画像クレジット:ゲッティイメージズ
MozillaはFirefoxブラウザで追跡防止対策をさらに強化しています。 昨日のブログ記事では、Firefox86には、enhanced tracking protection(ETP)strictモードに組み込まれたアンチクッキー追跡の追加レイヤーがあり、「Total Cookie Protection」(TCP)と呼ばれていることを発表しました。
この”主要なプライバシーアドバンス”は、それを請求するように、ウェブサイトごとにサードパーティのcookieをサイロ化することにより、クロスサイ
Mozillaはこれを各サイトごとに別々のクッキージャーを持つことに似ています—例えば、Facebookのクッキーは、あなたが最新のキックを購入したそのスニーカーのウ
プライバシーラッピングの新しい層は、”Firefoxのウェブサイト間でクッキーやその他のサイトデータの包括的な分割を提供します”とMozillaは説明しています。
は先月発表した別のトラッキング対策機能とともに、いわゆる”supercookies”をターゲットにしています。 ユーザーがそれらを削除またはブロックすることが困難な場合—Mozillaによると、この機能は「webサイトがブラウザに「タグ付け」できるのを防ぎ、最も普及しているクロスサイトトラッキング技術を排除する」ために組み合わされています。
クロスサイトクッキーがトラッキング以外の目的で必要とされる場合には、”限定された例外”があります-Mozillaは、一般的なサードパーティのログインプロバイダの例を示しています。
“Total Cookie Protectionがプロバイダを使用する予定であることを検出した場合にのみ、そのプロバイダに現在訪問しているサイト専用のクロスサイトクッキーを使 このような瞬間的な例外は、あなたの閲覧体験に影響を与えることなく、強力なプライバシー保護を可能にし、”それは追加されます。
トラッカーブロッキングは、長い間、ウェブユーザーを監視し続けるというadtech業界の決意に対する軍拡競争であり、人々のオンラインビジネスをスパイする しかし、この戦いは、ブラウザメーカーが厳しいプロプライバシー/アンチトラッカーの姿勢を取ってきたように、近年ではステップアップしています。たとえば、Mozillaは2018年にtrackerのデフォルトブロックを開始しました—2019年にFirefoxでetpをデフォルトにし、パートナーであるDisconnectによってトラッカーとして識別された企業からのcookieをブロックしています。
AppleのSafariブラウザは、2017年に「Intelligent Tracking Prevention」(ITP)機能を追加しましたが、機械学習を適用してトラッカーを識別し、クロスサイトスクリプティングデータを分離して、ユーザーの閲覧履歴をサードパーティの目から保護しました。
Googleはまた、Chromeでのサードパーティcookieのサポートを段階的に廃止する計画を発表し、adtechのハトの中に猫を入れました-2020年1月に2年以内に来ると述べました—この「privacy sandbox」プロジェクトにはまだ取り組んでいますが、(現在は英国の独占禁止規制当局の監視下にあります)。
Googleは2019年以降、オンラインプライバシーへの懸念に対応したブラウザ市場の残りの部分に対応して、プライバシー強化の騒音を出しています。
昨年4月には、サイトがパンデミックの間に不可欠な機能を実行できるという懸念を理由に、サイトがサードパーティのcookieにアクセスするのを困難にしていた変更をロールバックしたが、これは7月に再開された。 しかし、adtechの巨人は、プライバシーを強化するために主張されている計画を実行することになると、遅れのままであると言っても過言ではありません。
Chromeの市場シェアを考えると、世界のwebユーザーのほとんどは、異なる、よりプライバシーに配慮したブラウザを使用することにより、それ以外の場合よりも多くの追跡にさらされています。
そして、Mozillaの最新のアンチクッキー追跡機能が示すように、adtechのプライバシー(および同意)に対するアレルギーの裏をかくレースも、フィニッシュラインを持つ種ではありません。 だから、間違いなくプライバシー保護を行うには遅いことは、すべてで多くのプライバシー保護を提供していないことに非常に違いはありません。
: CNAME追跡(別名DNSベースの追跡回避技術)の分析を実施し、卑劣な追跡回避方法の使用がわずか2年で約5倍に成長したことを発見したプライバシー研究者のグループによるこの新しい論文では、非サードパーティのcookieベースの追跡フロントに関する1つの心配な開発が詳述されています。
この手法は、開発者がフランスの新聞ウェブサイトによって野生で使用されていることを発見した2019年頃から、”ブロックできない”ウェブ追跡に関 それ以来、研究によると、使用は増加しています。
一言で言えば、CNAME追跡技術は、訪問したウェブサイトのファーストパーティのコンテキストにトラッカーを注入することによって、実際にはトラッカードメインのエイリアスであるサイトのサブドメインを介して埋め込まれたコンテンツを介して、トラッカーをクロークします。
“このスキームはDNS委任のおかげで機能します。 ほとんどの場合、それはDNS CNAMEレコードです」と、研究に関するブログ記事で、プライバシーとセキュリティの研究者であるLukasz Olejnikの一人が書いています。 “トラッカーは、技術的には訪問したウェブサイトのサブドメインでホストされています。
“このようなスキームの雇用には一定の結果があります。 ユーザーが故意にトラッカーウェブサイトを閲覧していると思うように—それは一種の基本的なwebセキュリティとプライバシー保護を愚か者。 Webブラウザがこのようなスキームを見ると、いくつかのセキュリティとプライバシー保護が緩和されます。”
‘relaxed’という言葉の使用にだまされてはいけません—OlejnikはCNAME追跡技術が”webセキュリティとプライバシーに実質的な影響”を持っていることを強調しています。 ブラウザがトラッカーを訪問したウェブサイトの正当なファーストパーティコンテンツとして扱うようにだまされるなど(これは、ファーストパーティクッキーへのアクセスなどの”多くの利点”のロックを解除し、トラッカーによって制御されるリモートのサードパーティのサーバーに送信することができるため、surveillingエンティティは個人データを邪悪な方法で扱うことができます)。
だから、危険は、トラッカーをブロックすることによってプライバシーを保護するために行われている巧妙なエンジニアリング作業の塊が、アンチトラッカーのレーダーの下に入ることによって回避される可能性があるということです。
研究者らは、おそらくAppleのITPを回避する方法として、使用中のSafari webブラウザを検出したときに、追跡スクリプトをカスタムCNAME cloakスキームに戻す(悪名高い)
CNAMEの追跡についてもさらに懸念があります:この論文では、現在のwebアーキテクチャの結果として、olejnikが言うように、スキームがどのように”広範なcookieリークの
Olejnikは2014年の研究でこの懸念を文書化しましたが、彼は問題が爆発したと書いています:「氷山の一角として、7,377のwebサイトで広範なデータ漏洩が見 一部のデータ漏洩は、CNAMEスキームを使用してほぼすべてのwebサイトで発生します(分析cookieは一般的に漏れます)。 これは、このスキームが積極的に危険であることを示唆している。 これは、webセキュリティとプライバシーに有害です。”
研究者は、研究のウェブサイトの95%にクッキーが漏れていることを発見しました。
彼らはまた、他のサードパーティのスクリプトによって設定されたcookieのリークを発見したと報告しており、漏洩したcookieは、CNAME trackerがウェブサイト間でユーザーを追跡することを可能にすることを示唆している。
リークされた情報には、ユーザーの氏名、場所、電子メールアドレス、(追加のセキュリティ上の懸念で)認証cookieなどの個人情報や機密情報が含まれていることが
この論文では、CNAMEトラッカーがHTTPSではなくHTTP経由で提供される場合など、多くのwebセキュリティ上の懸念を提起しており、頻繁に発生しており、中間者攻撃を容易にする可能性があることが判明している。
CNAMEクローキングスキームに対する防御には、いくつかの主要なブラウザが新しいトリックを採用する必要がありますが、Firefox(世界市場シェア約4%)はChromeにはない技術に対する防御を提供していることに注意してください。
AppleのSafariブラウザを支えるWebKitエンジンのエンジニアも、CNAME追跡に対抗するためにITPの機能強化に取り組んでいます。
昨年11月のブログ記事で、IPTエンジニアのJohn Wilanderは、卑劣な技術に対する防御として、「itpはサードパーティのCNAMEクローキング要求を検出し、HTTP応答で設定されたcookieの有効期限を7日間に制限するようになりました。 この上限は、JavaScriptを介して作成されたすべてのcookieのITPの有効期限の上限と一致します。”
Brave browserは、CNAMEクローキングとの闘いを目的とした昨年秋の変更も発表しました。
“バージョン1.25.0では、Ublock OriginはMozillaの素晴らしいブラウザを使用してCNAMEクロークされた要求を検出してブロックする機能を獲得しました。dns API。 ただし、Chromiumはブラウザを提供しないため、この解決策はFirefoxでのみ機能します。dns API。 これらの要求は、カスタムDNSサーバーを使用してある程度ブロックできます。 しかし、CNAMEベースのadblocking保護機能がデフォルトで利用可能であるブラウザは出荷されていません”と書いています。
“勇者1.17、Brave Shieldsは、組み込みDNSリゾルバを使用してブロックされていないネットワーク要求の正規名レコードを再帰的にチェックします。 要求にCNAMEレコードがあり、正規ドメインの下で同じ要求がブロックされる場合、要求はブロックされます。 このソリューションは、何百万人ものユーザーに強化されたプライバシー保護をもたらし、デフォルトでオンになっています。”
しかし、最大の市場シェアを持つブラウザ、Chromeは、書く研究者によると、行うための仕事を持っています:
Chromeは拡張機能のDNS解決APIをサポートしていないため、このブラウザに防御を適用できませんでした。 その結果、CNAMEベースのトラッカーのうち4つ(Oracle Eloqua、Eulerian、Criteo、およびKeyade)は、FirefoxではUblock Originによってブロックされますが、Chromeバージョンではブロックされません。
研究結果について議論し、論文の著者の別のTom Van Goethemは、チームのデータは、CNAME追跡を使用するwebパブリッシャーが他の、より”典型的な”サードパーティの追跡方法を補
“CNAMEベースを採用しているパブリッシャーは、すでにかなりの数のトラッカー(サイトあたり平均20+)を持っており、この数のトラッカーは時間の経過とともに安定していることが分かっている。 これは、CNAMEベースの追跡は、典型的なサードパーティの追跡の代替として使用されるのではなく、追跡機能を増やすために使用されることを示しています。
研究者はCNAMEクローキングの使用の増加についての因果的な説明を考え出すことに焦点を当てていませんでした。 しかし、Van Goethemは、Safariブラウザ(”厳密な追跡防止保護を含むことが知られている”)に対してのみそれを使用しているトラッカーを見つけたと言いました。
は、CNAME方式に対抗するためにどのようなコミュニティの反応を見たいのか尋ねたところ、彼は言った:”理想的には、より多くの追跡防止防御は、ユーザーが使”
ブラウザは、ユーザーのプライバシーを効果的に守るために、さまざまな技術に対抗するために複数の防御を展開する必要があります。 そのため、Firefoxの新しいTCP機能の場合、Van Goethem氏は、CNAMEベースの(ファーストパーティの)追跡には「本質的に」影響しませんが、ファーストパーティの追跡を使用するサイト間のcookie同期から保護することに注意しています。
“CNAMEベースの追跡では、トラッカーは特定のサイト(トラッカーを含む)でのユーザーの活動を追跡できますが、サイトA上の特定のユーザーの追跡された活動をサイトB上の同じユーザーの活動にリンクするために、他のサイトとcookieを同期させる必要があります。
その他の非cookieベースの追跡技術l-ikeデバイスのフィンガープリントと一時的なフィンガープリント-cookieベースの追跡に対するブラウザベースの防御を回避す 「これは、ユーザーを保護するためには、防御が完全であり、あらゆる種類の追跡に対する保護を提供する必要があることを意味します」とVan Goethem氏は述べてい
“CNAMEベースの追跡が増加していることを示す大規模な分析が、意識を高め、この追跡メカニズムに対する防御を進めるためにユーザーとブラウザベンダーを奨励することを願っています”と彼は付け加えた。
“さらに、CNAMEベースのトラッカーを含めることによって、出版社が直面する潜在的なセキュリティへの影響を強調することを願っています。 あるケースでは、問題はまだ修正されておらず(脆弱性を報告するためにトラッカーに何度も手を差し伸べても)、何百ものwebサイトの訪問者が危険にさらされています。”
規制措置/執行は、CNAME技術の使用を抑制するのにも役立つ可能性がある、と彼はまた示唆した。
このレポートは追加のコメントで更新されました。
{{{タイトル}}}
{{{
{{{日付}}}
{{{日付}}}
}}}