出于隐私考虑,苹果拒绝在Safari中实现16个Web API

2020-06-29 19:43:22

苹果本周表示,它拒绝在Safari中实施16项新的网络技术(Web API),因为这些技术为用户指纹识别开辟了新的途径,对用户隐私构成了威胁。

磁力计API-允许网站访问由该设备的初级磁力计传感器检测到的有关用户周围的本地磁场的数据。

Web NFC API-允许网站通过设备的NFC读取器与NFC标签通信。

设备内存API-允许网站接收近似数量的设备内存(以GB为单位)。

网络信息API-提供有关设备用于与网络通信的连接的信息,并提供在连接类型更改时通知脚本的方法。

电池状态API-允许网站接收有关托管设备电池状态的信息。

环境光传感器-让网站通过主机设备的本地传感器获得主机设备周围环境光的当前光线水平或照度。

EME的HDCP策略检查扩展-允许网站检查媒体流/播放中使用的HDCP策略。

接近感应器-允许网站检索由接近感应器测量的有关设备和对象之间距离的数据。

WebHID-允许网站检索有关本地连接的人机接口设备(HID)设备的信息。

串行API-允许网站从串行接口写入和读取数据,这些接口由微控制器、3D打印机等设备使用。

地理位置传感器(背景地理位置)-旧版地理位置API的更现代版本,允许网站访问地理位置数据。

苹果声称,上面的16个WebAPI将允许在线广告商和数据分析公司创建指纹用户及其设备的脚本。

用户指纹是广告商在每个用户的浏览器中加载并运行的小脚本。脚本通常针对公共Web API或公共Web浏览器功能执行一组标准操作,并测量响应。

由于每个用户都有不同的浏览器和操作系统配置,因此每个用户设备的响应都是唯一的。广告商使用这个唯一的响应(指纹),再加上其他指纹和数据点,为每个用户创建唯一的标识符。

在过去的三年里,用户指纹识别已经成为在线广告技术市场跟踪用户的标准方法。

转向用户指纹识别的同时,浏览器制造商一直在部署反跟踪功能,这些功能限制了第三方(跟踪)cookie的能力和覆盖范围。

一些浏览器制造商也一直在部署对策,以防止通过最常见的方法(如字体、HTML5画布和WebGL)进行指纹操作,但目前并不是所有的用户指纹矢量都被阻止。

此外,随着浏览器制造商将新的WebAPI添加到他们的代码中,新的API也在不断地被创建。

目前,苹果已经将上述16种网络应用编程接口列为最严重的违规者;然而,这家浏览器制造商表示,如果这些新技术中有任何一项降低了指纹识别能力,它将重新考虑将其添加到Safari中。

苹果公司表示,WebKit针对指纹识别的第一道防线是不实现增加指纹可识别性且不能提供安全保护用户的网络功能。

对于Safari几年前就已经实现的WebAPI,苹果公司表示,他们一直在努力限制它们的指纹识别能力。到目前为止,苹果是这么说的:

删除了对自定义字体的支持。这意味着只向使用相同系统的所有用户显示相同的内置字体。

已从用户代理字符串中删除次要软件更新信息。该字符串仅随平台和浏览器的营销版本而变化。

删除了Do Not Track标志,具有讽刺意味的是,该标志被用作指纹矢量,为启用它的用户增加了唯一性。

已删除对MacOS上任何插件的支持。其他台式机端口可能会有所不同。(在iOS上,插件从来都不是什么东西。)。

网站需要用户权限才能访问移动设备上的设备方向/运动API,因为运动传感器的物理性质可能允许设备指纹识别。