Mozilla 修補 Firefox 漏洞,阻止跨站點跟蹤 Cookie
Mozilla說,Firefox 86中的“Total Cookie Protection”功能可防止侵入性的跨站點跟蹤Cookie。
Mozilla基金會已經發布了最新版本的Firefox瀏覽器,該瀏覽器具有新的隱私保護功能,可以擠壓跨站點跟蹤Cookie,并且還提供了大量安全漏洞修復程序。
周二發布的Firefox 86包括一項名為Total Cookie Protection的隱私保護功能。這項新功能隔離了每個網站分配的每個Cookie,從而防止網站以侵入性,跨站點的方式跟蹤互聯網用戶。
周二,Tim Huang、Johann Hofmann和Arthur Edelstein表示:“Total Cookie Protection將Cookie限制在創建它們的網站上,從而防止跟蹤公司使用這些Cookie從一個網站跟蹤你在另一個網站的瀏覽情況。”
Cookies:破壞隱私問題
HTTP cookie是由網絡瀏覽器在用戶瀏覽各種網站時存儲的小型數據文件。它們用作改善Web瀏覽體驗并啟用特定于用戶的廣告的唯一標識符,這是互聯網經濟的必要組成部分。
但是,跟蹤cookie也會帶來“嚴重的隱私漏洞”,Mozilla表示,因為第三方公司(例如數據經紀人,聯盟網絡和廣告網絡)可以使用它們來跟蹤用戶的瀏覽器活動,即使他們訪問其他網站也是如此。然后,廣告商可以使用跟蹤Cookie來更好地了解用戶訪問的網站(無論是社交媒體網站還是其他網站),并最終拼湊出用戶身份的數字圖片。這些詳細信息也可以轉移到第三方并存儲在遠程服務器上。
Huang,Hofman和Edelstein說:“這種基于cookie的跟蹤長期以來一直是收集用戶情報的最普遍的方法。” “這是大規模商業跟蹤的關鍵組成部分,它使廣告公司可以悄悄地為您建立詳細的個人資料。”
Firefox Total Cookie Protection
Total Cookie Protection旨在通過為用戶訪問的每個網站創建Mozilla所謂的單獨的“cookie”來解決其中的一些隱私問題。
每次用戶訪問網站時,該網站(或網站中嵌入的第三方內容)都會將cookie存放在用戶的瀏覽器中。然后,該Cookie被限制在分配給該網站的“ Cookie Jar”中,但不允許與任何其他網站共享。這將防止各種第三方公司進行侵入性的跨站點跟蹤。
Mozilla表示,當出于非跟蹤目的而需要跨站點Cookie(包括流行的第三方登錄提供商使用的跨站點Cookie)時,Total Cookie Protection確實對跨站點Cookie做出了“有限例外”。
Huang,Hofman和Edelstein說:“只有當Total Cookie Protection檢測到您打算使用提供商時,它才會授予該提供商許可使用專門用于您當前訪問的站點的跨站點cookie。” “此類暫時例外可在不影響您的瀏覽體驗的情況下提供強大的隱私保護。”
瀏覽器采取跟蹤Cookie隱私權措施
自2018年以來,Mozilla就一直在反對追蹤cookie的戰爭之路,當時它宣布了一項運動,默認在Firefox中阻止追蹤cookie并在其瀏覽器中實施各種其他隱私措施。出于立場考慮,Firefox在2018年10月推出了(默認情況下)增強的跟蹤保護功能,該功能使用戶可以選擇阻止cookie和第三方跟蹤器的存儲訪問。
其他瀏覽器已經提出了自己的各種策略來應對由跟蹤cookie引入的隱私漏洞。例如,谷歌在2020年設定了一個激進的兩年期限,要求放棄其Chrome網絡瀏覽器中對第三方跟蹤Cookie的支持。蘋果在三月份發布了Safari瀏覽器的更新,默認情況下將阻止第三方cookie。
Mozilla Firefox 86安全修復
Firefox 86還提供了三個針對高嚴重性漏洞的安全修復程序。這些漏洞中的兩個存在于內容安全策略(CSP)中,它是一種用于瀏覽器的安全機制,可防止跨站點腳本,點擊劫持和其他代碼注入攻擊。第一個漏洞(CVE-2021-23969)可能允許遠程攻擊者獲取敏感數據。在為CSP創建違規報告的過程中,Firefox對該過程的實現錯誤地將源文件設置為重定向的目標。
漏洞搜索引擎Vulmon的分析表明:“通過說服受害者訪問特制網站,遠程攻擊者可以利用此漏洞來獲取重定向的目標。”
Mozilla通過使源文件成為重定向目標的源而不是重定向目標來解決了該漏洞。
另一個漏洞(CVE-2021-23968)源自CSP違規報告流程。盡管沒有找到有關此漏洞的詳細信息,但Mozilla表示該漏洞可用于泄漏統一資源標識符(URI)中包含的敏感信息。
“如果內容安全策略阻止了框架導航,則在違規報告中報告了框架中重定向的完整目標;與原始框架URI相對”。
