Image Credits: Getty Images
Mozilla heeft verder versterkt anti-tracking maatregelen in de Firefox browser. In een blog post gisteren aangekondigd dat Firefox 86 heeft een extra laag van anti-cookie tracking ingebouwd in de verbeterde tracking protection (ETP) strikte modus — die het roept “Total Cookie Protection” (TCP).
deze “belangrijke privacyvooruitgang”, zoals het factureert, voorkomt cross-site tracking door het siloeren van cookies van derden per website.
Mozilla vergelijkt dit met het hebben van een aparte Cookie pot voor elke site — dus, voor bijvoorbeeld Facebook cookies worden niet opgeslagen in hetzelfde bad als cookies voor die sneaker website waar u uw nieuwste kicks gekocht, enzovoort.
de nieuwe privacywrappinglaag “biedt uitgebreide partitionering van cookies en andere sitegegevens tussen websites in Firefox”, legt Mozilla uit.
samen met een andere anti-tracking functie kondigde het vorige maand-targeting zogenaamde “supercookies — – aka sneaky trackers die gebruikers-ID’ s op te slaan in “steeds obscure” delen van de browser (zoals Flash storage, ETags en HST vlaggen), d.w.z. waar het moeilijk is voor gebruikers om ze te verwijderen of te blokkeren — de functies combineren om “te voorkomen dat websites in staat zijn om ’tag’ uw browser, waardoor het elimineren van de meest alomtegenwoordige cross-site tracking techniek”, per Mozilla.
er is een “beperkte uitzondering” voor cross-site cookies wanneer ze nodig zijn voor niet-tracking doeleinden — Mozilla geeft het voorbeeld van populaire inlogproviders van derden.
” alleen wanneer Total Cookie Protection detecteert dat u van plan bent een provider te gebruiken, zal het die provider toestemming geven om een cross-site cookie te gebruiken specifiek voor de site die u momenteel bezoekt. Dergelijke tijdelijke uitzonderingen zorgen voor een sterke bescherming van de privacy zonder dat uw surfervaring, ” voegt het toe.Trackerblokkering is lange tijd een wapenwedloop geweest tegen de vastbeslotenheid van de Adtech — industrie om webgebruikers te blijven observeren — en haar neus te duimen bij het idee van toestemming om online zaken van mensen te bespioneren-waardoor middelen worden gebruikt om duivelse nieuwe technieken te bedenken om te proberen te blijven kijken wat internetgebruikers doen. Maar deze strijd is toegenomen in de afgelopen jaren als browser makers zijn het nemen van een hardere pro-privacy/anti-tracker houding.
Mozilla, bijvoorbeeld, begonnen met het maken van tracker blokkeren van de standaard terug in 2018-ga verder met het maken van ETP de standaard in Firefox in 2019, het blokkeren van cookies van bedrijven geïdentificeerd als trackers door zijn partner, Disconnect.
terwijl Apple ‘ s Safari-browser een “Intelligent Tracking Prevention” (ITP) — functie heeft toegevoegd in 2017-door machine learning toe te passen om trackers te identificeren en de cross-site scripting-gegevens te scheiden om de browsegeschiedenis van gebruikers te beschermen tegen ogen van derden.
Google heeft ook de kat onder de Adtech duiven door de aankondiging van een geplande uitfasering van de ondersteuning voor cookies van derden in Chrome-waarvan zij zei dat zou komen binnen twee jaar terug in januari 2020 — hoewel het nog steeds werkt aan dit “privacy sandbox” project, zoals het het noemt (nu onder het waakzame oog van de Britse antitrust toezichthouders).
Google maakt privacyversterkende geluiden sinds 2019, als reactie op de rest van de browsermarkt die reageert op bezorgdheid over online privacy.
in April vorig jaar werd een wijziging teruggedraaid die het voor sites moeilijker maakte om toegang te krijgen tot cookies van derden, onder verwijzing naar de bezorgdheid dat sites tijdens de pandemie essentiële functies konden vervullen-hoewel dit in juli werd hervat. Maar het is eerlijk om te zeggen dat de Adtech Reus blijft de laggard als het gaat om het uitvoeren van zijn beweerde plan om de privacy te verhogen.
gezien het marktaandeel van Chrome zijn de meeste webgebruikers in de wereld blootgesteld aan meer tracking dan ze anders zouden zijn door een andere, meer privacy-proactieve browser te gebruiken.
en zoals Mozilla ’s nieuwste anti-cookie tracking functie laat zien, is de race om adtech’ s allergie voor privacy (en toestemming) te slim af te zijn ook niet het soort dat een finish heeft. Dus traag om privacy bescherming te doen is misschien niet heel anders dan niet het aanbieden van veel privacy op alle.
te wit: Een zorgwekkende ontwikkeling – op de niet-derde-partij-cookie-gebaseerde tracking front-wordt gedetailleerd in dit nieuwe document door een groep van privacy onderzoekers die een analyse van CNAME tracking uitgevoerd (aka een DNS-gebaseerde anti-tracking evasion techniek) en vond dat het gebruik van de stiekeme anti-tracking evasion methode was gegroeid met ongeveer een vijfde in iets minder dan twee jaar.
sinds 2019 — toen ontwikkelaars zagen dat het in het wild werd gebruikt door een Franse krantenwebsite-roept de techniek de meeste zorgen op over “niet-blokkeerbare” webtracking. Sindsdien is het gebruik gestegen, volgens het onderzoek.
In een notendop de CNAME tracking techniek verhult de tracker door het te injecteren in de eerste partij context van de bezochte website-via de inhoud wordt ingebed via een subdomein van de site die eigenlijk een alias is voor het tracker domein.
” dit schema werkt dankzij een DNS-delegatie. Meestal is het een DNS CNAME record, ” schrijft een van de paper auteurs, privacy en veiligheid onderzoeker Lukasz Olejnik, in een blog post over het onderzoek. “De tracker wordt technisch gehost in een subdomein van de bezochte website.
” de toepassing van een dergelijke regeling heeft bepaalde gevolgen. Het soort dwazen de fundamentele webbeveiliging en privacybescherming-te denken dat de gebruiker opzettelijk surfen op de tracker website. Wanneer een webbrowser een dergelijke regeling ziet, zijn sommige beveiliging en privacybescherming ontspannen.”
laat u niet misleiden door het gebruik van het woord ‘relaxed’ — zoals Olejnik verder benadrukt dat de CNAME-tracking-techniek”aanzienlijke implicaties heeft voor webbeveiliging en privacy”. Zoals browsers die worden misleid om een tracker te behandelen als legitieme first-party content van de bezochte website (die op zijn beurt “veel voordelen” ontsluit, zoals toegang tot first-party cookies — die vervolgens kunnen worden verzonden naar externe servers van derden die door de trackers worden gecontroleerd, zodat de bewakingsdienst zijn slechte weg kan vinden met de persoonlijke gegevens).
het risico bestaat dus dat een deel van het slimme engineeringswerk dat wordt gedaan om de privacy te beschermen door trackers te blokkeren, buitenspel kan worden gezet door onder de radar van de anti-trackers te komen.
de onderzoekers vonden een (beruchte) tracker provider, Criteo, terug te keren zijn tracking scripts naar de aangepaste CNAME cloak schema toen het gedetecteerd de Safari webbrowser in gebruik — als, vermoedelijk, een manier om Apple ‘ s ITP te omzeilen.
er zijn ook andere zorgen over het volgen van CNAME: in het document wordt beschreven hoe, als gevolg van de huidige webarchitectuur, het schema “een manier ontsluit voor brede cookielekken”, zoals Olejnik het uitdrukt — en wordt uitgelegd hoe het resultaat van de techniek die wordt ingezet “veel niet-gerelateerde, legitieme cookies” kan zijn die naar het tracker-subdomein worden verzonden.
Olejnik documenteerde deze bezorgdheid in een studie terug in 2014 – maar hij schrijft dat het probleem nu is geëxplodeerd: “als het topje van de ijsberg, vonden we brede datalekken op 7.377 websites. Sommige datalekken gebeuren op bijna elke website met behulp van de CNAME regeling (analytics cookies vaak lekken). Dit suggereert dat deze regeling actief gevaarlijk is. Het is schadelijk voor webbeveiliging en privacy.”
de onderzoekers ontdekten dat op 95% van de websites van de studies cookies lekken.
ze melden ook het vinden van lekken van cookies die zijn ingesteld door andere scripts van derden, wat suggereert dat lekkage van cookies in die gevallen de CNAME tracker in staat zou stellen gebruikers op verschillende websites te volgen.
in sommige gevallen vonden ze dat uitgelekte informatie privé-of gevoelige informatie bevatte-zoals de volledige naam, locatie, E-mailadres van een gebruiker en (in een extra beveiligingsprobleem) authenticatiecookie.
het papier gaat verder met een aantal problemen op het gebied van webbeveiliging, zoals wanneer CNAME trackers worden geserveerd via HTTP niet HTTPS, die ze vonden vaak gebeurde, en zou man-in-the-middle aanvallen te vergemakkelijken.
verdedigen tegen de CNAME-cloaking-regeling vereist dat sommige grote browsers nieuwe trucs gebruiken, volgens de onderzoekers — die opmerken dat terwijl Firefox (wereldwijd marktaandeel circa 4%) wel een verdediging biedt tegen de techniek die Chrome niet heeft.
ingenieurs van de WebKit-engine die Apple ‘ s Safari-browser ondersteunt, hebben ook gewerkt aan verbeteringen aan ITP om CNAME-tracking tegen te gaan.
in een blogbericht van afgelopen November schreef IPT-ingenieur John Wilander dat als verdediging tegen de stiekeme techniek “ITP nu CNAME-camouflage-verzoeken van derden detecteert en de vervaldatum van cookies die in het HTTP-antwoord zijn geplaatst, beperkt tot 7 dagen. Deze cap is afgestemd op ITP ‘ s vervaldatum cap op alle cookies die via JavaScript.”
The Brave browser kondigde afgelopen herfst ook wijzigingen aan die gericht waren op het bestrijden van CNAME-cloaking.
“in versie 1.25.0 kreeg uBlock Origin De mogelijkheid om CNAME-gecamoufleerde verzoeken te detecteren en te blokkeren met behulp van Mozilla’ s geweldige browser.dns API. Echter, deze oplossing werkt alleen in Firefox, als Chromium biedt niet de browser.dns API. Tot op zekere hoogte kunnen deze aanvragen worden geblokkeerd met aangepaste DNS-servers. Echter, geen browsers zijn geleverd met CNAME-gebaseerde adblocking bescherming mogelijkheden beschikbaar en op standaard, ” het schreef.
” In Brave 1.17, Brave Shields zal nu recursief controleren de canonieke naam records voor een netwerk verzoek dat niet anders is geblokkeerd met behulp van een ingesloten DNS resolver. Als de aanvraag een CNAME-record heeft en dezelfde aanvraag onder het canonieke domein wordt geblokkeerd, dan wordt de aanvraag geblokkeerd. Deze oplossing is standaard ingeschakeld, waardoor verbeterde Privacybescherming voor miljoenen gebruikers.”
maar de browser met de grootste marketshare, Chrome, heeft werk te doen, per de onderzoekers, die schrijven:
omdat Chrome geen DNS-resolutie-API voor extensies ondersteunt, kon de verdediging niet op deze browser worden toegepast. Daarom vinden we dat vier van de CNAME-gebaseerde trackers (Oracle Eloqua, Eulerian, Criteo, en Keyade) worden geblokkeerd door uBlock Origin op Firefox, maar niet op de Chrome-versie.Tom Van Goethem, een andere auteur van papier, zei dat de gegevens van het team laten zien dat webuitgevers die CNAME tracking gebruiken het gebruiken om andere, meer “typische” third party tracking methoden aan te vullen.
” onze gegevens tonen aan dat uitgevers die CNAME-based gebruiken al een aanzienlijk aantal trackers hebben (gemiddeld 20+ per site), en dat dit aantal trackers in de loop van de tijd stabiel blijft. Dit geeft aan dat CNAME-based tracking wordt niet gebruikt als vervanging van de typische third-party tracking, maar eerder om hun tracking mogelijkheden te verhogen, bijvoorbeeld targeting gebruikers met anti-tracking mechanisme,” hij vertelde TechCrunch.
de onderzoekers waren niet gefocust op het bedenken van een causale verklaring voor de toename van het gebruik van CNAME-camouflage. Maar Van Goethem zei dat ze vonden sommige trackers met behulp van het alleen tegen de Safari-browser (“waarvan bekend is dat strikte anti-tracking bescherming”) — die suggereert (op zijn minst) een gedeeltelijke verklaring voor stijgende gebruik van de techniek.
vroeg wat voor soort reactie van de gemeenschap ze zouden willen zien om het CNAME-schema te bestrijden zei hij: “idealiter, meer anti-tracking verdediging moeten robuuste maatregelen nemen tegen CNAME-gebaseerde tracking, zodat gebruikers beschermd zijn ongeacht de browser die ze gebruiken.”
Browsers moeten MEERDERE verdedigingen inzetten om een verscheidenheid aan technieken te bestrijden om de privacy van gebruikers effectief te beschermen. Dus, in het geval van Firefox de nieuwe TCP-functie, van Goethem merkte op dat hoewel het niet van invloed op CNAME-gebaseerde (first-party) tracking “in essentie”, het beschermt tegen cookie synchronisatie tussen sites die first-party tracking.
” met CNAME-based tracking kan de tracker de activiteiten van de gebruiker volgen op een specifieke site (inclusief de tracker), maar het moet cookies synchroniseren met andere sites om de bijgehouden activiteiten van een specifieke gebruiker op site A te koppelen aan de activiteiten van diezelfde gebruiker op site B.
andere niet-cookie-gebaseerde tracking technieken l – Ike device fingerprinting en ephemeral fingerprinting-kunnen ook worden gebruikt om browser-gebaseerde verdediging tegen Cookie-gebaseerde tracking te omzeilen. “Dit betekent dat de verdediging compleet moet zijn en bescherming moet bieden tegen alle soorten tracking om gebruikers te beschermen”, aldus Van Goethem.
” we hopen dat onze grootschalige analyse, waaruit blijkt dat CNAME-based tracking is op de stijging, zal het bewustzijn te verhogen, en incentivize gebruikers en browser leveranciers om verdediging tegen dit tracking mechanisme te bevorderen,” voegde hij eraan toe.
” verder hopen we dat onze studie de potentiële impact op de veiligheid van uitgevers zal benadrukken door het opnemen van CNAME-gebaseerde trackers. Tijdens onze studie ontdekten we twee beveiligingsproblemen die alle bezoekers van uitgeversites beïnvloeden; in één geval is het probleem nog steeds niet opgelost (ondanks meerdere pogingen om de tracker te bereiken om de kwetsbaarheid te melden), waardoor bezoekers van honderden websites in gevaar komen.”
regelgeving/handhaving kan ook nuttig zijn bij het beteugelen van het gebruik van de CNAME-techniek, stelde hij ook voor.
dit verslag is bijgewerkt met aanvullende opmerkingen.
{{{titel}}}
{{{auteur}}}
{{{date}}}