不同的任務會在獨立的虛擬機中執行，這種硬體層級的隔離能有效阻斷程序級識別碼的跨站追蹤。

最後，部分討論轉向了對現有瀏覽器引擎架構的省思。有意見認為，當前的瀏覽器引擎過於複雜，導致這類隱私洩漏防不勝防。社群中出現了呼籲開發全新引擎或採用更激進安全設計的聲音，認為唯有從底層重新設計，才能真正解決內部實作細節無意間洩漏狀態資訊的問題。

延伸閱讀

• Tor Project 官方發布的修復公告與版本說明：https://blog.torproject.org/new-release-tor-browser-15010/
• Mozilla Bugzilla 上的追蹤紀錄（Bug 2024220），詳細記載了該漏洞的技術細節與修復過程。