正如它所说,这种“重大的隐私优势”通过在每个网站上隔离第三方Cookie来防止跨站点跟踪。
Mozilla将此比喻为每个网站都有一个单独的Cookie罐–例如,例如,Facebook Cookie与该运动鞋网站的Cookie不在同一桶中存储,在该运动鞋网站上您购买了最新的踢球等等。
Mozilla解释说,新的隐私包装层“在Firefox中的网站之间提供了cookie和其他网站数据的全面分区”。
它与上个月宣布的另一个反跟踪功能(针对所谓的“超级Cookie”)一起,又名偷偷摸摸的跟踪器,将用户ID存储在浏览器的“越来越模糊”的部分(例如Flash存储,ETag和HSTS标志),即根据Mozilla的说法,这些功能使用户难以删除或阻止它们-这些功能组合在一起“防止网站能够'标记'您的浏览器,从而消除了最普遍的跨站点跟踪技术”。
当非跟踪目的需要跨站点Cookie时,“跨站点Cookie”是“有限的例外”-Mozilla给出了流行的第三方登录提供商的示例。
“仅当Total Cookie Protection检测到您打算使用提供程序时,才会授予该提供程序使用专门用于您当前访问的站点的跨站点Cookie的权限。这种暂时的例外情况可以在不影响您的浏览体验的情况下提供强大的隐私保护。”
长期以来,跟踪器阻止一直是与广告技术行业决定继续监视网络用户的决心的军备竞赛-并同意接受监视人们在线业务的想法-倾注资源以设计出恶魔般的新技术来尝试不断观察互联网用户是做。但是近年来,随着浏览器制造商采取了更强硬的亲隐私/反跟踪器立场,这场斗争已经加剧。
例如,Mozilla早在2018年就开始将跟踪器阻止默认设置-并在2019年将ETP设置为Firefox中的默认设置,阻止其合作伙伴Disconnect确定为跟踪器的公司的cookie。
尽管Apple的Safari浏览器在2017年增加了“智能跟踪预防”(ITP)功能-应用机器学习来识别跟踪器并隔离跨站点脚本数据,以保护用户的浏览历史不受第三方的关注。
谷歌宣布计划淘汰对Chrome中的第三方Cookie的支持,这也使它成为了广告技术领域的佼佼者-它表示将在2020年1月前两年内取消支持-尽管它仍在致力于“隐私沙盒”项目,正如它所说的那样(现在受到英国反托拉斯监管机构的监视)。
自2019年以来,Google一直在发出加强隐私的声音,以应对其他浏览器市场对在线隐私的担忧。
去年4月,它回撤了一项更改,该更改使站点更难访问第三方Cookie,理由是人们担心站点在大流行期间能够执行基本功能,尽管这种情况已于7月恢复。但可以公平地说,在执行其声称的加强隐私的计划时,这家广告技术巨头仍然落后。
鉴于Chrome的市场份额,与使用其他类型的,更加主动保护隐私的浏览器相比,这使世界上大多数网络用户面临更多的跟踪。
而且,由于Mozilla最新的反Cookie跟踪功能表明,胜过adtech对隐私(和同意)过敏的竞赛也不是终点。因此,可以说进行隐私保护的速度很慢与根本不提供太多隐私保护没有什么不同。
讽刺:一组新的隐私研究人员在这份新论文中详细介绍了一个令人担忧的发展-基于非cookie的跟踪方面,该研究人员对CNAME跟踪(也称为基于DNS的反跟踪规避技术)进行了分析,发现在不到两年的时间里,偷偷摸摸的反跟踪规避方法的使用增长了大约五分之一。
自2019年左右以来,这项技术一直引起人们对“无障碍”网络跟踪的普遍关注,当时开发人员发现了一家法国报纸网站在野外使用的技术。从那以后,根据研究,使用量一直在上升。
简而言之,CNAME跟踪技术通过将内容注入通过网站子域嵌入的内容(实际上是跟踪器域的别名),将跟踪器注入到所访问网站的第一方上下文中,从而掩盖了跟踪器。
“由于DNS委派,该方案有效。论文作者之一,隐私和安全研究人员Lukasz Olejnik在有关该研究的博客文章中写道:“通常情况下,这是DNS CNAME记录。” “从技术上讲,跟踪器托管在所访问网站的子域中。
“采用这样的计划有一定的后果。愚弄基本的Web安全和隐私保护-认为用户故意浏览跟踪器网站。当网络浏览器看到这种方案时,某些安全性和隐私保护就会放宽。”
Olejnik继续强调,CNAME跟踪技术“对网络安全性和隐私具有实质性影响”,因此不要被“放松”一词所迷惑。例如,浏览器被欺骗,将跟踪器视为所访问网站的合法第一方内容(反过来,则可以释放“很多好处”,例如访问第一方Cookie,然后可以将其发送到远程第三方)。跟踪器控制的第三方服务器,以便监视实体可以对个人数据采取邪恶的方式)。
因此,存在的风险是,通过阻止反跟踪器进行监视,可以阻止为阻止隐私跟踪器保护隐私而进行的大部分聪明工程工作。
研究人员发现了一个(臭名昭著的)追踪器提供商Criteo,当它检测到正在使用的Safari网络浏览器时,便将其追踪脚本恢复为自定义CNAME伪装方案,这大概是规避Apple ITP的一种方式。
还存在与CNAME跟踪有关的其他问题:正如Olejnik所说,由于当前的Web体系结构,本文详细介绍了该方案如何“为广泛的Cookie泄漏开辟道路”-解释了如何部署正在部署的技术“许多无关的合法Cookie”被发送到跟踪器子域。
奥莱尼克(Olejnik)在2014年的一项研究中就记录了这种担忧,但他写道,这个问题现在已经爆炸了:“作为冰山一角,我们在7,377个网站上发现了广泛的数据泄漏。几乎每个使用CNAME方案的网站上都会发生一些数据泄漏(分析cookie通常会泄漏)。这表明该方案非常危险。这对网络安全和隐私有害。”
他们还报告发现其他第三方脚本设置的cookie泄漏,这表明在这种情况下,泄漏的cookie将允许CNAME跟踪器跨网站跟踪用户。
在某些情况下,他们发现泄漏的信息包含私人或敏感信息,例如用户的全名,位置,电子邮件地址和(出于安全考虑)身份验证cookie。
该论文继续引发了许多Web安全问题,例如,当CNAME跟踪器通过HTTP而不是HTTPS提供服务时,他们发现这种情况经常发生,并且可能会促进中间人攻击。
研究人员表示,防御CNAME伪装方案将需要一些主要的浏览器采用新的技巧-他们指出,尽管Firefox(全球市场份额约为4%)确实提供了针对Chrome所没有技术的防御措施。
WebKit引擎上的工程师,苹果的Safari浏览器的基础知识引擎也一直在努力为ITP进行增强,旨在抵消CNAME跟踪。
在去年11月的一个博客文章中,IPT工程师John Wilander写道,由于对抗偷偷摸摸的技术的防御“ITP现在检测到第三方CNAME隐藏请求和CAPS在HTTP响应中设置的任何cookie的到期到7天。此帽与ITP的Expiry Cap对齐,在通过JavaScript创建的所有cookie上。“
“在1.25.0版本中,UBLOCK原产地获得了使用Mozilla的Terrific Browser.DNS API来检测和阻止CNAME-Cloised请求的能力。但是,此解决方案仅在Firefox工作,因为Chromium不提供浏览器.DNS API。在某种程度上,可以使用自定义DNS服务器阻止这些请求。但是,默认情况下,没有基于CNAME的Adblocking保护功能的浏览器已发布,“它写道。
“在勇敢的1.17中,勇敢的屏蔽现在将递归地检查任何没有使用嵌入式DNS解析程序阻止的网络请求的规范名称记录。如果请求具有CNAME记录,并且将阻止在规范域下的相同请求,则请求被阻止。默认情况下,此解决方案是默认情况下的,为数百万用户带来了增强的隐私保护。“
但是,浏览器拥有最大的市场,Chrome,每位研究人员都有工作,他们写道:
由于Chrome不支持用于扩展的DNS分辨率API,因此无法应用于此浏览器的[Ublock 1.25下的Firefox版本]防御。因此,我们发现四个基于CNAME的跟踪器(Oracle Eloqua,Eulerian,Criteo和Keyade)被Flock Origin在Firefox上阻止阻止,但不在Chrome版本上阻止。