Mozilla îmbunătățește urmărirea anti-cross-site în Firefox, deoarece Chrome rămâne în continuare în ceea ce privește confidențialitatea

@riptari / 5: 14 PST * februarie 24, 2021

GettyImages 1045357252

credite Imagine: Getty Images

Mozilla a îmbunătățit în continuare măsurile anti-urmărire în browserul său Firefox. Într-o postare pe blog ieri a anunțat că Firefox 86 are un strat suplimentar de urmărire anti — cookie încorporat în modul strict enhanced tracking protection (ETP) – pe care îl numește „protecție totală Cookie” (TCP).

acest „avans major de confidențialitate”, așa cum îl facturează, împiedică urmărirea pe mai multe site-uri prin silozarea cookie-urilor terță parte pe site.

Mozilla compară acest lucru cu a avea un borcan de cookie separat pentru fiecare site — deci, de exemplu, cookie-urile Facebook nu sunt stocate în același tub ca cookie-urile pentru site-ul web sneaker de unde ați cumpărat cele mai recente lovituri și așa mai departe.

noul strat de ambalare a confidențialității „oferă o partiționare cuprinzătoare a cookie-urilor și a altor date ale site-urilor între site-urile web din Firefox”, explică Mozilla.

împreună cu o altă caracteristică anti-urmărire a anunțat luna trecută — direcționarea așa — numitelor „supercookies” – aka Trackere mascate care stochează ID-urile utilizatorilor în părți „din ce în ce mai obscure” ale browserului (cum ar fi stocarea Flash, ETAG-urile și steagurile HSTS), adică. acolo unde este dificil pentru utilizatori să le șteargă sau să le blocheze — funcțiile se combină pentru a „împiedica site-urile web să vă” eticheteze „browserul, eliminând astfel cea mai omniprezentă tehnică de urmărire între site-uri”, conform Mozilla.

există o „excepție limitată” pentru cookie-urile pe mai multe site-uri atunci când acestea sunt necesare în scopuri de non — urmărire-Mozilla oferă exemplul furnizorilor de autentificare terți populari.

„numai atunci când Total Cookie Protection detectează că intenționați să utilizați un furnizor, îi va da furnizorului permisiunea de a utiliza un cookie cross-site special pentru site-ul pe care îl vizitați în prezent. Astfel de excepții de moment permit o protecție puternică a confidențialității fără a afecta experiența dvs. de navigare”, adaugă acesta.

blocarea Tracker — ului a fost mult timp o cursă a înarmărilor împotriva determinării industriei adtech de a păstra supravegherea utilizatorilor web — și de a-și arunca nasul la noțiunea de consimțământ pentru a spiona afacerile online ale oamenilor-turnând resurse în elaborarea unor noi tehnici diabolice pentru a încerca să urmărească în continuare ceea ce fac utilizatorii de internet. Dar această bătălie s-a intensificat în ultimii ani, deoarece producătorii de browsere au adoptat o poziție mai dură pro-Confidențialitate/anti-tracker.

Mozilla, de exemplu, a început să facă tracker blocarea implicită în 2018 — continuând să facă ETP implicit în Firefox în 2019, blocând cookie-urile de la companiile identificate ca trackere de către partenerul său, deconectați.

în timp ce browserul Safari Apple a adăugat o caracteristică „Intelligent Tracking Prevention” (ITP) în 2017 — Aplicarea învățării automate pentru a identifica trackerele și a separa datele de scriptare între site-uri pentru a proteja istoricul de navigare al utilizatorilor de ochii terților.

Google a pus, de asemenea, pisica printre porumbeii adtech anunțând o eliminare treptată planificată a suportului pentru cookie-urile terță parte în Chrome — despre care a spus că va veni în termen de doi ani în ianuarie 2020 — deși încă lucrează la acest proiect „sandbox de confidențialitate”, așa cum îl numește (acum sub ochiul atent al autorităților de reglementare antitrust din Marea Britanie).

Google face zgomote de întărire a confidențialității din 2019, ca răspuns la restul pieței browserului care răspunde îngrijorării cu privire la confidențialitatea online.

în aprilie anul trecut, a reluat o schimbare care a îngreunat accesul site-urilor la cookie — uri terțe, invocând îngrijorarea că site-urile au putut îndeplini funcții esențiale în timpul pandemiei-deși acest lucru a fost reluat în iulie. Dar este corect să spunem că gigantul adtech rămâne întârziat atunci când vine vorba de executarea planului său revendicat de a spori confidențialitatea.

având în vedere cota de piață a Chrome, aceasta lasă majoritatea utilizatorilor web din lume expuși la mai multă urmărire decât ar fi altfel prin utilizarea unui browser diferit, mai proactiv în ceea ce privește confidențialitatea.

și, după cum arată cea mai recentă caracteristică de urmărire anti-cookie a Mozilla, cursa pentru a depăși alergia adtech la confidențialitate (și consimțământ) nu este, de asemenea, genul care are o linie de sosire. Deci, a fi lent să faci protecția vieții private, fără îndoială, nu este foarte diferit de a nu oferi deloc multă protecție a vieții private.

pentru a wit: O evoluție îngrijorătoare — pe frontul de urmărire bazat pe cookie-uri non-terță parte-este detaliată în această nouă lucrare de către un grup de cercetători în domeniul confidențialității care au efectuat o analiză a urmăririi CNAME (aka o tehnică de evaziune anti-urmărire bazată pe DNS) și au constatat că utilizarea metodei evaziunii anti — urmărire mascate a crescut cu aproximativ o cincime în puțin sub doi ani.

tehnica a ridicat îngrijorări generale cu privire la urmărirea web „deblocabilă” încă din jurul anului 2019 — când dezvoltatorii au văzut-o folosită în sălbăticie de un site de ziar francez. De atunci, utilizarea a crescut, conform cercetării.

pe scurt, tehnica de urmărire CNAME acoperă trackerul injectându-l în contextul de primă parte al site — ului vizitat-prin conținutul încorporat printr-un subdomeniu al site-ului, care este de fapt un alias pentru domeniul tracker.

„această schemă funcționează datorită unei delegații DNS. Cel mai adesea este o înregistrare CNAME DNS”, scrie unul dintre autorii lucrării, cercetătorul de confidențialitate și securitate Lukasz Olejnik, într-o postare pe blog despre cercetare. „Trackerul este găzduit tehnic într-un subdomeniu al site-ului web vizitat.

” angajarea unui astfel de sistem are anumite consecințe. Este un fel de proști de securitate web fundamentale și protecția vieții private — să cred că utilizatorul este intenționat navigarea pe site-ul tracker. Când un browser web vede o astfel de schemă, unele protecții de securitate și confidențialitate sunt relaxate.”

nu vă lăsați păcăliți de utilizarea cuvântului „relaxat” — deoarece Olejnik continuă să sublinieze că tehnica de urmărire CNAME are”implicații substanțiale pentru securitatea și confidențialitatea web”. Cum ar fi faptul că browserele sunt păcălite să trateze un tracker ca pe un conținut legitim de primă parte al site-ului vizitat (care, la rândul său, deblochează „multe beneficii”, cum ar fi accesul la cookie-uri de primă parte — care pot fi apoi trimise către servere de la distanță, terțe, controlate de trackere, astfel încât entitatea de supraveghere să poată avea un mod rău cu datele personale).

deci, riscul este că o parte din munca inteligentă de inginerie care se face pentru a proteja confidențialitatea prin blocarea trackerelor poate fi marginalizată prin obținerea sub radarul anti-trackers.

cercetătorii au descoperit un furnizor de tracker (infam), Criteo, care și — a readus scripturile de urmărire la schema personalizată CNAME cloak când a detectat browserul web Safari în uz-ca, probabil, o modalitate de a eluda ITP-ul Apple.

există și alte îngrijorări cu privire la urmărirea CNAME: lucrarea detaliază modul în care, ca o consecință a arhitecturii web actuale, schema „deblochează o cale pentru scurgeri largi de cookie — uri”, așa cum o spune Olejnik-explicând modul în care rezultatul tehnicii implementate poate fi „multe cookie-uri legitime fără legătură” trimise subdomeniului tracker.

Olejnik a documentat această preocupare într — un studiu din 2014-dar scrie că problema a explodat acum: „ca vârf al aisbergului, am găsit scurgeri de date largi pe 7.377 de site-uri web. Unele scurgeri de date se întâmplă pe aproape fiecare site web care utilizează schema CNAME (cookie-urile de analiză se scurg în mod obișnuit). Acest lucru sugerează că această schemă este periculoasă în mod activ. Este dăunător pentru securitatea și confidențialitatea web.”

cercetătorii au descoperit că cookie-urile se scurg pe 95% din Site-urile de studii.

ei raportează, de asemenea, găsirea unor scurgeri de cookie-uri setate de alte scripturi terțe, sugerând că cookie-urile scurse ar permite în aceste cazuri CNAME tracker să urmărească utilizatorii de pe site-uri web.

în unele cazuri, au descoperit că informațiile scurse conțin informații private sau sensibile — cum ar fi numele complet al utilizatorului, locația, adresa de e-mail și (într-o problemă suplimentară de securitate) cookie de autentificare.

lucrarea continuă să ridice o serie de probleme de securitate web, cum ar fi atunci când trackerele CNAME sunt servite prin HTTP, nu HTTPS, ceea ce au descoperit că s-a întâmplat des și ar putea facilita atacurile omului în mijloc.

apărarea împotriva schemei de camuflare CNAME va necesita unele browsere majore să adopte noi trucuri, conform cercetătorilor — care observă că, în timp ce Firefox (cota de piață globală de circa 4%) oferă o apărare împotriva tehnicii Chrome nu.

inginerii de pe motorul WebKit care stă la baza browserului Safari Apple au lucrat, de asemenea, la îmbunătățirea ITP-ului cu scopul de a contracara urmărirea CNAME.

într-o postare pe blog în noiembrie anul trecut, inginerul IPT John Wilander a scris că, în calitate de apărare împotriva tehnicii mascate „ITP detectează acum cererile de acoperire CNAME ale terților și limitează expirarea oricăror cookie-uri setate în răspunsul HTTP la 7 zile. Acest plafon este aliniat cu limita de expirare a ITP pentru toate cookie-urile create prin JavaScript.”

browserul Brave a anunțat, de asemenea, modificări în toamna anului trecut, menite să combată camuflarea CNAME.

„în versiunea 1.25.0, uBlock Origin a câștigat capacitatea de a detecta și bloca cererile camuflate de CNAME folosind browserul teribil al Mozilla.API-ul dns. Cu toate acestea, această soluție funcționează numai în Firefox, deoarece Chromium nu furnizează browserul.API-ul dns. Într-o oarecare măsură, aceste solicitări pot fi blocate folosind servere DNS personalizate. Cu toate acestea, niciun browser nu a fost livrat cu capabilități de protecție adblocking bazate pe CNAME disponibile și activate în mod implicit”, a scris acesta.

” În Curajos 1.17, Brave Shields va verifica recursiv înregistrările de nume canonice pentru orice solicitare de rețea care nu este blocată altfel folosind un rezolvator DNS încorporat. Dacă cererea are o înregistrare CNAME și aceeași cerere din domeniul canonic ar fi blocată, atunci cererea este blocată. Această soluție este activată în mod implicit, oferind protecție sporită a confidențialității pentru milioane de utilizatori.”

dar browserul cu cea mai mare cotă de piață, Chrome, are de lucru, conform cercetătorilor, care scriu:

deoarece Chrome nu acceptă un API de rezoluție DNS pentru extensii, apărarea nu a putut fi aplicată acestui browser. În consecință, constatăm că patru dintre trackerele bazate pe CNAME (Oracle Eloqua, eulerian, Criteo și Keyade) sunt blocate de uBlock Origin pe Firefox, dar nu pe versiunea Chrome.

discutând rezultatele cercetării, Tom Van Goethem, un alt autor al lucrării, a declarat că datele echipei arată că editorii web care folosesc urmărirea CNAME o folosesc pentru a suplimenta alte metode de urmărire „tipice” ale terților.

„datele noastre arată că editorii care adoptă CNAME au deja un număr considerabil de trackere (20+ pe site în medie) și constată că acest număr de trackere rămâne stabil în timp. Acest lucru indică faptul că urmărirea bazată pe CNAME nu este utilizată ca o înlocuire a urmăririi tipice a terților, ci mai degrabă pentru a spori capacitățile lor de urmărire, de exemplu, direcționarea utilizatorilor cu mecanism anti-urmărire”, a spus el TechCrunch.

cercetătorii nu s-au concentrat pe a veni cu o explicație cauzală pentru creșterea utilizării camuflării CNAME. Dar Van Goethem a spus că au găsit niște trackere care îl foloseau doar împotriva browserului Safari („despre care se știe că include Protecții stricte anti-urmărire”) — ceea ce sugerează (cel puțin) o explicație parțială pentru utilizarea în creștere a tehnicii.

întrebat ce fel de răspuns comunitar ar dori să vadă pentru a combate schema CNAME, el a spus: „în mod ideal, mai multe sisteme de apărare anti-urmărire ar trebui să adopte măsuri robuste împotriva urmăririi bazate pe CNAME, astfel încât utilizatorii să fie protejați indiferent de browserul pe care îl folosesc.”

browserele trebuie să implementeze mai multe apărări pentru a combate o varietate de tehnici pentru a apăra în mod eficient confidențialitatea utilizatorilor. Deci, în cazul noii funcții TCP a Firefox, Van Goethem a menționat că, deși nu afectează urmărirea bazată pe CNAME (prima parte) „în esență”, protejează împotriva sincronizării cookie-urilor între site-urile care utilizează urmărirea primei părți.

„cu urmărirea bazată pe CNAME, trackerul poate urmări activitățile utilizatorului pe un anumit site (care include trackerul), dar trebuie să sincronizeze cookie-urile cu alte site-uri pentru a lega activitățile urmărite ale unui anumit utilizator de pe site-ul a de activitățile aceluiași utilizator de pe site-ul B. protecția totală a Cookie-urilor ar împiedica acest lucru”, a explicat el.

alte tehnici de urmărire bazate pe cookie-uri l-ike amprentarea dispozitivului și amprentarea efemeră– pot fi, de asemenea, utilizate pentru a eluda apărarea bazată pe browser împotriva urmăririi bazate pe cookie. „Aceasta înseamnă că apărarea trebuie să fie completă și să ofere protecție împotriva tuturor tipurilor de urmărire pentru a proteja utilizatorii”, a spus Van Goethem.

„sperăm că analiza noastră pe scară largă, care arată că urmărirea bazată pe CNAME este în creștere, va crește gradul de conștientizare și va stimula utilizatorii și furnizorii de browsere să avanseze apărarea împotriva acestui mecanism de urmărire”, a adăugat el.

„în plus, sperăm că studiul nostru va evidenția potențialul impact asupra securității cu care se confruntă editorii prin includerea trackerelor bazate pe CNAME. De-a lungul studiului nostru am descoperit două probleme de securitate care afectează toți vizitatorii site-urilor editorilor; într-un caz, problema nu este încă rezolvată (în ciuda încercărilor multiple de a ajunge la tracker pentru a raporta vulnerabilitatea), punând în pericol Vizitatorii a sute de site-uri web.”

acțiunea de reglementare / aplicarea ar putea fi, de asemenea, utilă în reducerea utilizării tehnicii CNAME, a sugerat el.

acest raport a fost actualizat cu comentarii suplimentare.

{{{titlu}}}

{{{autor}}}
{{{data}}}

{{titlu}} imagine

Lasă un răspuns

Adresa ta de email nu va fi publicată.