Mozilla beefs opp anti-cross-site sporing I Firefox, Som Chrome fortsatt henger på personvern

@riptari/5: 14 am PST • februar 24, 2021

GettyImages 1045357252

Image Credits:Getty Images

Mozilla har ytterligere styrket anti-sporingstiltak i Sin Firefox-nettleser. I et blogginnlegg i går annonserte Det At Firefox 86 har et ekstra lag med anti-cookie — sporing innebygd i enhanced tracking protection (etp) strict mode-som Den kaller «Total Cookie Protection» (TCP).

dette «store personvernforløpet», som det regner med, forhindrer sporing på tvers av nettsteder ved å silo tredjeparts informasjonskapsler per nettsted.

Mozilla sammenligner dette med å ha en egen cookie jar for hvert nettsted-så, For F. Eks Facebook cookies er ikke lagret i samme kar som cookies for at sneaker nettsted der du kjøpte din siste spark, og så videre.

det nye laget av personverninnpakning «gir omfattende partisjonering av informasjonskapsler og andre nettsteddata mellom nettsteder I Firefox», forklarer Mozilla.

sammen med en annen anti-tracking-funksjon annonserte den i forrige måned-målretting av såkalte «supercookies — – aka sneaky trackers som lagrer bruker-Ider i» stadig mer obskure » deler av nettleseren (Som Flash-lagring, ETags og hsts-flagg), dvs. der det er vanskelig for brukere å slette eller blokkere dem — kombinerer funksjonene for å «hindre nettsteder i å kunne «tagge» nettleseren din, og dermed eliminere den mest gjennomgripende sporingsteknikken på tvers av nettsteder», Per Mozilla.

Det er et «begrenset unntak» for informasjonskapsler på tvers av nettsteder når De trengs for ikke-sporingsformål-Mozilla gir eksemplet på populære tredjeparts innloggingsleverandører.

«Bare Når Total Cookie Protection oppdager at Du har tenkt å bruke en leverandør, vil Den gi leverandøren tillatelse til å bruke en informasjonskapsel på tvers av nettsteder spesielt for nettstedet du besøker for øyeblikket. Slike øyeblikkelige unntak tillater sterk personvernbeskyttelse uten å påvirke nettleseropplevelsen din, » legger det til.

Trackerblokkering har lenge vært et våpenkappløp mot adtech-bransjens vilje til å fortsette å overvåke nettbrukere – og tommelfingre nesen på tanken om samtykke til å spionere på folks onlinevirksomhet-helles ressurs i å utarbeide djevelske nye teknikker for å prøve å holde øye med hva internett-brukere gjør. Men denne kampen har trappet opp de siste årene som nettleser beslutningstakere har tatt en tøffere pro-personvern / anti-tracker holdning.

Mozilla, for eksempel, begynte å lage tracker blokkering av standard tilbake i 2018-fortsetter Å gjøre ETP standard i Firefox i 2019, blokkerer informasjonskapsler fra selskaper identifisert som trackers av sin partner, Koble Fra.

Mens Apples Safari-nettleser la til EN» Intelligent Tracking Prevention » (ITP) — funksjon i 2017-ved å bruke maskinlæring for å identifisere sporere og segregere skriptdataene på tvers av nettsteder for å beskytte brukernes nettleserhistorikk fra tredjeparts øyne.

Google har også satt katten blant adtech-duene ved å kunngjøre en planlagt utfasing av støtte for tredjeparts informasjonskapsler I Chrome — som det sa ville komme innen to år tilbake i januar 2020 — selv om det fortsatt jobber med dette «personvernsandbox» – prosjektet, som det kaller det (nå under OPPSYN AV BRITISKE antitrustregulatorer).

Google har gjort personvernforsterkende lyder siden 2019, som svar på resten av nettlesermarkedet som reagerer på bekymring for personvern på nettet.

i April i fjor rullet det tilbake en endring som hadde gjort det vanskeligere for nettsteder å få tilgang til tredjeparts informasjonskapsler, og citerte bekymringer for at nettsteder kunne utføre viktige funksjoner under pandemien-selv om dette ble gjenopptatt i juli. Men det er rimelig å si at adtech-giganten forblir laggard når det gjelder å utføre på sin påståtte plan for å bøte opp personvernet.

Gitt Chrome markedsandel, som etterlater de fleste av verdens nettbrukere utsatt for mer sporing enn de ellers ville være ved å bruke en annen, mer personvern-proaktiv nettleser.

Og Som Mozillas nyeste anti-cookie tracking-funksjon viser, er løpet for å overvinne adtechs allergi mot personvern (og samtykke) heller ikke den typen som har en målstrek. Så å være sakte å gjøre personvernbeskyttelse er uten tvil ikke veldig annerledes enn å ikke tilby mye personvern i det hele tatt.

til vidd: En bekymringsfull utvikling-på den ikke-tredjeparts-cookie-baserte sporingsfronten – er detaljert i dette nye papiret av en gruppe personvernforskere som gjennomførte en analyse av CNAME-sporing (aka EN DNS-basert anti-tracking evasion-teknikk) og fant at bruken av den sleipe anti-tracking evasion-metoden hadde vokst med rundt en femtedel på bare under to år.

teknikken har reist vanlige bekymringer om» unblockable » web tracking siden rundt 2019-da utviklere oppdaget at den ble brukt i naturen av en fransk aviswebside. Siden da har bruken økt, per forskningen.

I et nøtteskall kapper CNAME-sporingsteknikken trackeren ved å injisere den inn i førstepartskonteksten til det besøkte nettstedet – via innholdet som er innebygd gjennom et underdomene på nettstedet som faktisk er et alias for trackerdomenet.

» denne ordningen fungerer takket VÆRE EN DNS-delegasjon. Ofte er DET EN DNS CNAME-post, » skriver en av papirforfatterne, personvern og sikkerhetsforsker Lukasz Olejnik, i et blogginnlegg om forskningen. «Trackeren er teknisk vert i et underdomene på det besøkte nettstedet.

» Ansettelse av en slik ordning har visse konsekvenser. Den slags fools grunnleggende web sikkerhet og personvern beskyttelse-å tro at brukeren er forsettlig surfer tracker nettstedet. Når en nettleser ser en slik ordning, noen sikkerhet og personvern er avslappet.»

ikke la deg lure av bruken av ordet ‘avslappet — – Som Olejnik fortsetter å understreke at CNAME-sporingsteknikken har «betydelige implikasjoner for websikkerhet og personvern». Slik som nettlesere som blir lurt til å behandle en sporing som legitimt førsteparts innhold på det besøkte nettstedet(som igjen låser opp «mange fordeler», for eksempel tilgang til førsteparts informasjonskapsler-som deretter kan sendes til eksterne tredjeparts servere kontrollert av sporerne, slik at overvåkingsenheten kan ha sin onde måte med personopplysningene).

så risikoen er at en del av det smarte ingeniørarbeidet som gjøres for å beskytte personvernet ved å blokkere sporere, kan settes på sidelinjen ved å komme under anti-sporernes radar.

forskerne fant en (beryktet) sporingsleverandør, Criteo, som reverserte sporingsskriptene til den tilpassede CNAME cloak — ordningen da Den oppdaget Safari-nettleseren i bruk-som antagelig en måte å omgå Apples ITP.

det er ytterligere bekymringer over CNAME-sporing også: papiret beskriver hvordan, som en konsekvens av dagens webarkitektur, ordningen «låser opp en måte for brede cookie lekkasjer», Som Olejnik sier det-forklarer hvordan resultatet av teknikken som blir distribuert, kan være» mange ikke-relaterte, legitime informasjonskapsler » som sendes til tracker-underdomenet.

Olejnik dokumenterte denne bekymringen i en studie tilbake i 2014 – men han skriver at problemet nå har eksplodert: «Som toppen av isfjellet fant vi brede datalekkasjer på 7.377 nettsteder. Noen datalekkasjer skjer på nesten alle nettsteder ved HJELP AV CNAME-ordningen(analytics-informasjonskapsler lekker vanligvis). Dette antyder at denne ordningen er aktivt farlig. Det er skadelig for web sikkerhet og personvern.»

forskerne fant cookies lekker på 95% av studiene nettsteder.

de rapporterer også å finne lekkasjer av informasjonskapsler satt av andre tredjepartsskript, noe som tyder på at lekkede informasjonskapsler i disse tilfellene vil tillate CNAME tracker å spore brukere på tvers av nettsteder.

i noen tilfeller fant de ut at lekket informasjon inneholdt privat eller sensitiv informasjon — for eksempel brukerens fulle navn, plassering, e-postadresse og (i en ekstra sikkerhetsrelatert) autentiseringsinformasjonskapsel.

papiret fortsetter å øke en rekke sikkerhetsproblemer, for eksempel NÅR CNAME-sporere blir servert OVER HTTP, ikke HTTPS, som de fant skjedde ofte, og kunne lette man-in-the-middle-angrep.

Forsvar mot CNAME maskering ordningen vil kreve noen store nettlesere til å vedta nye triks, per forskerne — som oppmerksom På At Mens Firefox (global markedsandel circa 4%) tilbyr et forsvar mot teknikken Chrome ikke.

Ingeniører På WebKit-motoren som støtter Apples Safari-nettleser, har også jobbet med å gjøre forbedringer TIL ITP for å motvirke CNAME-sporing.

I et blogginnlegg i November i fjor, IPT ingeniør John Wilander skrev at som forsvar mot sleipe teknikk » ITP oppdager nå tredjeparts CNAME maskering forespørsler og caps utløpet av eventuelle cookies satt I HTTP svar til 7 dager. Denne hetten er på linje MED ITPS utløpstak på alle informasjonskapsler som er opprettet Via JavaScript.»

Den Modige nettleseren annonserte også endringer i fjor høst med sikte på å bekjempe CNAME maskering.

» i versjon 1.25.0 fikk uBlock Origin muligheten til å oppdage OG blokkere CNAME-innhyllede forespørsler ved Hjelp Av Mozillas fantastiske nettleser.dns API. Denne løsningen fungerer imidlertid bare I Firefox, da Chromium ikke gir nettleseren.dns API. I noen grad kan disse forespørslene blokkeres ved hjelp av egendefinerte DNS-servere. Men ingen nettlesere har levert MED CNAME-baserte adblocking beskyttelse evner tilgjengelig og på som standard, » det skrev.

» I Modig 1.17, Brave Shields vil nå rekursivt sjekke de kanoniske navnepostene for enhver nettverksforespørsel som ikke ellers er blokkert ved hjelp av en innebygd DNS-resolver. Hvis forespørselen har EN CNAME-post, og den samme forespørselen under det kanoniske domenet vil bli blokkert, blir forespørselen blokkert. Denne løsningen er på som standard, og gir forbedret personvernbeskyttelse til millioner av brukere.»

men nettleseren med den største markedsandelen, Chrome, har arbeid å gjøre, per forskerne, som skriver:

Fordi Chrome ikke støtter EN DNS resolution API for utvidelser, kunne ikke forsvaret brukes på denne nettleseren. Følgelig finner vi at fire AV CNAME-baserte trackere (Oracle Eloqua, Eulerian, Criteo og Keyade) er blokkert av uBlock Origin På Firefox, men ikke På Chrome-versjonen.

Tom Van Goethem, en annen av papirforfatterne, Sa at lagets data viser at webutgivere som bruker CNAME-sporing, bruker den til å supplere andre, mer «typiske» tredjeparts sporingsmetoder.

» våre data viser at utgivere som tar I BRUK CNAME-baserte ALLEREDE har et betydelig antall sporere (20 + per nettsted i gjennomsnitt), og finner at dette antallet sporere forblir stabilt over tid. DETTE indikerer at CNAME-basert sporing ikke brukes som en erstatning for den typiske tredjepartssporingen, men heller for å øke sporingskapasiteten, for eksempel å målrette brukere med anti-sporingsmekanisme, » sa Han Til TechCrunch.

forskerne var ikke fokusert på å komme opp med en årsakssammenheng for økningen i bruken av CNAME maskering. Men Van Goethem sa at De fant noen trackere som bare brukte Den mot Safari-nettleseren («som er kjent for å inkludere strenge anti-sporingsbeskyttelse») — noe som antyder (i det minste) en delvis forklaring på økende bruk av teknikken.

Spurte hva slags samfunnsrespons de vil se for å bekjempe CNAME-ordningen, sa han: «Ideelt sett bør flere anti-sporingsforsvar vedta robuste tiltak mot CNAME-basert sporing slik at brukerne er beskyttet uavhengig av nettleseren de bruker.»

Nettlesere må distribuere flere forsvar for å bekjempe en rekke teknikker for effektivt å forsvare brukerens personvern. Så, Når Det gjelder Firefox ‘ nye TCP-funksjon, bemerket Van Goethem at Selv om Det ikke påvirker CNAME-basert (førsteparts) sporing «i hovedsak», beskytter Den mot informasjonskapselsynkronisering mellom nettsteder som bruker førsteparts sporing.

«MED CNAME-basert sporing kan sporeren følge brukerens aktiviteter på et bestemt nettsted (som inkluderer sporingen), men den må synkronisere informasjonskapsler med andre nettsteder for å koble de sporede aktivitetene til en bestemt bruker På nettsted A til aktivitetene til den samme brukeren På nettsted B. Total Beskyttelse Av Informasjonskapsler vil forhindre dette,» forklarte han.

Andre ikke-cookie-baserte sporingsteknikker l– ike device fingerprinting og flyktig fingerprinting — kan også brukes til å omgå nettleserbasert forsvar mot cookie-basert sporing. «Dette betyr at forsvaret må være komplett, og gi beskyttelse mot alle typer sporing for å beskytte brukerne,» per Van Goethem.

«vi håper at vår store analyse, som viser AT CNAME-basert sporing øker, vil øke bevisstheten og stimulere brukere og nettleserleverandører til å fremme forsvar mot denne sporingsmekanismen,» la han til.

» videre håper vi at vår studie vil fremheve den potensielle sikkerhetspåvirkningen utgivere står overfor ved å inkludere CNAME-baserte sporere. Gjennom hele studien oppdaget vi to sikkerhetsproblemer som påvirker alle besøkende på utgivernettsteder; i ett tilfelle er problemet fortsatt ikke løst (til tross for flere forsøk på å nå ut til sporeren for å rapportere sårbarheten), noe som setter besøkende på hundrevis av nettsteder i fare.»

Regulatorisk handling/håndhevelse kan også være nyttig for å dempe bruken AV CNAME-teknikken, foreslo han også.

denne rapporten ble oppdatert med ytterligere kommentar.

{{{tittel}}}

{{{forfatter}}}
{{{date}}}

{{title}} Bilde

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert.