Mozilla beefs up anti-cross-site tracking in Firefox, as Chrome edelleen laahaa yksityisyydessä

@riptari • 5: 14 am PST * helmikuu 24, 2021

GettyImages 1045357252

kuvasivut: Getty Images

Mozilla on tehostanut seurantatoimia Firefox-selaimessaan. Blogikirjoitus eilen se ilmoitti, että Firefox 86 on ylimääräinen kerros anti-cookie seuranta sisäänrakennettu enhanced tracking protection (ETP) tiukka tila — jota se kutsuu ”Total Cookie Protection” (TCP).

tämä ”suuri tietosuojaennakko”, koska se laskuttaa sitä, estää sivustojenvälisen seurannan siloamalla kolmannen osapuolen evästeet verkkosivustoa kohti.

Mozilla vertaa tätä siihen, että jokaisella sivustolla on oma evästepurkki — joten esimerkiksi Facebook-evästeet eivät ole samassa altaassa kuin evästeet sille lenkkarisivulle, jolta ostit viimeisimmät kicksisi, ja niin edelleen.

Uusi tietosuojakerros ”tarjoaa evästeiden ja muiden sivuston tietojen kattavan osioinnin Firefoxin verkkosivustojen välillä”, Mozilla selittää.

yhdessä toisen seurantaominaisuuden kanssa se ilmoitti viime kuussa-kohdistaen niin sanottuja ”supercookies” — eli ovelia jäljittimiä, jotka tallentavat käyttäjän tunnuksia selaimen ”yhä hämärämpiin” osiin (kuten Flash storage, ETags ja HSTS — liput), ts. jos käyttäjien on vaikea poistaa tai estää niitä-ominaisuudet yhdistyvät ”estämään verkkosivustoja pystymästä ’tägäämään’ selaimesi, mikä poistaa kaikkein kattavimman sivustojenvälisen seurantatekniikan”, kohti Mozilla.

sivustorajat ylittäville evästeille on ”rajoitettu poikkeus” silloin, kun niitä tarvitaan ei-seurantatarkoituksiin-Mozilla antaa esimerkin suosituista kolmannen osapuolen kirjautumistarjoajista.

”vasta kun Total Cookie Protection havaitsee, että aiot käyttää tarjoajaa, se antaa kyseiselle tarjoajalle luvan käyttää sivuston rajat ylittävää evästettä nimenomaan sillä sivustolla, jolla parhaillaan vierailet. Tällaiset hetkelliset poikkeukset mahdollistavat vahvan yksityisyyden suojan vaikuttamatta selailukokemukseesi”, se lisää.

Tracker esto on pitkään ollut kilpavarustelu vastaan adtech teollisuuden päättäväisyyttä pitää silmällä web — käyttäjien — ja peukaloimalla nenäänsä käsite suostumus vakoilla ihmisten online-liiketoimintaa-kaatamalla resursseja suunnitella pirullisia uusia tekniikoita yrittää pitää katsomassa, mitä Internetin käyttäjät tekevät. Mutta tämä taistelu on tehostunut viime vuosina, kun selainvalmistajat ovat ottaneet tiukemman pro-privacy / anti-tracker-asenteen.

Mozilla esimerkiksi alkoi tehdä Tracker — estoa oletukselle jo vuonna 2018-ja teki ETP: stä oletuksen Firefoxissa vuonna 2019 estäen evästeet yrityksiltä, jotka sen kumppani Disconnect on tunnistanut trackereiksi.

kun taas Applen Safari — selain lisäsi ”Intelligent Tracking Prevention” (ITP)-ominaisuuden vuonna 2017-soveltamalla koneoppimista jäljittimien tunnistamiseen ja erottelemaan sivuston rajat ylittävät skriptaustiedot suojaamaan käyttäjien selaushistoriaa kolmannen osapuolen silmiltä.

Google on myös nostanut kissan adtech-pulujen joukkoon ilmoittamalla suunnitellusta kolmannen osapuolen evästeiden tuen lopettamisesta Chromessa — jonka se sanoi tulevan kahden vuoden sisällä tammikuussa 2020 — vaikka se edelleen työskentelee tämän ”privacy sandbox” – projektin parissa, kuten se sitä kutsuu (nyt Yhdistyneen kuningaskunnan kilpailuviranomaisten valvovan silmän alla).

Google on pitänyt yksityisyyttä vahvistavia ääniä vuodesta 2019, vastauksena muun selainmarkkinan vastatessa huoleen netin yksityisyydestä.

viime vuoden huhtikuussa se peruutti muutoksen, joka oli vaikeuttanut sivustojen pääsyä kolmansien osapuolten evästeisiin, vedoten huoleen siitä, että sivustot pystyivät suorittamaan olennaisia toimintoja pandemian aikana-vaikka tätä jatkettiin heinäkuussa. Mutta on reilua sanoa, että adtech-jättiläinen pysyy viivyttelijänä, kun se tulee toteuttamaan väitetyn suunnitelmansa yksityisyyden parantamiseksi.

ottaen huomioon Chromen markkinaosuuden, se jättää suurimman osan maailman web-käyttäjistä alttiiksi suuremmalle seurannalle kuin mitä he muuten olisivat käyttämällä erilaista, enemmän yksityisyyttä edistävää selainta.

ja kuten Mozillan uusin anti-cookie tracking-ominaisuus osoittaa, kilpajuoksu päihittää adtechin yksityisyyden (ja suostumuksen) allergian ei myöskään ole sellainen, jolla on maaliviiva. Joten hitaasti tehdä yksityisyyden suojaa todennäköisesti ei ole kovin erilainen ei tarjoa paljon yksityisyyttä ollenkaan.

to wit: Yksi huolestuttava kehitys-ei-kolmannen osapuolen-evästepohjainen seuranta edessä-on yksityiskohtaisesti tässä uudessa asiakirjassa ryhmä yksityisyyden tutkijat, jotka suorittivat analyysin CNAME seuranta (alias DNS-pohjainen anti-tracking evasion technique) ja totesi, että käyttö luihu anti-tracking evasion method oli kasvanut noin viidennes vajaassa kahdessa vuodessa.

tekniikka on herättänyt valtavirran huolia ”estämättömästä” verkkoseurannasta noin vuodesta 2019 lähtien — kun Kehittäjät huomasivat, että ranskalainen sanomalehti käytti sitä luonnossa. Sen jälkeen käyttö on tutkimuksen mukaan ollut nousussa.

pähkinänkuoressa CNAME-seurantatekniikka verhoaa seurantalaitteen ruiskuttamalla sen vierailtavan verkkosivuston ensimmäisen osapuolen kontekstiin — siten, että sisältö on upotettu sivuston aliverkkotunnuksen kautta, joka on itse asiassa Tracker-verkkotunnuksen peitenimi.

”tämä järjestelmä toimii DNS-delegaation ansiosta. Useimmiten kyseessä on DNS-NIMIENNÄTYS”, kirjoittaa yksi paperin kirjoittajista, yksityisyyden ja turvallisuuden tutkija Lukasz Olejnik tutkimuksesta kertovassa blogikirjoituksessa. ”Seurantalaite on teknisesti hostattu vieraillun verkkosivuston aliverkkotunnuksessa.

”tällaisen järjestelmän työllistämisellä on tiettyjä seurauksia. Se tavallaan hölmöilee perustavaa laatua olevaa verkkoturvallisuutta ja yksityisyyden suojaa — ajatella, että käyttäjä selailee tahallaan seurantasivustoa. Kun verkkoselain näkee tällaisen järjestelmän, joitakin tietoturva-ja yksityisyydensuojauksia lievennetään.”

älä anna rennon sanan hämätä — kuten Olejnik jatkaa korostaen, että CNAME-seurantatekniikalla on ”merkittäviä vaikutuksia verkkoturvallisuuteen ja yksityisyyteen”. Kuten selaimet huijataan pitämään seurantalaitetta laillisena ensimmäisen osapuolen sisältönä vieraillulle verkkosivustolle (mikä puolestaan avaa ”monia etuja”, kuten pääsyn ensimmäisen osapuolen evästeisiin-jotka voidaan sitten lähettää etäpalvelimille, joita jäljittäjät hallitsevat, jotta seurantayksikkö voi saada pahat tapansa henkilökohtaisten tietojen kanssa).

joten vaarana on, että osa ovelasta insinöörityöstä, jota tehdään yksityisyyden suojelemiseksi estämällä jäljittäjiä, voidaan siirtää syrjään joutumalla jäljittäjien tutkan alle.

tutkijat löysivät yhden (surullisen) seurantapalvelimen tarjoajan, Criteon, palauttamassa seurantakomentojaan mukautettuun CNAME — viittausjärjestelmään havaitessaan Safari-verkkoselaimen käytössä-oletettavasti keinona kiertää Applen ITP.

myös CNAME — paikannukseen liittyy muitakin huolenaiheita: paperi kertoo, miten nykyisen web-arkkitehtuurin seurauksena järjestelmä ”avaa tien laajoille evästevuodoille”, kuten Olejnik asian ilmaisee-selittäen, miten käyttöönotetun tekniikan lopputulos voi olla ”monia toisiinsa liittymättömiä, laillisia evästeitä”, jotka lähetetään tracker-aliverkkoon.

Olejnik dokumentoi tämän huolen tutkimuksessaan jo vuonna 2014 — mutta hän kirjoittaa, että ongelma on nyt räjähtänyt käsiin: ”jäävuoren huippuna löysimme laajoja tietovuotoja 7 377 verkkosivulta. Joitakin tietovuotoja tapahtuu lähes jokaisella sivustolla käyttäen CNAME-järjestelmää (analytiikkaevästeet yleensä vuotavat). Tämä viittaa siihen, että tämä järjestelmä on aktiivisesti vaarallinen. Se on haitallista verkkoturvallisuudelle ja yksityisyydelle.”

tutkijat havaitsivat evästeiden vuotavan 95%: lla tutkimusten verkkosivuista.

he raportoivat myös löytäneensä muiden kolmannen osapuolen komentosarjojen asettamien evästeiden vuotoja, mikä viittaa siihen, että vuotaneet evästeet mahdollistaisivat näissä tapauksissa CNAME Trackerin jäljittämisen eri verkkosivustojen käyttäjille.

joissakin tapauksissa he havaitsivat, että vuodetut tiedot sisälsivät yksityisiä tai arkaluonteisia tietoja — kuten käyttäjän koko nimi, sijainti, sähköpostiosoite ja (ylimääräisessä tietoturvaongelmassa) todennuseväste.

lehti nostaa esiin useita verkkoturvallisuuteen liittyviä huolenaiheita, kuten esimerkiksi sen, että CNAME trackereille tarjotaan HTTP not HTTPS-palvelua, jonka he huomasivat tapahtuneen usein ja voivan helpottaa man-in-the-middle-hyökkäyksiä.

puolustautuminen CNAME — verhoutumisohjelmaa vastaan edellyttää joidenkin suurten selainten omaksuvan uusia temppuja, tutkijoiden mukaan-jotka huomaavat, että vaikka Firefox (maailmanlaajuinen markkinaosuus noin 4%) tarjoaa puolustautumisen tekniikkaa vastaan, Chrome ei.

Applen Safari-selainta tukevan WebKit-moottorin insinöörit ovat myös työstäneet parannuksia ITP: hen, joiden tarkoituksena on torjua CNAME-paikannus.

IPT-insinööri John Wilander kirjoitti viime marraskuussa blogikirjoituksessaan, että puolustukseksi ovelaa tekniikkaa vastaan ”ITP havaitsee nyt kolmannen osapuolen nimen peittämispyynnöt ja korkkaa HTTP-vastauksessa asetettujen evästeiden voimassaolon 7 päivään. Tämä suojus on linjassa ITP: n päättymiskorkin kanssa kaikissa JavaScriptin kautta luoduissa evästeissä.”

Uljas selain ilmoitti myös viime syksynä muutoksista, joilla pyritään torjumaan CNAME-häivytystä.

”versiossa 1.25.0 uBlock Origin sai kyvyn tunnistaa ja estää CNAME-verhotut pyynnöt Mozillan loistavalla selaimella.DNS API. Tämä ratkaisu toimii kuitenkin vain Firefoxissa, sillä Chromium ei tarjoa selainta.DNS API. Jossain määrin, nämä pyynnöt voidaan estää käyttämällä mukautettuja DNS-palvelimia. Yhdessäkään selaimessa ei kuitenkaan ole käytettävissä ja oletusarvoisesti CNAME-pohjaisia adblocking protection-ominaisuuksia”, se kirjoitti.

” Rohkeassa 1.17, rohkea Shields nyt rekursiivisesti tarkistaa canonical nimi kirjaa tahansa verkon pyyntö, joka ei muuten estetty käyttämällä upotettu DNS resolveri. Jos pyynnössä on CNAME-tietue, ja sama pyyntö canonical-verkkotunnuksen alla estettäisiin, pyyntö on estetty. Tämä ratkaisu on oletusarvoisesti päällä, mikä tuo parannetun yksityisyyden suojan miljoonille käyttäjille.”

mutta selaimella, jolla on suurin markkinaosuus, Chromella, on työtä tehtävänä, tutkijat, jotka kirjoittavat:

koska Chrome ei tue DNS-resoluutiorajapintaa laajennuksille, puolustusta ei voitu soveltaa tähän selaimeen. Näin ollen huomaamme, että neljä CNAME-pohjaista Trackeria (Oracle Eloqua, Eulerian, Criteo ja Keyade) on estetty uBlock Originilla Firefoxissa, mutta ei Chrome-versiossa.

keskustellessaan tutkimustuloksista Tom Van Goethem, toinen paperin kirjoittajista, sanoi ryhmän tietojen osoittavan, että verkkojulkaisijat, jotka käyttävät CNAME-seurantaa, käyttävät sitä täydentääkseen muita, ”tyypillisempiä” kolmannen osapuolen seurantamenetelmiä.

”tietomme osoittavat, että julkaisijoilla, jotka ottavat käyttöön CNAME-pohjaisen, on jo huomattava määrä jäljittäjiä (keskimäärin 20+ per sivusto), ja havaitsemme, että tämä jäljittäjien määrä pysyy ajan mittaan vakaana. Tämä osoittaa, että CNAME-pohjaista seurantaa ei käytetä tyypillisen kolmannen osapuolen seurannan korvaamiseen, vaan pikemminkin niiden seurantaominaisuuksien lisäämiseen, esimerkiksi kohdistamalla käyttäjät seurantamekanismilla”, hän kertoi TechCrunchille.

tutkijat eivät keskittyneet keksimään syy-seurausselitystä CNAME-verhoamisen käytön yleistymiselle. Mutta Van Goethem sanoi, että he löysivät joitakin seurantalaitteita, jotka käyttävät sitä vain Safari-selainta vastaan (”jonka tiedetään sisältävän tiukat seurantasuojat”)-mikä viittaa (ainakin) osittaiseen selitykseen tekniikan lisääntyvälle käytölle.

kysyi, millaisen yhteisön vastauksen he haluaisivat nähdä CNAME-järjestelmän torjumiseksi, hän sanoi: ”Ihanteellisemmin jäljityspuolustusten tulisi ottaa käyttöön vankat toimenpiteet CNAME-pohjaista seurantaa vastaan siten, että käyttäjät ovat suojattuja riippumatta selaimesta, jota he käyttävät.”

selainten on otettava käyttöön useita puolustuksia erilaisten tekniikoiden torjumiseksi, jotta käyttäjien yksityisyyttä voidaan tehokkaasti puolustaa. Niin, tapauksessa Firefoxin Uusi TCP ominaisuus, Van Goethem totesi, että vaikka se ei vaikuta CNAME-pohjainen (ensimmäisen osapuolen) seuranta ”pohjimmiltaan”, se ei suojaa evästeen synkronointi sivustoja, jotka työllistävät ensimmäisen osapuolen seuranta.

”CNAME-pohjaisella seurannalla seuraaja voi seurata käyttäjän toimintaa tietyllä sivustolla (joka sisältää seuraajan), mutta sen on synkronoitava evästeet muiden sivustojen kanssa linkittääkseen yhden tietyn käyttäjän seuratut toiminnot sivustolla A saman käyttäjän toimintaan sivustolla B. täydellinen Evästesuojaus estäisi tämän”, hän selitti.

muita ei-evästepohjaisia seurantatekniikoita l-ike– laitteen sormenjälkien ja lyhytaikaisten sormenjälkien avulla voidaan myös kiertää selainpohjaisia suojauksia evästepohjaista seurantaa vastaan. ”Tämä tarkoittaa, että puolustukset on oltava täydellinen, ja tarjota suojaa kaikenlaisia seuranta, jotta voidaan turvata käyttäjiä”, per Van Goethem.

”toivomme, että laajamittainen analyysimme, joka osoittaa, että CNAME-pohjainen seuranta on nousussa, lisää tietoisuutta ja kannustaa käyttäjiä ja selainten toimittajia puolustautumaan tätä seurantamekanismia vastaan”, hän lisäsi.

”lisäksi toivomme, että tutkimuksemme tuo esiin mahdolliset tietoturvavaikutukset, joita julkaisijat kohtaavat sisällyttämällä niihin CNAME-pohjaisia jäljittimiä. Koko tutkimuksemme aikana havaitsimme kaksi tietoturvaongelmaa, jotka vaikuttavat kaikkiin julkaisijoiden sivustojen kävijöihin; yhdessä tapauksessa ongelma ei ole vieläkään korjattu (huolimatta useista yrityksistä tavoittaa seurantalaite raportoimaan haavoittuvuudesta), mikä saattaa satojen verkkosivustojen kävijät vaaraan.”

sääntelytoimilla/täytäntöönpanolla voitaisiin myös hillitä CNAME-tekniikan käyttöä, hän myös ehdotti.

tätä raporttia päivitettiin lisäkommenteilla.

{{{otsikko}}}

{{{tekijä}}
{{{pvm.}}}

{{ otsikko}} levykuva

Vastaa

Sähköpostiosoitettasi ei julkaista.