Da Chrome stadig halter på privatlivets fred-TechCrunch

@riptari / 5: 14 PST * februar 24, 2021

GettyImages 1045357252

Image Credits: Getty Images

har yderligere styrket anti-tracking foranstaltninger i sin Brand. 86 har et ekstra lag af anti-cookie tracking indbygget i enhanced tracking protection (ETP) streng tilstand — som det kalder “Total Cookie Protection” (TCP).

dette “store fortrolighedsfremskridt”, som det fakturerer det, forhindrer sporing på tværs af steder ved at siloere tredjepartscookies pr.

vi sammenligner dette med at have en separat cookie jar for hvert site — så for eksempel gemmes Facebook cookies ikke i samme badekar som cookies til den sneaker hjemmeside, hvor du købte dine seneste spark, og så videre.

det nye lag af privatlivsindpakning “giver omfattende partitionering af cookies og andre site data mellem hjemmesider i “.

sammen med en anden Anti-tracking — funktion annoncerede den i sidste måned — målrettet mod såkaldte “supercookies” – aka luskede trackere, der gemmer bruger-id ‘ er i “stadig mere uklare” dele af bro. ser (som Flash storage, ETags og HSTS flag), dvs. hvor det er svært for brugerne at slette eller blokere dem — funktionerne kombineres for at “forhindre hjemmesider i at kunne” tagge “din bro.ser og derved eliminere den mest gennemgribende sporingsteknik på tværs af steder”.

der er en “begrænset undtagelse” for cross-site cookies, når de er nødvendige for ikke-sporingsformål.

“kun når Total Cookie Protection registrerer, at du har til hensigt at bruge en udbyder, vil den give denne udbyder tilladelse til at bruge en cross-site cookie specifikt til det sted, du i øjeblikket besøger. Sådanne øjeblikkelige undtagelser giver mulighed for stærk beskyttelse af privatlivets fred uden at påvirke din søgeoplevelse,” tilføjer det.

Trackerblokering har længe været et våbenkapløb mod adtech — industriens vilje til fortsat at overvåge internetbrugere — og thumbing sin næse ved forestillingen om samtykke til at spionere på folks online forretning-hælde ressource til at udtænke djævelske nye teknikker for at forsøge at holde øje med, hvad internetbrugere gør. Men denne kamp er steget i de senere år, da bro.serproducenter har taget en hårdere Pro-privacy/anti-tracker holdning.

begyndte for eksempel at gøre tracker til at blokere standard tilbage i 2018 — fortsatte med at gøre ETP til standard i 2019 og blokerede cookies fra virksomheder identificeret som trackere af sin partner, Disconnect.

i 2017 tilføjede Apple Safari en “Intelligent Tracking Prevention” (ITP) — funktion-ved at anvende maskinlæring til at identificere trackere og adskille scriptingdata på tværs af steder for at beskytte brugernes søgehistorik mod tredjeparts øjne.

Google har også sat katten blandt adtech-Duer ved at annoncere en planlagt udfasning af support til tredjepartscookies i Chrome — som den sagde ville komme inden for to år tilbage i januar 2020 — selvom den stadig arbejder på dette “privatlivssandkasse” – projekt, som det kalder det (nu under opsyn af britiske antitrustregulatorer).

Google har lavet støj til styrkelse af privatlivets fred siden 2019 som svar på resten af bro.ser-markedet, der reagerer på bekymring over online privatliv.

i April sidste år rullede det tilbage en ændring, der havde gjort det sværere for sider at få adgang til tredjepartscookies med henvisning til bekymring for, at Sider var i stand til at udføre vigtige funktioner under pandemien-skønt dette blev genoptaget i Juli. Men det er rimeligt at sige, at adtech-giganten forbliver den laggard, når det kommer til at udføre sin påståede plan om at øge privatlivets fred.

i betragtning af Chromes markedsandel, der efterlader de fleste af verdens internetbrugere udsat for mere sporing, end de ellers ville være ved at bruge en anden, mere privatlivs-proaktiv bro.ser.

og som Mosillas seneste anti-cookie tracking-funktion viser, er løbet om at overvinde adtechs allergi mod privatlivets fred (og samtykke) heller ikke den slags, der har en målstregen. Så at være langsom til at gøre beskyttelse af privatlivets fred er uden tvivl ikke meget anderledes end ikke at tilbyde meget beskyttelse af privatlivets fred overhovedet.

til hvid: En bekymrende udvikling-på den ikke-tredjeparts-cookie-baserede sporingsfront-er detaljeret i dette nye papir af en gruppe privatlivsforskere, der gennemførte en analyse af CNAME tracking (aka en DNS-baseret Anti-tracking evasion-teknik) og fandt ud af, at brugen af den luskede Anti-tracking evasion-metode var vokset med omkring en femtedel på knap to år.

teknikken har rejst almindelige bekymringer om “unblockable” sporing af internettet siden omkring 2019 — da udviklere opdagede, at den blev brugt i naturen af en fransk avis hjemmeside. Siden da er brugen steget, pr.

i en nøddeskal CNAME tracking teknik kapper tracker ved at injicere det ind i førsteparts kontekst af den besøgte hjemmeside-via indholdet bliver indlejret gennem et underdomæne af hjemmesiden, som faktisk er et alias for tracker domæne.

“denne ordning fungerer takket være en DNS-delegation. Oftest er det en DNS CNAME-post, ” skriver en af papirforfatterne, privatlivs-og sikkerhedsforsker Lukas Olejnik, i et blogindlæg om forskningen. “Trackeren er teknisk hostet i et underdomæne på den besøgte hjemmeside.

“ansættelse af en sådan ordning har visse konsekvenser. Det slags narrer den grundlæggende sikkerhed på nettet og beskyttelse af privatlivets fred-at tro, at brugeren forsætligt surfer på trackerens hjemmeside. Når en internetudbyder ser en sådan ordning, lempes nogle sikkerheds-og privatlivsbeskyttelse.”

lad dig ikke narre af brugen af ordet ‘afslappet’ — da Olejnik fortsætter med at understrege, at CNAME tracking-teknikken har “væsentlige konsekvenser for internetsikkerhed og privatliv”. Som f.eks. at blive narret til at behandle en tracker som legitimt førstepartsindhold på den besøgte hjemmeside (hvilket igen låser op for “mange fordele”, såsom adgang til førstepartscookies-som derefter kan sendes videre til eksterne tredjepartsservere, der kontrolleres af trackerne, så surveilling-enheden kan have sin onde måde med personoplysningerne).

så risikoen er, at en del af det kloge ingeniørarbejde, der udføres for at beskytte privatlivets fred ved at blokere trackere, kan sidelinjes ved at komme under anti-trackers radar.

forskerne fandt en (berygtet) trackerudbyder, Criteo, der vendte sine sporingsskripter tilbage til det brugerdefinerede CNAME cloak — skema, da det opdagede Safari-netsøgeren i brug-som formodentlig en måde at omgå Apples ITP på.

der er også yderligere bekymringer over CNAME — sporing: papiret beskriver, hvordan ordningen som en konsekvens af den nuværende internetarkitektur “låser op for en måde for brede cookie-lækager”, som Olejnik udtrykker det-forklarer, hvordan resultatet af den teknik, der implementeres, kan være “mange ikke-relaterede, legitime cookies”, der sendes til tracker-underdomænet.

Olejnik dokumenterede denne bekymring i en undersøgelse tilbage i 2014 — men han skriver, at problemet nu er eksploderet: “som toppen af isbjerget fandt vi brede datalækager på 7.377 hjemmesider. Nogle datalækager sker på næsten alle hjemmesider ved hjælp af CNAME-ordningen (analytics-cookies lækker ofte). Dette tyder på, at denne ordning er aktivt farlig. Det er skadeligt for internetsikkerhed og privatliv.”

forskerne fandt cookies lækker på 95% af undersøgelsens hjemmesider.

de rapporterer også at finde lækager af cookies indstillet af andre tredjeparts scripts, hvilket tyder på lækkede cookies ville i disse tilfælde tillade CNAME tracker at spore brugere på tværs af hjemmesider.

i nogle tilfælde fandt de, at lækkede oplysninger indeholdt private eller følsomme oplysninger — såsom en brugers fulde navn, placering, E-mail-adresse og (i en yderligere sikkerhedsmæssig bekymring) godkendelsescookie.

papiret fortsætter med at rejse en række internetsikkerhedsproblemer, såsom når CNAME trackers serveres over HTTP ikke HTTPS, som de fandt skete ofte, og kunne lette man-in-the-middle angreb.

forsvar mod CNAME cloaking — ordningen vil kræve, at nogle store bro.netere vedtager nye tricks, pr.

ingeniører, der understøtter Apples Safari, har også arbejdet på at forbedre ITP med det formål at modvirke CNAME tracking.

i et blogindlæg i November sidste år skrev ipt-ingeniør John Vilander det som forsvar mod den luskede teknik “ITP registrerer nu tredjeparts CNAME-tilsløringsanmodninger og dækker udløbet af eventuelle cookies, der er indstillet i HTTP-svaret på 7 dage. Dette loft er tilpasset ITP ‘ s udløbsdæksel på alle cookies, der oprettes via JavaScript.”

den modige bro.ser annoncerede også ændringer sidste efterår med det formål at bekæmpe CNAME-tilsløring.

“i version 1.25.0 fik uBlock Origin evnen til at opdage og blokere CNAME-cloaked anmodninger ved hjælp af Mosillas fantastiske bro.ser.dns API. Denne løsning fungerer dog kun i Firefoks, da chrom ikke leverer bro.ser.dns API. Til en vis grad kan disse anmodninger blokeres ved hjælp af brugerdefinerede DNS-servere. Imidlertid, ingen bro.Serere er leveret med CNAME-baserede adblocking-beskyttelsesfunktioner tilgængelige og som standard,” det skrev.

“I Brave 1.17, Brave Shields vil nu rekursivt kontrollere de kanoniske navneposter for enhver netværksanmodning, der ellers ikke er blokeret ved hjælp af en integreret DNS-resolver. Hvis anmodningen har en CNAME-post, og den samme anmodning under det kanoniske domæne ville blive blokeret, blokeres anmodningen. Denne løsning er som standard aktiveret, hvilket giver forbedret beskyttelse af privatlivets fred til millioner af brugere.”

men bro. sereren med den største marketshare, Chrome, har arbejde at gøre, pr. forskerne, der skriver:

da Chrome ikke understøtter en DNS-opløsning API til udvidelser, kunne forsvaret ikke anvendes på denne bro.ser. Derfor finder vi, at fire af CNAME-baserede trackere (Oracle veltalende, Eulerian, Criteo og Keyade) er blokeret af uBlock Origin på Firefoks, men ikke på Chrome-versionen.

diskuterer forskningsresultaterne, Tom Van Goethem, en anden af papirforfatterne, sagde holdets data viser, at internetudgivere, der bruger CNAME tracking, bruger det til at supplere andre, mere “typiske” tredjepartssporingsmetoder.

“vores data viser, at udgivere, der vedtager CNAME-baserede, allerede har et betydeligt antal trackere (20+ pr. Dette indikerer, at CNAME-baseret sporing ikke bruges som en erstatning for den typiske tredjepartssporing, men snarere for at øge deres sporingsfunktioner, f.eks.

forskerne var ikke fokuseret på at komme med en årsagsforklaring for stigningen i brugen af CNAME cloaking. Men Van Goethem sagde, at de fandt nogle trackere, der kun brugte det mod Safari-bro.ser (“som vides at omfatte streng Anti — tracking-beskyttelse”) – hvilket antyder (i det mindste) en delvis forklaring på stigende brug af teknikken.

spurgte, hvilken slags samfundsrespons de gerne vil se for at bekæmpe CNAME-ordningen, sagde han: “ideelt set bør flere Anti-tracking-forsvar vedtage robuste foranstaltninger mod CNAME-baseret sporing, så brugerne er beskyttet uanset hvilken bro.ser de bruger.”

bro.Netere er nødt til at implementere flere forsvar for at bekæmpe en række teknikker for effektivt at forsvare brugernes privatliv. Så I tilfælde af den nye TCP-funktion bemærkede Van Goethem, at selvom det ikke påvirker CNAME-baseret (førsteparts) sporing “i det væsentlige”, beskytter det mod cookiesynkronisering mellem sider, der anvender førsteparts sporing.

“med CNAME-baseret sporing kan trackeren følge brugerens aktiviteter på et specifikt sted (det inkluderer trackeren), men det er nødvendigt at synkronisere cookies med andre sider for at linke de sporede aktiviteter for en bestemt bruger på site A til aktiviteterne for den samme bruger på site B. Total Cookiebeskyttelse ville forhindre dette,” forklarede han.

andre ikke-cookie-baserede sporingsteknikker l– Ike — enhedens fingeraftryk og kortvarig fingeraftryk-kan også bruges til at omgå bro.ser-baserede forsvar mod cookie-baseret sporing. “Det betyder, at forsvaret skal være komplet, og give beskyttelse mod alle typer af sporing for at beskytte brugerne,” per Van Goethem.

“vi håber, at vores store analyse, der viser, at CNAME-baseret sporing er stigende, vil øge bevidstheden og tilskynde brugere og bro.ser-leverandører til at fremme forsvar mod denne sporingsmekanisme,” tilføjede han.

“desuden håber vi, at vores undersøgelse vil fremhæve den potentielle sikkerhedspåvirkning, som udgivere står over for ved at inkludere CNAME-baserede trackere. I løbet af vores undersøgelse opdagede vi to sikkerhedsproblemer, der påvirker alle besøgende på udgiversider; i et tilfælde er problemet stadig ikke løst (på trods af flere forsøg på at nå ud til trackeren for at rapportere sårbarheden), hvilket sætter besøgende på hundredvis af hjemmesider i fare.”

lovgivningsmæssig handling/håndhævelse kan også være nyttigt til at begrænse brugen af CNAME-teknikken, foreslog han også.

denne rapport blev opdateret med yderligere kommentar.

{{{Titel}}}

{{{forfatter}}}
{{{dato}}}

{{titel}} billede

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.