关于权限政策和絮凝的误导

2021-04-17 14:08:25

这篇文章匆忙编写了一些关于谷歌最新的网络反分析,联邦学习的群组(Floc)的一些错误信息。谷歌的絮状物是一种尝试追踪用户,即使是他们的浏览器(正确)阻止第三方cookie。

很多误导在线讨论源于一个不太误导的博客文章1,这是一项圆形的,指示WebMasters到处都是将以下HTTP响应头添加到所有页面:

严格来说,这个建议是正确的;包括此标题将使用Google的Floc防止您的页面表格。建议未命中的是,标题并不总是必要的,甚至不是防止您的页面做出邪恶的东西的理想方式。

这一建议来自合理的分析的帖子;该帖子的作者得出结论,通过读取WICG的Floc Readme的“选择退出计算”部分,Floc是一个“选择退出”反契约。

如果您自己检查自述文件,您将注意到以下声明一(1)段提及HTTP许可策略(强调矿):

站点应该能够声明它不希望包含在用户的站点列表中进行队列计算。这可以通过新的兴趣队队员权限策略来完成。此策略将默认允许。任何不允许的帧才兴趣 - achort权限将在调用document.interescohort()时返回默认值。如果主框架没有兴趣 - 队员权限,那么页面访问将不会包含在利息队合队列中。

如果您的网站不包括呼叫Document.InterestCohort()的JS,则不会利用Google的Floc。明确选择不会改变这一点。

根据Google的Web开发博客,Web.Dev,如果页面“加载广告或广告相关资源”,则将在原始试验期间启用Floc。即,Chromium的Ad Tagger将作为广告分类的任何内容。如果您的网站加载了第三方广告,它可能最终获得选择,即使这些广告不调用Document.InterestCohort()。

添加此标题的内容是在计算用户的队列时从使用时使用的网站。群组在浏览历史中本地计算;发送此标题的站点将从此计算中排除。这可能是或可能不会减少由拼图ID获得的熵,这取决于您的网站作为标识符的方式或差。鉴于这种边际改善,我不认为当负担的负担和责任时,在负责在铬中滚动这一反射率的人来说应该针对那些负责的人来说,我认为这是正确的。我们不应该指望网络管理员每次谷歌对自己的用户推进战争时添加标签或头部。

我不认为每个网站管理员都应该读取每一个W3C规范。但是,我认为提供提供规范和规格的解释的人首先阅读相关规范。

以下是权限策略规范的副本。基本上,权限策略标题允许网站管理员到白名单,允许哪些方(如果有的话)才能利用某些API。如果我制作一个不直接执行任何地理位置的网站,但我加载了第三方小部件,我可以通过设置以下权限策略来禁止所有各方使用地理位置API:

换句话说,它为请求太多权限的任何页面内容提供全局覆盖。它是一个适用于作者不受加载内容的内容的情况。

使用权限策略选择退出队列计算并非真正有用的权限策略。在考虑用于保护隐私的HTTP标头的历史之前,这似乎并不是一项大事。

Google的非标准使用权限策略标题以选择退出群组计算的网站是让人想起的不轨道(DNT)标题。

不要跟踪是一个非标准的客户标题,用于请求网站不跟踪用户。由于Adtech公司没有激励遵守,这最终忽略了它旨在目标的几乎所有网站。几个网站最初服从标题,直到最终丢弃支持; Reddit是一个值得注意的最近示例。

鉴于非标准标题使用前的非标准标题失败,我们之前的监控资本主义,我对从服务器端再次尝试这一点,我并不太好。

不要加载可能被归类为广告的不受信任的第三方内容(仅在原产地试验期间适用)

不要调用document.InterestCohort(),也不要加载可能调用它的第三方脚本。

如果您必须诉诸添加权限策略标题以将您的网站脱离絮状物,这意味着您必须在页面上包含跟踪脚本(恶意软件)意外选择自己。我正在下注絮状物不是那些剧本的唯一邪恶的事情;他们有机会捆绑了一系列其他指纹识别措施。

要额外的安全,您可以仔细选择内容安全策略(CSP)的脚本究竟脚本;例如,secirdy.sone具有一个CSP,可阻止加载的所有脚本,表单,帧和第三方资源。

如果你担心谷歌打破规格并在你没有这样做的情况下选择你,你必须自己,有什么理由相信他们会阻止那里?没有什么可以阻止谷歌忽略权限策略标题。

请不要垃圾邮件维护者的Web服务器/后端软件,以便在默认情况下告诉它们在默认情况下包含此标题,也不会在实际缩小用户指纹时包含此标题。 不要告诉网站管理员,他们有道德义务要么添加权限策略标题。 2您不需要将此权限策略添加到每个请求,就像您不需要为每种身体活动的头盔佩戴头盔。 这不是唯一的帖子制作,但它确实击中了某种橙色网站的首页。 我不责怪作者; 如果我早先没有遇到权限策略规范,我可能还会在面值上读取作者的建议。 ↩︎ 我已经注意到了在线几个线程上的这两个行为。 我决定与他们联系起来,因为我认为话语已经过了过去的理由。 ↩︎