Mozilla posiluje sledování proti cross-site ve Firefoxu, protože Chrome stále zaostává na soukromí

@riptari / 5: 14 PST * Únor 24, 2021

GettyImages 1045357252

Kredity obrázků: Getty Images

Mozilla ve svém prohlížeči Firefox dále posílila opatření proti sledování. V blogu včera oznámil, že Firefox 86 má další vrstvu anti-cookie tracking zabudovanou do přísného režimu enhanced tracking protection (ETP) — který nazývá „Total Cookie Protection“ (TCP).

tento „hlavní postup ochrany osobních údajů“, jak to účtuje, zabraňuje sledování mezi stránkami tím, že umisťuje soubory cookie třetích stran na webové stránky.

Mozilla to přirovnává k tomu, že má pro každý web samostatnou nádobu na soubory cookie-například Facebook cookies nejsou uloženy ve stejné vaně jako soubory cookie pro teniskový web, kde jste si koupili nejnovější kopy, a tak dále.

nová vrstva balení soukromí „poskytuje komplexní rozdělení souborů cookie a dalších dat webu mezi weby ve Firefoxu“, vysvětluje Mozilla.

spolu s dalším anti-tracking funkce oznámila minulý měsíc-cílení takzvané „supercookies“ – aka záludné trackery, které ukládají ID uživatelů v „stále obskurní“ části prohlížeče (jako Flash storage, ETags a HSTS vlajky), tj. tam, kde je pro uživatele obtížné je odstranit nebo zablokovat-funkce se kombinují, aby „zabránily webovým stránkám“ označit váš prohlížeč, čímž se eliminuje nejpronikavější technika sledování mezi weby“, podle Mozilly.

existuje“ omezená výjimka “ pro soubory cookie mezi stránkami, pokud jsou potřebné pro účely, které nejsou sledovány-Mozilla uvádí příklad populárních poskytovatelů přihlašovacích údajů třetích stran —

“ pouze v případě, že Total Cookie Protection zjistí, že máte v úmyslu používat poskytovatele, udělí tomuto poskytovateli oprávnění používat cookie napříč stránkami speciálně pro stránky, které právě navštěvujete. Takové okamžité výjimky umožňují silnou ochranu soukromí, aniž by to ovlivnilo vaše prohlížení webu, “ dodává.

blokování trackeru je již dlouho závodem ve zbrojení proti odhodlání adtech průmyslu udržet sledování uživatelů webu – a palcem nosem při představě souhlasu špehovat online podnikání lidí-nalévání zdrojů do vymýšlení ďábelských nových technik, aby se pokusili sledovat, co uživatelé internetu dělají. Tato bitva se však v posledních letech zintenzivnila, protože tvůrci prohlížečů zaujímají tvrdší postoj pro soukromí/anti-tracker.

Mozilla například začala v roce 2018 blokovat výchozí nastavení trackeru-v roce 2019 se ETP stane výchozím ve Firefoxu a blokuje soubory cookie od společností identifikovaných jako sledovače jeho partnerem, odpojit.

zatímco prohlížeč Apple Safari přidal v roce 2017 funkci „Intelligent Tracking Prevention“ (ITP)-použití strojového učení k identifikaci sledovačů a segregaci skriptovacích dat napříč stránkami, aby chránil historii prohlížení uživatelů před očima třetích stran.

Google také umístil kočku mezi adtech holuby oznámením plánovaného postupného ukončení podpory pro soubory cookie třetích stran v prohlížeči Chrome — o kterém se říká, že přijde do dvou let zpět v lednu 2020 — i když stále pracuje na tomto projektu „Privacy sandbox“, jak to nazývá (nyní pod dohledem britských antimonopolních regulátorů).

Google vydává zvuky zvyšující soukromí od roku 2019 v reakci na zbytek trhu prohlížečů, který reaguje na obavy o soukromí online.

v dubnu loňského roku se vrátila změna, která ztěžovala webům přístup k souborům cookie třetích stran, s odvoláním na obavy, že weby byly schopny vykonávat základní funkce během pandemie-i když to bylo obnoveno v červenci — Je však spravedlivé říci, že gigant adtech zůstává zaostalým, pokud jde o provádění svého nárokovaného plánu na posílení soukromí.

vzhledem k tržnímu podílu prohlížeče Chrome je většina uživatelů webu na světě vystavena většímu sledování, než by jinak bylo pomocí jiného prohlížeče, který je aktivnější pro ochranu soukromí.

a jak ukazuje nejnovější funkce sledování proti souborům cookie Mozilly, závod, který přelstil alergii adtech na soukromí (a souhlas), také není druh, který má cílovou čáru. Takže pomalá Ochrana soukromí se pravděpodobně příliš neliší od toho, že vůbec nenabízí velkou ochranu soukromí.

To wit: Jeden znepokojující vývoj-na frontě sledování založené na souborech cookie jiných než třetích stran-je podrobně popsán v tomto novém dokumentu skupinou výzkumníků v oblasti ochrany osobních údajů, kteří provedli analýzu sledování CNAME (aka technika vyhýbání se sledování založená na DNS) a zjistili, že použití záludné metody vyhýbání se sledování se za necelé dva roky rozrostlo přibližně o pětinu.

tato technika vyvolává obavy hlavního proudu ohledně „odblokovatelného“ sledování webu od roku 2019 – když vývojáři zjistili, že je používán ve volné přírodě francouzskými novinovými webovými stránkami. Od té doby používání roste, podle výzkumu.

stručně řečeno technika sledování CNAME maskuje sledovač tím, že jej vstříkne do kontextu první strany navštívené webové stránky-prostřednictvím obsahu vloženého prostřednictvím subdomény webu, což je ve skutečnosti alias pro doménu sledovače.

“ toto schéma funguje díky delegování DNS. Nejčastěji se jedná o záznam DNS CNAME, “ píše jeden z autorů papíru, výzkumník ochrany soukromí a bezpečnosti Lukasz Olejnik v blogu o výzkumu. „Tracker je technicky umístěn v subdoméně navštíveného webu.

“ zaměstnávání takového systému má určité důsledky. Je to trochu blázen základní zabezpečení webu a ochrany soukromí-myslet si, že uživatel úmyslně prochází web trackeru. Když webový prohlížeč vidí takové schéma, uvolní se některé zabezpečení a Ochrana soukromí.“

nenechte se zmást použitím slova „uvolněný — – jak Olejnik dále zdůrazňuje, že technika sledování CNAME má „podstatné důsledky pro bezpečnost a soukromí webu“. Jako jsou prohlížeče, které jsou podvedeny, aby zacházely se sledovačem jako s legitimním obsahem první strany navštívené webové stránky (což zase odemkne „mnoho výhod“, jako je přístup k souborům cookie první strany — které pak mohou být odeslány na vzdálené servery třetích stran ovládané sledovači, takže subjekt sledování může mít svůj zlý způsob s osobními údaji).

existuje tedy riziko, že část chytré inženýrské práce prováděné na ochranu soukromí blokováním sledovačů může být odsunuta na vedlejší kolej tím, že se dostane pod radar anti-trackerů.

vědci našli jednoho (neslavného) poskytovatele sledování, Criteo, který vrátil své sledovací skripty do vlastního schématu pláště CNAME, když detekoval používaný webový prohlížeč Safari-jako pravděpodobně způsob, jak obejít ITP společnosti Apple.

existují i další obavy ohledně sledování CNAME: papír podrobně popisuje, jak v důsledku současné webové architektury schéma „odemkne cestu pro široké úniky souborů cookie“, jak říká Olejnik-vysvětluje, jak může být výsledkem nasazené techniky“ mnoho nesouvisejících legitimních souborů cookie “ odeslaných do subdomény trackeru.

Olejnik tuto obavu zdokumentoval ve studii již v roce 2014 — ale píše, že problém nyní explodoval: „jako špička ledovce jsme našli rozsáhlé úniky dat na webových stránkách 7377. K některým únikům dat dochází téměř na všech webových stránkách pomocí schématu CNAME(analytické soubory cookie běžně unikají). To naznačuje, že tento systém je aktivně nebezpečný. Je to škodlivé pro zabezpečení webu a soukromí.“

vědci zjistili, že soubory cookie unikají na 95% webových stránek studií.

také hlásí, že zjistí úniky souborů cookie nastavených jinými skripty třetích stran, což naznačuje, že uniklé soubory cookie by v těchto případech umožnily sledovači CNAME sledovat uživatele napříč webovými stránkami.

v některých případech zjistili, že uniklé informace obsahují soukromé nebo citlivé informace — například celé jméno uživatele, umístění, e-mailovou adresu a (v dalším bezpečnostním zájmu) ověřovací cookie.

příspěvek dále vyvolává řadu obav o zabezpečení webu, například když jsou sledovače CNAME podávány přes HTTP, nikoli HTTPS, což se podle nich stalo často,a mohlo by usnadnit útoky typu man-in-the-middle.

obrana proti systému maskování CNAME bude vyžadovat, aby některé hlavní prohlížeče přijaly nové triky, podle vědců-kteří si všimnou, že zatímco Firefox (celosvětový podíl na trhu cca 4%) nabízí obranu proti technice Chrome ne.

inženýři na motoru WebKit, který je základem prohlížeče Apple Safari, také pracují na vylepšení ITP zaměřených na potlačení sledování CNAME.

v loňském listopadu napsal inženýr IPT John Wilander, že jako obrana proti záludné technice „ITP nyní detekuje žádosti o maskování CNAME třetích stran a omezuje vypršení platnosti všech souborů cookie nastavených v odpovědi HTTP na 7 dní. Tento limit je zarovnán s limitem vypršení platnosti ITP u všech souborů cookie vytvořených pomocí JavaScriptu.“

prohlížeč Brave také loni na podzim oznámil změny zaměřené na boj proti maskování CNAME.

“ ve verzi 1.25.0 získal uBlock Origin schopnost detekovat a blokovat požadavky maskované CNAME pomocí úžasného prohlížeče Mozilla.dns API. Toto řešení však funguje pouze ve Firefoxu, protože Chromium neposkytuje prohlížeč.dns API. Do jisté míry mohou být tyto požadavky blokovány pomocí vlastních serverů DNS. Žádné prohlížeče však nebyly dodány s funkcemi ochrany proti blokování reklam založenými na CNAME, které jsou ve výchozím nastavení k dispozici, “ napsal.

“ V Brave 1.17, Brave Shields nyní rekurzivně zkontroluje záznamy kanonických jmen pro jakýkoli požadavek na síť, který není jinak blokován pomocí vloženého DNS resolveru. Pokud má požadavek záznam CNAME a stejný požadavek pod kanonickou doménou by byl zablokován, pak je požadavek zablokován. Toto řešení je ve výchozím nastavení zapnuté a přináší zvýšenou ochranu soukromí milionům uživatelů.“

ale prohlížeč s největším marketshare, Chrome, má práci, podle výzkumníků, kteří píší:

vzhledem k tomu, že Chrome nepodporuje API pro rozlišení DNS pro rozšíření, obrana nemohla být použita pro tento prohlížeč. V důsledku toho zjistíme, že čtyři sledovače založené na CNAME (Oracle Eloqua, Eulerian, Criteo a Keyade) jsou blokovány uBlock Origin ve Firefoxu, ale ne ve verzi Chrome.

diskutující o výsledcích výzkumu Tom Van Goethem, další z autorů papíru, uvedl, že data týmu ukazují, že weboví vydavatelé, kteří používají sledování CNAME, jej používají k doplnění dalších „typičtějších“ metod sledování třetích stran.

“ naše data ukazují, že vydavatelé, kteří používají CNAME, již mají značný počet sledovačů (v průměru 20+ na web) a zjistili, že tento počet sledovačů zůstává v průběhu času stabilní. To znamená, že sledování založené na CNAME se nepoužívá jako náhrada typického sledování třetích stran,ale spíše ke zvýšení jejich sledovacích schopností, např.

vědci se nezaměřili na to, aby přišli s příčinným vysvětlením nárůstu používání maskování CNAME. Van Goethem však uvedl, že našli některé sledovače, které jej používají pouze proti prohlížeči Safari („o kterém je známo, že zahrnuje přísnou ochranu proti sledování“)-což naznačuje (alespoň) částečné vysvětlení rostoucího používání této techniky.

na otázku, jaký druh reakce komunity by chtěli vidět v boji proti systému CNAME, řekl: „V ideálním případě by více obrany proti sledování mělo přijmout robustní opatření proti sledování založenému na CNAME, aby uživatelé byli chráněni bez ohledu na prohlížeč, který používají.“

prohlížeče musí nasadit více obrany, aby bojovaly proti různým technikám, aby účinně bránily soukromí uživatelů. Takže v případě nové funkce TCP Firefoxu Van Goethem poznamenal, že i když to neovlivňuje sledování založené na CNAME (první strana) „v podstatě“, chrání před synchronizací souborů cookie mezi weby, které používají sledování první strany.

„se sledováním založeným na CNAME může tracker sledovat aktivity uživatele na jednom konkrétním webu (včetně sledovače), ale musí synchronizovat soubory cookie s jinými weby, aby propojil sledované aktivity jednoho konkrétního uživatele na webu a s aktivitami stejného uživatele na webu B. Celková ochrana souborů Cookie by tomu zabránila,“ vysvětlil.

jiné techniky sledování založené na souborech cookie l-ike device fingerprinting and efemeral fingerprinting-lze také použít k obcházení obrany založené na prohlížeči proti sledování založenému na souborech cookie. „To znamená, že obrana musí být úplná a musí poskytovat ochranu proti všem typům sledování, aby byla zajištěna ochrana uživatelů,“ per Van Goethem.

„doufáme, že naše rozsáhlá analýza, která ukazuje, že sledování založené na CNAME je na vzestupu, zvýší povědomí a povzbudí uživatele a dodavatele prohlížečů, aby pokročili v obraně proti tomuto mechanismu sledování,“ dodal.

“ dále doufáme, že naše studie zvýrazní potenciální dopad na bezpečnost, kterému vydavatelé čelí zahrnutím sledovačů založených na CNAME. Během naší studie jsme objevili dva bezpečnostní problémy, které ovlivňují všechny návštěvníky stránek vydavatelů; v jednom případě problém stále není vyřešen (navzdory několika pokusům oslovit sledovač, aby nahlásil zranitelnost), což ohrožuje návštěvníky stovek webových stránek.“

regulační opatření/vymáhání by mohlo být také užitečné při omezování používání techniky CNAME, navrhl také.

tato zpráva byla aktualizována o další komentář.

{{{název}}}

{{{autor}}}
{{{Datum}}}

{{název}} obrázek

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.