autorzy zdjęć: Getty Images
Mozilla dodatkowo wzmocniła środki zapobiegające śledzeniu w swojej przeglądarce Firefox. W wczorajszym poście na blogu ogłoszono, że Firefox 86 ma dodatkową warstwę śledzenia plików cookie wbudowaną w tryb rygorystyczny enhanced tracking protection (ETP) – który nazywa „całkowitą ochroną plików Cookie” (TCP).
Ten „duży postęp w zakresie prywatności”, jak go wystawia, uniemożliwia śledzenie między witrynami poprzez silosowanie plików cookie stron trzecich na witrynę.
Mozilla porównuje to do posiadania osobnego słoika z ciasteczkami dla każdej strony — tak więc np. ciasteczka z Facebooka nie są przechowywane w tej samej tubie co ciasteczka dla tej strony, na której kupiłeś swoje najnowsze Kicki itp.
nowa warstwa owijania Prywatności „zapewnia kompleksowe partycjonowanie plików cookie i innych danych witryny między witrynami w Firefoksie”, wyjaśnia Mozilla.
wraz z inną funkcją anty-trackingową ogłosił w zeszłym miesiącu-targetowanie tak zwanych „supercookies” – czyli podstępne trackery, które przechowują identyfikatory użytkowników w” coraz bardziej niejasnych ” częściach przeglądarki (takich jak pamięć Flash, ETags i flagi HSTS), tj. tam, gdzie użytkownikom trudno jest je usunąć lub zablokować – funkcje łączą się, aby „uniemożliwić stronom internetowym” oznaczanie „przeglądarki, eliminując w ten sposób najbardziej powszechną technikę śledzenia między witrynami”, według Mozilli.
istnieje „ograniczony wyjątek” dla plików cookie między witrynami, gdy są one potrzebne do celów niezwiązanych ze śledzeniem-Mozilla podaje przykład popularnych zewnętrznych dostawców logowania.
” tylko wtedy, gdy Total Cookie Protection wykryje, że zamierzasz korzystać z dostawcy, da mu to pozwolenie na użycie cross-site cookie specjalnie dla witryny, którą aktualnie odwiedzasz. Takie chwilowe wyjątki pozwalają na silną ochronę prywatności bez wpływu na przeglądanie”, dodaje.
blokowanie trackerów od dawna jest wyścigiem zbrojeń przeciwko determinacji branży adtech, aby stale obserwować użytkowników sieci — i rzucać nosem na pojęcie zgody na szpiegowanie biznesu internetowego ludzi — wlewając zasoby w wymyślanie nowych diabelskich technik, aby próbować obserwować, co robią internauci. Ale ta walka nasiliła się w ostatnich latach, ponieważ twórcy przeglądarek przyjmują twardszą postawę pro-privacy/anti-tracker.
Mozilla, na przykład, zaczęła tworzyć tracker blokujący domyślne w 2018 roku — przechodząc do ETP domyślne w Firefoksie w 2019 roku, blokując pliki cookie od firm zidentyfikowanych jako trackery przez swojego partnera, Disconnect.
podczas gdy przeglądarka Safari Apple dodała funkcję „inteligentnego zapobiegania śledzeniu” (ITP) w 2017 r. — zastosowanie uczenia maszynowego do identyfikacji trackerów i segregowania danych skryptów między witrynami, aby chronić historię przeglądania użytkowników przed oczami osób trzecich.
Google również umieścił kota wśród gołębi adtech, ogłaszając planowane wycofanie wsparcia dla plików cookie innych firm w Chrome — które według niego nastąpi w ciągu dwóch lat wstecz w styczniu 2020-chociaż nadal pracuje nad tym projektem „Privacy sandbox”, jak go nazywa (obecnie pod czujnym okiem brytyjskich organów antymonopolowych).
Google wydaje dźwięki wzmacniające Prywatność od 2019 roku, w odpowiedzi na resztę rynku przeglądarek w odpowiedzi na obawy dotyczące prywatności w Internecie.
w kwietniu ubiegłego roku wycofano zmianę, która utrudniła witrynom dostęp do plików cookie stron trzecich, powołując się na obawy, że witryny były w stanie wykonywać podstawowe funkcje podczas pandemii-chociaż zostało to wznowione w lipcu. Ale można powiedzieć, że gigant adtech pozostaje laggard, jeśli chodzi o realizację jego deklarowanego planu wzmocnienia prywatności.
biorąc pod uwagę udział w rynku Chrome, pozostawia to większość użytkowników sieci na świecie narażonych na więcej śledzenia niż w przeciwnym razie byłoby to za pomocą innej, bardziej aktywnej prywatności przeglądarki.
i jak pokazuje najnowsza funkcja śledzenia plików cookie Mozilli, wyścig o przechytrzenie alergii adtech na prywatność (i zgodę) również nie jest rodzajem, który ma linię mety. Tak więc powolne wykonywanie ochrony prywatności prawdopodobnie nie różni się zbytnio od oferowania w ogóle dużej ochrony prywatności.
To wit: Jeden niepokojący rozwój-na tle śledzenia opartego na plikach cookie innych firm – został szczegółowo opisany w tym nowym artykule przez grupę badaczy ds. prywatności, którzy przeprowadzili analizę śledzenia CNAME (aka oparta na DNS technika zapobiegania uchylaniu się od śledzenia) i odkryli, że użycie podstępnej metody zapobiegania uchylaniu się od śledzenia wzrosło o około jedną piątą w ciągu niecałych dwóch lat.
technika ta budzi powszechne obawy dotyczące „odblokowanego” śledzenia w sieci od około 2019 roku — kiedy Programiści zauważyli, że jest ona używana na wolności przez Francuską stronę internetową gazety. Od tego czasu użycie rośnie, na badania.
w skrócie technika śledzenia CNAME maskuje tracker, wstrzykując go do kontekstu pierwszej strony odwiedzanej witryny-poprzez osadzanie treści za pośrednictwem subdomeny witryny, która jest w rzeczywistości aliasem dla domeny trackera.
” ten schemat działa dzięki delegacji DNS. Najczęściej jest to rekord DNS CNAME ” – pisze na blogu jeden z autorów artykułu, badacz ds. prywatności i bezpieczeństwa Łukasz Olejnik. „Tracker technicznie jest hostowany w subdomenie odwiedzanej witryny.
” zatrudnienie takiego systemu ma pewne konsekwencje. To rodzaj głupców fundamentalne bezpieczeństwo sieci i ochrona prywatności-myśleć, że użytkownik świadomie przegląda stronę trackera. Gdy przeglądarka internetowa widzi taki schemat, niektóre zabezpieczenia i ochrona prywatności są złagodzone.”
nie daj się zwieść użyciu słowa”zrelaksowany” — jak dalej Olejnik podkreśla, że technika śledzenia CNAME ma „znaczące implikacje dla bezpieczeństwa i prywatności w sieci”. Takie jak oszukiwanie przeglądarek w traktowaniu trackera jako legalnej treści pierwszej strony odwiedzanej witryny (co z kolei odblokowuje „wiele korzyści”, takich jak dostęp do własnych plików cookie-które mogą być następnie wysyłane na zdalne serwery stron trzecich kontrolowane przez trackery, aby jednostka obserwująca mogła mieć swój zły sposób z danymi osobowymi).
istnieje więc ryzyko, że część sprytnej pracy inżynierskiej wykonanej w celu ochrony prywatności poprzez blokowanie trackerów może zostać odsunięta przez dostanie się pod radar antytrolerów.
naukowcy znaleźli jednego (niesławnego) dostawcę trackera, Criteo, przywracającego swoje skrypty śledzenia do niestandardowego schematu cloak CNAME, gdy wykrył używaną przeglądarkę Safari — jako przypuszczalnie sposób na obejście ITP Apple.
istnieją również dalsze obawy dotyczące śledzenia CNAME: w artykule opisano, w jaki sposób, w konsekwencji obecnej architektury internetowej, schemat „odblokowuje sposób na szerokie wycieki plików cookie”, jak to ujął Olejnik — wyjaśniając, w jaki sposób efektem wdrożonej techniki może być „wiele niepowiązanych, legalnych plików cookie” wysyłanych do subdomeny trackera.
Olejnik udokumentował ten problem w badaniu z 2014 roku — ale pisze, że problem eksplodował: „jako wierzchołek góry lodowej znaleźliśmy szerokie wycieki danych na 7377 stronach internetowych. Niektóre wycieki danych zdarzają się prawie na każdej stronie internetowej za pomocą schematu CNAME (analityczne pliki cookie Zwykle wyciekają). Sugeruje to, że ten schemat jest aktywnie niebezpieczny. Jest to szkodliwe dla bezpieczeństwa sieci i prywatności.”
naukowcy odkryli, że pliki cookie wyciekają na 95% stron internetowych badań.
zgłaszają również wycieki plików cookie ustawionych przez skrypty innych firm, sugerując, że wyciekłe pliki cookie pozwoliłyby w takich przypadkach CNAME tracker śledzić użytkowników na różnych stronach internetowych.
w niektórych przypadkach okazało się, że wyciekły informacje zawierały prywatne lub poufne informacje — takie jak pełne imię i nazwisko użytkownika, lokalizacja, adres e-mail i (w dodatkowej trosce o bezpieczeństwo) uwierzytelniający plik cookie.
w artykule poruszono szereg problemów związanych z bezpieczeństwem sieci, na przykład gdy trackery CNAME są obsługiwane przez HTTP, a nie HTTPS, co, jak się okazało, często się zdarzało i mogło ułatwić ataki typu man-in-the-middle.
obrona przed schematem maskowania CNAME będzie wymagać od niektórych głównych przeglądarek przyjęcia nowych sztuczek, według badaczy — którzy zauważają, że podczas gdy Firefox (globalny udział w rynku około 4%) oferuje obronę przed techniką Chrome nie.
inżynierowie pracujący nad silnikiem WebKit, który stanowi podstawę przeglądarki Safari Apple, również pracują nad ulepszeniami ITP, które mają przeciwdziałać śledzeniu CNAME.
w poście na blogu w listopadzie ubiegłego roku, inżynier IPT John Wilander napisał, że w obronie przed podstępną techniką „ITP wykrywa teraz żądania maskowania CNAME innych firm i ogranicza Ważność wszelkich plików cookie ustawionych w odpowiedzi HTTP do 7 dni. Ten limit jest dostosowany do limitu wygaśnięcia ITP dla wszystkich plików cookie utworzonych za pomocą JavaScript.”
The Brave browser zapowiedziało również jesienią zmiany mające na celu zwalczanie maskowania CNAME.
„w wersji 1.25.0 uBlock Origin zyskał możliwość wykrywania i blokowania żądań maskowanych CNAME za pomocą wspaniałej przeglądarki Mozilli.API dns. Jednak to rozwiązanie działa tylko w Firefoksie, ponieważ Chromium nie zapewnia przeglądarki.API dns. Do pewnego stopnia żądania te mogą być blokowane za pomocą niestandardowych serwerów DNS. Jednak żadna przeglądarka nie została dostarczona z dostępnymi i domyślnie włączonymi FUNKCJAMI OCHRONY adblockingu opartego na CNAME”.
” W Brave 1.17, Dzielne tarcze będą teraz rekurencyjnie sprawdzać rekordy nazw kanonicznych pod kątem każdego żądania sieciowego, które nie jest w inny sposób blokowane za pomocą wbudowanego resolvera DNS. Jeśli żądanie ma rekord CNAME i to samo żądanie w domenie canonical zostanie zablokowane, to żądanie zostanie zablokowane. To rozwiązanie jest domyślnie włączone, zapewniając lepszą ochronę prywatności milionom użytkowników.”
ale przeglądarka z największym marketshare, Chrome, ma pracę do zrobienia, według badaczy, którzy piszą:
ponieważ Chrome nie obsługuje interfejsu API DNS dla rozszerzeń, obrona nie mogła zostać zastosowana do tej przeglądarki. W związku z tym stwierdzamy, że cztery trackery oparte na CNAME (Oracle Eloqua, Eulerian, Criteo i Keyade) są blokowane przez uBlock Origin w Firefoksie, ale nie w wersji Chrome.
omawiając wyniki badań, Tom Van Goethem, inny z autorów artykułu, powiedział, że dane zespołu pokazują, że wydawcy internetowi, którzy używają śledzenia CNAME, używają go do uzupełnienia innych, bardziej” typowych ” metod śledzenia stron trzecich.
„nasze dane pokazują, że wydawcy, którzy przyjmują oparte na CNAME, mają już znaczną liczbę trackerów (średnio 20+ na witrynę) i stwierdzają, że ta liczba trackerów pozostaje stabilna w czasie. Oznacza to, że śledzenie oparte na CNAME nie jest używane jako zamiennik typowego śledzenia stron trzecich, ale raczej do zwiększenia ich możliwości śledzenia, np. kierowania użytkowników za pomocą mechanizmu anty-śledzenia”, powiedział TechCrunch.
badacze nie koncentrowali się na wymyślaniu przyczynowego wyjaśnienia wzrostu stosowania maskowania CNAME. Ale Van Goethem powiedział, że znaleźli niektóre trackery używające go tylko przeciwko przeglądarce Safari („która jest znana z ścisłej ochrony przed śledzeniem”)-co sugeruje (przynajmniej) częściowe Wyjaśnienie rosnącego stosowania tej techniki.
zapytany, jaki rodzaj reakcji społeczności chcieliby zobaczyć, aby zwalczać schemat CNAME, powiedział: „idealnie byłoby, gdyby więcej mechanizmów ochrony przed śledzeniem stosowało solidne środki przeciwko śledzeniu opartemu na CNAME, tak aby użytkownicy byli chronieni niezależnie od używanej przeglądarki.”
przeglądarki muszą wdrożyć wiele zabezpieczeń, aby zwalczać różne techniki, aby skutecznie chronić prywatność użytkowników. Tak więc, w przypadku nowej funkcji TCP Firefoksa, Van Goethem zauważył, że chociaż nie wpływa ona na śledzenie oparte na CNAME (first-party) „w istocie”, chroni przed synchronizacją plików cookie między witrynami, które wykorzystują śledzenie własne.
„dzięki śledzeniu opartemu na CNAME tracker może śledzić działania użytkownika w jednej konkretnej witrynie (w tym tracker), ale musi synchronizować pliki cookie z innymi witrynami, aby powiązać śledzone działania jednego konkretnego użytkownika w witrynie A z działaniami tego samego Użytkownika w witrynie B. Całkowita ochrona plików Cookie zapobiegłaby temu”, wyjaśnił.
inne techniki śledzenia oparte na plikach cookie l-Ike device fingerprinting i efemeryczne fingerprinting-mogą być również wykorzystywane do ominięcia zabezpieczeń opartych na przeglądarce przed śledzeniem opartym na plikach cookie. „Oznacza to, że zabezpieczenia muszą być kompletne i zapewniać ochronę przed wszystkimi rodzajami śledzenia, aby chronić użytkowników”, per Van Goethem.
„mamy nadzieję, że nasza analiza na dużą skalę, która pokazuje, że śledzenie oparte na CNAME rośnie, zwiększy świadomość i zachęci użytkowników i dostawców przeglądarek do wzmocnienia obrony przed tym mechanizmem śledzenia”, dodał.
” ponadto mamy nadzieję, że nasze badanie podkreśli potencjalny wpływ bezpieczeństwa, z jakim borykają się wydawcy, poprzez włączenie trackerów opartych na CNAME. W trakcie naszych badań odkryliśmy dwa problemy z bezpieczeństwem, które dotyczą wszystkich odwiedzających strony wydawcy; w jednym przypadku problem nadal nie został rozwiązany (pomimo wielu prób skontaktowania się z trackerem w celu zgłoszenia luki), narażając odwiedzających setki stron internetowych na ryzyko.”
działanie regulacyjne/egzekwowanie może być również pomocne w ograniczeniu stosowania techniki CNAME, zasugerował również.
{{{tytuł}}}
{{{autor}}}
{{{Data}}}