kép jóváírások: Getty Images
a Mozilla tovább erősítette a követés elleni intézkedéseket Firefox böngészőjében. Tegnap egy blogbejegyzésben bejelentette, hogy a Firefox 86 rendelkezik egy extra cookie-nyomkövető réteggel, amely beépül az enhanced tracking protection (ETP) szigorú módba — amelyet “Total Cookie Protection” – nek (TCP) hív.
ez a “major privacy advance”, mivel számlázza, megakadályozza a webhelyek közötti követést azáltal, hogy webhelyenként harmadik féltől származó sütiket silóz.
a Mozilla ezt ahhoz hasonlítja, hogy minden webhelyhez külön süti — edény tartozik-tehát például a Facebook-sütik nem ugyanabban a kádban vannak tárolva, mint annak a cipőwebhelynek a sütijei, ahol a legújabb rúgásokat vásárolta stb.
az Adatvédelmi csomagolás új rétege “átfogó particionálást biztosít a cookie – k és más webhelyadatok között a Firefox webhelyei között” – magyarázza Mozilla.
egy másik, a múlt hónapban bejelentett anti-tracking funkcióval együtt — az úgynevezett “supercookies” – más néven alattomos nyomkövetők célzása, amelyek felhasználói azonosítókat tárolnak a böngésző “egyre homályosabb” részeiben (például Flash tároló, Etag és HSTS zászlók), azaz. ahol a felhasználók számára nehéz törölni vagy blokkolni őket — a funkciók együttesen “megakadályozzák, hogy a webhelyek” megcímkézhessék “a böngészőt, ezáltal kiküszöbölve a legelterjedtebb webhelyközi követési technikát”, Mozilla szerint.
van egy “korlátozott kivétel” a cross-site cookie-k esetében, amikor nem követési célokra van szükség — a Mozilla példát mutat a népszerű harmadik fél bejelentkezési szolgáltatóira.
“csak akkor, ha a Total Cookie Protection észleli, hogy egy szolgáltatót kíván használni, engedélyt ad a Szolgáltatónak a webhelyek közötti cookie használatára, kifejezetten az éppen meglátogatott webhelyhez. Az ilyen pillanatnyi kivételek lehetővé teszik az adatvédelem erős védelmét anélkül, hogy befolyásolnák a böngészési élményt” – teszi hozzá.
a nyomkövető blokkolása régóta fegyverkezési verseny az adtech ipar azon elhatározása ellen, hogy folyamatosan megfigyelje a webes felhasználókat — és az orrát az emberek online üzletének kémkedésére vonatkozó beleegyezés fogalmával—, amely erőforrást ördögi új technikák kidolgozására törekszik, hogy megpróbálja folyamatosan figyelni, hogy az internethasználók mit csinálnak. De ez a csata az utóbbi években fokozódott, mivel a böngészők gyártói keményebb adatvédelmi / nyomkövető-ellenes álláspontot képviselnek.
a Mozilla például 2018 — ban kezdte el a tracker blokkolását alapértelmezetté tenni-2019-ben az ETP-t alapértelmezetté tenni a Firefoxban, blokkolva a partner által Nyomkövetőként azonosított vállalatok cookie-jait, a Disconnect-et.
míg az Apple Safari böngészője 2017 — ben hozzáadta az “intelligens Követésmegelőzés” (ITP) funkciót-gépi tanulást alkalmazva a nyomkövetők azonosítására és a webhelyek közötti szkriptelési adatok elkülönítésére, hogy megvédje a felhasználók böngészési előzményeit a harmadik fél szemétől.
a Google a macskát is az adtech galambok közé helyezte azzal, hogy bejelentette a harmadik féltől származó cookie-k támogatásának tervezett fokozatos megszüntetését a Chrome — ban — amely állítása szerint két éven belül, 2020 januárjában érkezik -, bár még mindig dolgozik ezen a “privacy sandbox” projekten, ahogy nevezi (most az Egyesült Királyság monopóliumellenes szabályozóinak figyelő szeme alatt).
a Google 2019 óta erősíti az adatvédelmet, válaszul arra, hogy a böngészőpiac többi része reagál az online adatvédelemmel kapcsolatos aggodalmakra.
tavaly áprilisban visszavonta azt a változást, amely megnehezítette a webhelyek számára a harmadik féltől származó sütik elérését, arra hivatkozva, hogy a webhelyek képesek voltak alapvető funkciókat ellátni a világjárvány idején-bár ezt júliusban folytatták. De igazságos azt mondani, hogy az adtech óriás továbbra is lemaradt, amikor a magánélet fokozására vonatkozó állítólagos tervét kell végrehajtani.
tekintettel a Chrome piaci részesedésére, ez a világ webes felhasználóinak többségét több követésnek teszi ki, mint egyébként egy másik, adatvédelmet elősegítő böngésző használatával.
és amint azt a Mozilla legújabb cookie-követési funkciója is mutatja, az adtech adatvédelmi (és beleegyezési) allergiájának felülmúlására irányuló verseny szintén nem az a fajta, amelynek van célvonala. Tehát az, hogy lassan végezzük a magánélet védelmét, vitathatatlanul nem különbözik attól, hogy egyáltalán nem nyújtunk sok adatvédelmet.
hogy: Az egyik aggasztó fejlemény — a nem harmadik féltől származó cookie-alapú nyomkövetési fronton-ebben az új tanulmányban részletezi az Adatvédelmi kutatók egy csoportját, akik elemezték a CNAME-követést (más néven egy DNS-alapú nyomkövetés-elkerülési technikát), és megállapították, hogy az alattomos nyomkövetés-elkerülési módszer használata alig két év alatt körülbelül ötödével nőtt.
a technika 2019 körül óta aggodalomra ad okot a “blokkolhatatlan” webes követés miatt-amikor a fejlesztők észrevették, hogy egy francia újság weboldala vadonban használja. Azóta a felhasználás növekszik, a kutatás szerint.
dióhéjban a CNAME követési technika álcázza a nyomkövetőt azáltal, hogy a meglátogatott webhely első fél kontextusába injektálja-a webhely aldomainjén keresztül beágyazott tartalom révén, amely valójában a nyomkövető tartomány álneve.
” ez a séma a DNS-delegációnak köszönhetően működik. Leggyakrabban DNS CNAME rekordról van szó ” – írja Lukasz Olejnik, a kutatás egyik szerzője, adatvédelmi és biztonsági kutató a kutatásról szóló blogbejegyzésben. “A nyomkövető technikailag a meglátogatott webhely aldomainjében található.
” egy ilyen rendszer foglalkoztatása bizonyos következményekkel jár. Ez a fajta bolondok az alapvető internetes biztonság és a magánélet védelme-azt gondolni, hogy a Felhasználó szándékosan böngészés a tracker honlapján. Amikor egy webböngésző ilyen sémát lát, bizonyos biztonsági és adatvédelmi védelem enyhül.
ne tévesszen meg a “nyugodt”szó használata — mivel Olejnik hangsúlyozza, hogy a CNAME követési technikának “jelentős következményei vannak a webes biztonságra és az adatvédelemre”. Például a böngészőket becsapják, hogy a nyomkövetőt a meglátogatott weboldal legitim első féltől származó tartalmaként kezeljék (ami viszont “számos előnyt” nyit meg, például hozzáférést biztosít az első féltől származó sütikhez-amelyeket aztán tovább lehet küldeni a nyomkövetők által ellenőrzött távoli, harmadik fél szervereire, hogy a megfigyelő entitás gonosz módon kezelhesse a személyes adatokat).
tehát fennáll annak a veszélye, hogy a nyomkövetők blokkolásával a magánélet védelme érdekében végzett okos mérnöki munka egy részét félre lehet állítani, ha az anti-nyomkövetők radarja alá kerül.
a kutatók találtak egy (hírhedt) nyomkövető szolgáltatót, a Criteo — t, amely visszaállította nyomkövető szkriptjeit az egyéni CNAME köpenyrendszerre, amikor észlelte a használt Safari webböngészőt-feltehetően az Apple ITP megkerülésének módjaként.
további aggályok merülnek fel a CNAME követésével kapcsolatban is: a cikk részletezi, hogy a jelenlegi webes architektúra következtében a séma “megnyitja az utat a széles körű cookie — szivárgások számára”, ahogy Olejnik fogalmaz-elmagyarázva, hogy az alkalmazott technika végeredménye hogyan lehet “sok független, legitim cookie”, amelyet a tracker aldomainnek küldenek.
Olejnik ezt az aggodalmat egy 2014 — es tanulmányban dokumentálta-de azt írja, hogy a probléma most felrobbant: “a jéghegy csúcsaként széles körű adatszivárgást találtunk 7377 webhelyen. Néhány adatszivárgás szinte minden webhelyen történik a CNAME séma használatával (az elemző sütik általában szivárognak). Ez arra utal, hogy ez a rendszer aktívan veszélyes. Ez káros a webes biztonságra és a magánéletre.”
a kutatók a tanulmányok webhelyeinek 95% – án szivárgó cookie-kat találtak.
azt is jelentik, hogy más harmadik féltől származó szkriptek által beállított cookie-k szivárgását találják, ami azt sugallja, hogy a kiszivárgott cookie-k ezekben az esetekben lehetővé teszik a CNAME tracker számára, hogy nyomon kövesse a felhasználókat a webhelyeken.
egyes esetekben úgy találták, hogy a kiszivárgott információk magánjellegű vagy érzékeny információkat tartalmaznak — például a felhasználó teljes nevét, tartózkodási helyét, e-mail címét és (további biztonsági okokból) hitelesítési sütit.
a tanulmány számos webes biztonsági aggályt vet fel, például amikor a CNAME-követőket HTTP-n, nem HTTPS-en keresztül szolgálják fel, ami gyakran előfordul, és megkönnyítheti a középső ember támadásait.
a CNAME álcázási rendszer elleni védekezéshez néhány nagyobb böngészőnek új trükköket kell alkalmaznia, a kutatók szerint — akik megjegyzik, hogy míg a Firefox (globális piaci részesedés körülbelül 4%) védelmet nyújt a technika ellen, a Chrome nem.
az Apple Safari böngészőjét alátámasztó WebKit motor mérnökei szintén dolgoznak az ITP fejlesztésein, amelyek célja a CNAME követés ellensúlyozása.
egy tavaly novemberi blogbejegyzésben John Wilander, az IPT mérnöke azt írta, hogy az alattomos technika elleni védekezésként “az ITP most felismeri a harmadik féltől származó CNAME álcázó kéréseket, és a HTTP válaszban beállított cookie-k lejáratát 7 napra korlátozza. Ez a sapka igazodik az ITP lejárati sapkájához a JavaScript segítségével létrehozott összes cookie-n.”
a Brave böngésző tavaly ősszel bejelentette a CNAME álcázás elleni küzdelmet célzó változásokat is.
“az 1.25.0 verzióban az uBlock Origin képes volt felismerni és blokkolni a CNAME-álcázott kéréseket a Mozilla félelmetes böngészőjével.dns API. Ez a megoldás azonban csak a Firefoxban működik, mivel a Chromium nem biztosítja a böngészőt.dns API. Bizonyos mértékig ezeket a kéréseket egyéni DNS-kiszolgálókkal lehet blokkolni. Azonban egyetlen böngésző sem szállított CNAME-alapú adblocking védelmi képességekkel, amelyek alapértelmezés szerint rendelkezésre állnak” – írta.
” A Bátor 1.17, A Brave Shields most rekurzívan ellenőrzi a kanonikus névrekordokat minden olyan hálózati kérésre, amelyet egyébként nem blokkolnak egy beágyazott DNS-feloldó segítségével. Ha a kérelemnek CNAME rekordja van, és a canonical tartományon belül ugyanaz a kérés blokkolva van, akkor a kérés blokkolva van. Ez a megoldás alapértelmezés szerint be van kapcsolva, így több millió felhasználó számára fokozott adatvédelmi védelmet biztosít.”
de a legnagyobb piaci részesedéssel rendelkező böngészőnek, a Chrome-nak van munkája, a kutatók szerint, akik írnak:
mivel a Chrome nem támogatja a bővítmények DNS-felbontási API-ját, a védelem nem alkalmazható erre a böngészőre. Következésképpen azt találjuk, hogy a CNAME-alapú nyomkövetők közül négyet (Oracle Eloqua, Eulerian, Criteo és Keyade) az Ublock Origin blokkolja a Firefoxon, de a Chrome verzióban nem.
a kutatás eredményeit tárgyalva Tom Van Goethem, a tanulmány másik szerzője elmondta, hogy a csapat adatai azt mutatják, hogy a CNAME-követést használó webes kiadók más, “tipikusabb” harmadik fél nyomkövetési módszereinek kiegészítésére használják.
” adataink azt mutatják, hogy a CNAME-alapú megjelenítők már jelentős számú nyomkövetővel rendelkeznek (webhelyenként átlagosan 20+), és úgy találják, hogy ez a nyomkövetők száma idővel stabil marad. Ez azt jelzi, hogy a CNAME-alapú követést nem a tipikus harmadik fél követésének helyettesítésére használják, hanem inkább a követési képességeik növelésére, például a felhasználók nyomon követés elleni mechanizmussal történő megcélzására”-mondta a TechCrunch-nak.
a kutatók nem arra összpontosítottak, hogy ok-okozati magyarázatot találjanak a CNAME álcázás használatának növekedésére. De Van Goethem azt mondta, hogy találtak néhány nyomkövetőt, amely csak a Safari böngésző ellen használja (“amelyről ismert, hogy szigorú nyomkövetés elleni védelmet tartalmaz”)-ami (legalábbis) részleges magyarázatot javasol a technika növekvő használatára.
arra a kérdésre, hogy milyen közösségi választ szeretnének látni a CNAME rendszer leküzdésére, azt mondta: “ideális esetben több nyomkövetés elleni védekezésnek robusztus intézkedéseket kell elfogadnia a CNAME-alapú követés ellen, hogy a felhasználók védve legyenek, függetlenül attól, hogy milyen böngészőt használnak.”
a böngészőknek több védelmet kell telepíteniük a különféle technikák leküzdésére a felhasználói magánélet hatékony védelme érdekében. Tehát a Firefox új TCP szolgáltatása esetében Van Goethem megjegyezte, hogy bár “lényegében” nem befolyásolja a CNAME-alapú (első fél) követést, védelmet nyújt az első fél követését alkalmazó webhelyek közötti cookie-szinkronizálás ellen.
” a CNAME-alapú nyomkövetéssel a nyomkövető követheti a felhasználó tevékenységét egy adott webhelyen (amely magában foglalja a nyomkövetőt is), de szinkronizálnia kell a cookie-kat más webhelyekkel, hogy összekapcsolja egy adott felhasználó nyomon követett tevékenységét az a webhelyen ugyanazon felhasználó tevékenységével a B webhelyen.
egyéb, nem cookie-alapú nyomkövetési technikák l-Ike eszköz ujjlenyomat és efemer ujjlenyomat– szintén használható a böngésző alapú védelem megkerülésére a cookie — alapú nyomkövetés ellen. “Ez azt jelenti, hogy a védekezésnek teljesnek kell lennie, és védelmet kell nyújtania minden típusú követés ellen a felhasználók védelme érdekében” – mondta per van Goethem.
“reméljük, hogy nagyszabású elemzésünk, amely azt mutatja, hogy a CNAME-alapú nyomkövetés egyre növekszik, felhívja a figyelmet, és ösztönzi a felhasználókat és a böngésző-gyártókat, hogy fejlesszék a védelmet a nyomkövető mechanizmus ellen” – tette hozzá.
” reméljük, hogy tanulmányunk rávilágít a kiadók potenciális biztonsági hatásaira a CNAME-alapú nyomkövetők bevonásával. Tanulmányunk során két olyan biztonsági problémát fedeztünk fel, amelyek a kiadói webhelyek összes látogatóját érintik; egy esetben a probléma még mindig nincs megoldva (annak ellenére, hogy többször megpróbálták elérni a nyomkövetőt a biztonsági rés jelentésére), több száz webhely látogatóját veszélyeztetve.”
a szabályozási intézkedés/végrehajtás szintén hasznos lehet a CNAME technika használatának megfékezésében-javasolta.
ezt a jelentést további megjegyzésekkel frissítettük.
{{{cím}}}
{{{szerző}}}
{{{dátum}}}