Créditos de Imagem: Getty Images
Mozilla tem mais reforçada anti-rastreamento de medidas no seu navegador Firefox. Em um post no blog ontem, anunciou que o Firefox 86 tem uma camada extra de rastreamento anti-cookie embutido no modo estrito enhanced tracking protection (ETP) — que está chamando de “total Cookie Protection” (TCP).
este “grande avanço da privacidade”, como ele cobra, impede o rastreamento entre sites, silenciando cookies de terceiros por site.
a Mozilla compara isso a ter um cookie jar separado para cada site — então, por exemplo, os cookies do Facebook não são armazenados na mesma banheira que os cookies para aquele site de tênis onde você comprou seus chutes mais recentes e assim por diante.
a nova camada de envolvimento de Privacidade “fornece particionamento abrangente de cookies e outros dados do site entre sites no Firefox”, explica a Mozilla.
junto com outro recurso anti-rastreamento que anunciou no mês passado-visando os chamados “supercookies — – também conhecidos como rastreadores sorrateiros que armazenam IDs de usuário em partes” cada vez mais obscuras ” do navegador (como armazenamento Flash, ETags e sinalizadores HSTS), ou seja, onde é difícil para os usuários excluí — los ou bloqueá-los-os recursos se combinam para “impedir que os sites possam ‘marcar’ seu navegador, eliminando assim a técnica de rastreamento entre sites mais difundida”, de acordo com a Mozilla.
há uma “exceção limitada” para cookies entre sites quando eles são necessários para fins de não rastreamento-a Mozilla dá o exemplo de provedores de login de terceiros populares.
“somente quando a Total Cookie Protection detectar que você pretende usar um provedor, ele dará a esse provedor Permissão para usar um cookie entre sites especificamente para o site que você está visitando no momento. Essas exceções momentâneas permitem uma forte proteção de Privacidade sem afetar sua experiência de navegação”, acrescenta.
Tracker o bloqueio tem sido uma corrida armamentista contra a adtech determinação do setor para manter vigiar usuários da web, e passando seu nariz com a noção de consentimento para espionar pessoas de negócios online — o derramamento de recursos para a elaboração de diabólicos novas técnicas para tentar acompanhar o que os usuários da internet estão fazendo. Mas essa batalha aumentou nos últimos anos, já que os fabricantes de navegadores têm assumido uma postura mais dura de pró-privacidade/anti-rastreador.
a Mozilla, por exemplo, começou a fazer o rastreador bloquear o padrão em 2018-tornando o ETP o padrão no Firefox em 2019, bloqueando cookies de empresas identificadas como rastreadores por seu parceiro, Disconnect.
enquanto o navegador Safari da Apple adicionou um recurso de” prevenção de Rastreamento Inteligente ” (ITP) em 2017 — aplicando aprendizado de máquina para identificar rastreadores e segregar os dados de script entre sites para proteger o histórico de navegação dos usuários de olhos de terceiros.O Google também colocou o gato entre os pombos da adtech ao anunciar uma eliminação gradual planejada do suporte para cookies de terceiros no Chrome-que, segundo ele, estaria chegando dentro de dois anos em janeiro de 2020 — embora ainda esteja trabalhando neste projeto “privacy sandbox”, como o chama (agora sob o olhar atento dos reguladores antitruste do Reino Unido).
o Google vem fazendo ruídos de fortalecimento da privacidade desde 2019, em resposta ao resto do mercado de navegadores respondendo à preocupação com a privacidade online.
em abril do ano passado, reverteu uma mudança que dificultou o acesso de Sites a cookies de terceiros, citando preocupações de que os sites pudessem desempenhar funções essenciais durante a pandemia-embora isso tenha sido retomado em julho. Mas é justo dizer que a gigante da adtech continua sendo o retardatário quando se trata de executar seu plano alegado de reforçar a privacidade.
dada a participação de mercado do Chrome, Isso deixa a maioria dos usuários da web do mundo expostos a mais rastreamento do que seriam usando um navegador diferente e mais proativo em termos de Privacidade.
e como mostra o mais recente recurso de rastreamento anti-Cookies da Mozilla, a corrida para superar a alergia da adtech à privacidade (e consentimento) também não é o tipo que tem uma linha de chegada. Portanto, ser lento para fazer Proteção de Privacidade sem dúvida não é muito diferente de não oferecer muita proteção de Privacidade.
a saber: Um desenvolvimento preocupante – na frente de rastreamento não baseada em cookies-é detalhado neste novo artigo por um grupo de pesquisadores de Privacidade que realizaram uma análise do rastreamento CNAME (também conhecido como técnica de evasão Anti-rastreamento baseada em DNS) e descobriram que o uso do método de evasão Anti-rastreamento sorrateiro cresceu cerca de um quinto em pouco menos de dois anos.
a técnica tem levantado preocupações comuns sobre o rastreamento da web “impossível de bloquear” desde por volta de 2019 — quando os desenvolvedores a viram sendo usada em estado selvagem por um site de jornal francês. Desde então, o uso tem aumentado, de acordo com a pesquisa.
em poucas palavras, a técnica de rastreamento CNAME encobre o rastreador injetando-o no contexto primário do site visitado — por meio do conteúdo incorporado por meio de um subdomínio do site, que na verdade é um alias para o domínio do rastreador.
“este esquema funciona graças a uma delegação DNS. Na maioria das vezes é um registro CNAME DNS”, escreve um dos autores do artigo, Pesquisador de Privacidade e segurança Lukasz Olejnik, em um post no blog sobre a pesquisa. “O rastreador tecnicamente está hospedado em um subdomínio do site visitado.
“o emprego de tal esquema tem certas consequências. Meio que engana a segurança fundamental da web e as proteções de Privacidade — pensar que o usuário está navegando voluntariamente no site do rastreador. Quando um navegador da web vê esse esquema, algumas proteções de segurança e privacidade são relaxadas.”
não se deixe enganar pelo uso da palavra ‘relaxado’ — como Olejnik continua a enfatizar que a técnica de rastreamento CNAME tem “implicações substanciais para a segurança e privacidade da web”. Como navegadores sendo enganados para tratar um rastreador como conteúdo legítimo de primeira parte do site visitado (que, por sua vez, desbloqueia “muitos benefícios”, como acesso a cookies primários-que podem ser enviados para servidores remotos e de terceiros controlados pelos rastreadores para que a entidade de vigilância possa ter seu caminho perverso com os dados pessoais).
portanto, o risco é que um pedaço do trabalho de engenharia inteligente que está sendo feito para proteger a privacidade, bloqueando rastreadores pode ser evitado ficando sob o radar dos anti-rastreadores.
os pesquisadores encontraram um provedor de rastreador (infame), Criteo, revertendo seus scripts de rastreamento para o esquema de capa CNAME personalizado quando detectou o navegador da Web Safari em uso — como, presumivelmente, uma maneira de contornar o ITP da Apple.
há outras preocupações sobre o rastreamento de CNAME também: o artigo detalha como, como conseqüência da arquitetura da web atual, o esquema “desbloqueia uma maneira de vazamentos amplos de cookies”, como Olejnik coloca — explicando como o resultado da técnica que está sendo implantada pode ser “muitos cookies legítimos não relacionados” enviados ao subdomínio do rastreador.Olejnik documentou essa preocupação em um estudo em 2014-mas ele escreve que o problema agora explodiu: “como a ponta do iceberg, encontramos amplos vazamentos de dados em 7.377 sites. Alguns vazamentos de dados acontecem em quase todos os sites usando o esquema CNAME (cookies analíticos geralmente vazam). Isso sugere que esse esquema é ativamente perigoso. É prejudicial à segurança e privacidade da web.”
os pesquisadores encontraram cookies vazando em 95% dos sites de estudos.Eles também relatam encontrar vazamentos de cookies definidos por outros scripts de terceiros, sugerindo que os cookies vazados permitiriam que o CNAME tracker rastreasse usuários em sites.
em alguns casos, eles descobriram que as informações vazadas continham informações privadas ou confidenciais — como o nome completo do Usuário, localização, endereço de E-mail e (em uma preocupação de segurança adicional) cookie de autenticação.
o artigo continua a levantar uma série de preocupações de segurança da web, como quando os rastreadores CNAME são servidos por HTTP e não HTTPS, o que eles descobriram que acontecia com frequência e poderia facilitar ataques man-in-the-middle.
a defesa contra o esquema de camuflagem do CNAME exigirá que alguns dos principais navegadores adotem novos truques, de acordo com os pesquisadores — que observam que, embora o Firefox (participação de mercado global de cerca de 4%) ofereça uma defesa contra a técnica, o Chrome não.
engenheiros no mecanismo WebKit que sustenta o navegador Safari da Apple também têm trabalhado para fazer melhorias no ITP destinadas a neutralizar o rastreamento de CNAME.
em uma postagem no blog em novembro passado, o engenheiro do IPT John Wilander escreveu que, como defesa contra a técnica sorrateira ” o ITP agora detecta solicitações de camuflagem de CNAME de terceiros e limita a expiração de quaisquer cookies definidos na resposta HTTP a 7 dias. Esse limite está alinhado com o limite de expiração do ITP em todos os cookies criados por meio de JavaScript.”
o navegador Brave também anunciou mudanças no outono passado destinadas a combater a camuflagem do CNAME.
“na versão 1.25.0, o uBlock Origin ganhou a capacidade de detectar e bloquear solicitações encobertas por CNAME usando o fantástico navegador da Mozilla.API dns. No entanto, esta solução só funciona no Firefox, pois o Chromium não fornece o navegador.API dns. Até certo ponto, essas solicitações podem ser bloqueadas usando servidores DNS personalizados. No entanto, nenhum navegador foi fornecido com recursos de proteção de bloqueio de anúncios baseados em CNAME disponíveis e ativados por padrão”, escreveu.
“Em Brave 1.17, Brave Shields agora verificará recursivamente os registros de nomes canônicos para qualquer solicitação de rede que não seja bloqueada de outra forma usando um resolvedor DNS incorporado. Se a solicitação tiver um registro CNAME e a mesma solicitação no domínio canônico for bloqueada, a solicitação será bloqueada. Esta solução está ativada por padrão, trazendo proteções de Privacidade aprimoradas para milhões de usuários.”
mas o navegador com o maior marketshare, o Chrome, tem trabalho a fazer, de acordo com os pesquisadores, que escrevem:
como o Chrome não suporta uma API de resolução DNS para extensões, a defesa não pôde ser aplicada a este navegador. Consequentemente, descobrimos que quatro dos rastreadores baseados em CNAME (Oracle Eloqua, Eulerian, Criteo e Keyade) são bloqueados pelo uBlock Origin no Firefox, mas não na versão do Chrome.
discutindo os resultados da pesquisa, Tom Van Goethem, outro dos autores do artigo, disse que os dados da equipe mostram que os editores da web que usam o rastreamento CNAME estão usando-o para complementar outros métodos de rastreamento de terceiros mais “típicos”.
“nossos dados mostram que os editores que adotam o CNAME já possuem um número considerável de rastreadores (20+ por site em média) e descobrem que esse número de rastreadores permanece estável ao longo do tempo. Isso indica que o rastreamento baseado em CNAME não é usado como uma substituição do rastreamento típico de terceiros, mas sim para incrementar seus recursos de rastreamento, por exemplo, visando usuários com mecanismo anti-rastreamento”, disse ele ao TechCrunch.
os pesquisadores não se concentraram em apresentar uma explicação causal para o aumento do uso de camuflagem CNAME. Mas Van Goethem disse que encontraram alguns rastreadores usando-o apenas contra o navegador Safari (“que é conhecido por incluir proteções anti — rastreamento rígidas”) – o que sugere (pelo menos) uma explicação parcial para o uso crescente da técnica.
perguntou Que tipo de Resposta da comunidade eles gostariam de ver para combater o esquema CNAME ele disse: “idealmente, mais defesas anti-rastreamento devem adotar medidas robustas contra o rastreamento baseado no CNAME, de modo que os usuários sejam protegidos independentemente do navegador que estão usando.”
os navegadores precisam implantar várias defesas para combater uma variedade de técnicas, a fim de defender efetivamente a privacidade do Usuário. Portanto, no caso do novo recurso TCP do Firefox, Van Goethem observou que, embora não afete o rastreamento “em essência” baseado em CNAME (first-party), ele protege contra a sincronização de Cookies entre sites que empregam rastreamento de primeira parte.
“Com CNAME de detecção, o tracker pode acompanhar as atividades do usuário em um site específico (que inclui o tracker), mas ele precisa sincronizar os cookies com outros sites para link registadas as atividades de um usuário específico em Um site para as atividades do mesmo usuário no site B. Total de Proteção de Cookie seria evitar isso”, explicou.
outras técnicas de rastreamento não baseadas em cookies impressões digitais do dispositivo l-ike e impressões digitais efêmeras– também podem ser usadas para contornar as defesas baseadas no navegador contra o rastreamento baseado em cookies. “Isso significa que as defesas precisam ser completas e fornecer proteções contra todos os tipos de rastreamento para proteger os usuários”, diz Van Goethem.”Esperamos que nossa análise em grande escala, que mostra que o rastreamento baseado no CNAME está em ascensão, aumente a conscientização e incentive os usuários e fornecedores de navegadores a avançar nas defesas contra esse mecanismo de rastreamento”, acrescentou.
“além disso, esperamos que nosso estudo destaque o potencial impacto de segurança que os editores enfrentam, incluindo rastreadores baseados em CNAME. Ao longo de nosso estudo, descobrimos dois problemas de segurança que afetam a todos os visitantes de sites de editores; em um caso o problema ainda não estiver resolvido (apesar de várias tentativas de alcançar o tracker para relatar a vulnerabilidade), colocando os visitantes de centenas de sites em risco.”A ação/aplicação regulatória também pode ser útil para conter o uso da técnica CNAME, ele também sugeriu.
este relatório foi atualizado com comentários adicionais.
{{{título}}}
{{{autor}}}
{{{data}}}