Comparisons Brawte nfaq 0 Comments

クパチーノ、君の仕事は一つだけだった:Appleのインテリジェントトラッキングプロテクションは実際にトラッキング防止を実現

Table of Contents

クパチーノ、君の仕事は一つだけだった:Appleのインテリジェントトラッキングプロテクションは実際にトラッキング防止を実現

アップルは火曜日、WebKitブラウザエンジンのインテリジェントトラッキング保護(ITP)システムを、追跡される可能性があるためアップデートした。

ITPはある程度の効果があり、SafariユーザーをCookieを多用するChromeユーザーよりも行動ターゲティング広告のエコシステムにおいて不透明で価値の低いものにしているものの、依然として欠陥が存在します。最近、Googleのセキュリティ研究者は、ITPが本来阻止するために開発された目的そのものにITPを利用する方法を発見し、その調査結果をAppleに報告しました。これにより、Appleの将来の広告収入に悪影響が出る可能性があります。

iPhone業界は火曜日、WebKitに関するブログ投稿でこの情報を認めたが、一連のセキュリティアップデートに隠されていた。Appleの各種OSおよびブラウザのソフトウェアアップデートは、悪意のあるWebコンテンツから任意のコード実行を許す3つのWebKitの脆弱性(CVE-2019-8835、CVE-2019-8844、CVE-2019-8846)に対処しているが、これらは互いに関連性がないようだ。ブログ投稿ではGoogleの責任ある情報開示に感謝の意を表しているものの、特定されたITPの問題の詳細については触れていない。

WebKitのセキュリティとプライバシーのエンジニアであるジョン・ウィランダー氏が書いたブログ記事には、Googleの研究者がAppleに「トラッキング防止によってWebコンテンツが異なって扱われた場合にそれを検出する能力と、そのような検出によって起こり得る悪影響の両方」を調査したレポートを提供したとだけ書かれている。

ウィランデル氏は、この報告書によってITPにいくつかの変更がもたらされたと述べ、今後のセキュリティリリースノートではGoogleの研究者をクレジットすることを約束した。

Googleの開示内容については具体的に述べられていないものの、Wilander氏の投稿では、WebKitのトラッキング防止システム自体がトラッキングのメカニズムとして利用される可能性があると説明されています。そのため、投稿のタイトルは「トラッキング防止トラッキングの防止」となっています。

「オリジンや URL に基づいてウェブ コンテンツを異なる方法で処理するあらゆる種類のトラッキング防止やコンテンツ ブロッキングは、オリジンや URL のセットがブラウザーに何らかの一意性を与え、ウェブページがその異なる処理を検出できる場合、トラッキング目的で悪用される危険性があります」と Wilander 氏は説明します。

こう考えると、ITP はブラウザフィンガープリンティングの媒介として機能し、表面上はトラッキング防止対策が施されているにもかかわらず、ウェブ上でユーザーを追跡するために使用できる情報を伝達する可能性があるように思われます。これを修正するために、WebKit チームは 3 つの変更を実装しました。

まず、ITP は、すべてのクロスサイト Referer ヘッダーをページのオリジンまで切り詰め、追加のパス情報を省略するようになりました。

ブラウザユーザーがリンクをクリックすると、ブラウザは通常、「Referer」(正しい綴りの「referrer」ではなく)というHTTPヘッダーを追加します。このヘッダーには、リンク先のウェブページへのリクエストに元のウェブページのURLが含まれます。リンクが別のドメインを指している場合、それはクロスサイトリクエストです。

たとえば、 Web ページdevclass.comからリンクをクリックするとtheregister.com、クロスサイト リクエスト ヘッダー (参照元の Register ページの URL) が送信され、Referer ヘッダー フィールドに入ります。

中国の自撮り革命

Appleは、非難されていない行為を一切行っていないと主張している。「SafariのURLをTencentに渡すのではなく、ユーザーのIPアドレスだけを渡している」

続きを読む

今後、Safari ユーザーは元の URL の一部ではなく、その部分theregister.com/example.htmlのみを送信します。theregister.com/example.html

2 番目に、ITP は、関連付けられているファーストパーティの Web サイトがすでにユーザー インタラクションを確立していない限り、すべてのサードパーティのリクエストによる Cookie の表示を拒否します。

最後に、WebKitは昨年導入されたAPIである の呼び出し処理方法を改訂しましたdocument.hasStorageAccess()。このAPIにより、埋め込まれたクロスサイトコンテンツは、ファーストパーティサービスに既にログインしているユーザーを認証(ファーストパーティCookieへのアクセスを要求)しながらも、トラッキングを制限できるようになります。このAPIは、呼び出される際にSafariのCookieポリシーを考慮するようになったため、特定の状況ではアクセスを拒否する可能性があります。

The RegisterはAppleに対し、Googleの開示情報に関する詳細情報の提供を求めた。それがどうなったかはご想像の通りだ。®

Comparisons

Smart Recommendations

Discover More