Brave网络浏览器很快就会屏蔽CNAME伪装,这是在线营销人员用来对抗旨在阻止使用第三方cookie的隐私控制的一种技术。
浏览器安全模型对第一方域(被访问的域)和第三方域(从图像资产或跟踪代码等的供应商到访问的站点)进行了区分。多年来,许多侵犯在线隐私的行为都来自脚本和Cookie等第三方资源,这就是为什么现在Brave、Firefox、Safari和Tor浏览器默认阻止第三方Cookie的原因。
勇敢者,谷歌,微软,Mozilla齐聚一堂,讨论网络隐私……。以及为什么我们都不应该吃太多。
多读。
与此同时,Microsoft Edge有一个分层方案,默认设置为平衡设置,可以阻止一些第三方cookie。谷歌Chrome可能已经实施了其SameSite cookie计划,作为其计划于2022年逐步淘汰第三方cookie的前奏。
虽然谷歌试图赢得对其各种隐私沙盒(Privacy Sandbox)提案的支持,这些提案旨在为营销人员提供表面上保护隐私的替代方案,以取代越来越受到回避的第三方cookie,但营销人员一直依赖CNAME的恶作剧来将他们的第三方追踪器冒充为第一方资源。
开源内容阻止扩展uBlock Origin背后的开发者在11月份实现了对基于CNAME的跟踪的防御,现在Brave也这样做了。
在周二的一篇博客文章中,Brave Software的研究工程师安东·拉扎列夫(Anton Lazarev)和高级隐私研究员彼得·斯奈德(Peter Snyder)解释说,在线跟踪脚本可能会使用规范的名称DNS记录,即CNAME,使相关的第三方跟踪域看起来像是实际访问的第一方网站的一部分。
他们以https://mathon.fr网站为例,指出如果不揭开cname的外衣,brave就会阻止谷歌、facebook、criteo、sirdan和trustilot等广告公司提供的6个跟踪脚本的请求。
勇敢的索兹对将搜索查询发送到附属链接的编码混乱进行了编码,坚称这种做法是行业标准的;
多读。
但是该页面也通过驻留在第一方子域16ao.mathon.fr下的随机路径处的脚本发出四个请求。
在浏览器外部检查发现,16ao.mathon.fr实际上有一个规范名称et5.eulerian.net,这意味着它是由Eulerian提供服务的第三方脚本,观察Lazarev和Snyder。
当Brave1.17在下个月发布时(目前是开发者版本),它将能够揭开CNAME欺骗的外衣,并阻止欧拉脚本。
其他浏览器供应商正在计划相关的防御措施。自去年11月以来,Mozilla一直致力于Firefox的修复。8月份,苹果公司的Safari WebKit团队提出了一种方法,可以防止CNAME伪装被用来绕过WebKit智能跟踪保护系统规定的7天Cookie有效期。®。
The Register-独立于科技界的新闻和观点。情况发布的一部分