負責WebKit安全及隱私的蘋果工程師John Wilander於本周宣布,他們已改善了WebKit的智慧追蹤預防(Intelligent Tracking Prevention,ITP)功能,全面封鎖了第三方的Cookie,而且已被整合在本周出爐的iOS 13.4、iPadOS 13.4,以及macOS 10.15.4所使用的Safari 13.1中。

一般而言,Cookie是由使用者所造訪的網站植入在使用者電腦上的紀錄,它存放了使用者的瀏覽行為與個人偏好,目的是為了讓使用者的瀏覽經驗更順暢,它稱為第一方Cookie;不過,有些時候會有來自第三方的Cookie被植入使用者電腦,例如在使用者造訪A站時,A站可能含有來自B廣告網路的廣告,B廣告網路也會順勢植入Cookie,假使使用者所造訪的眾多網站都支援B網域的廣告,那麼B廣告網路就能藉此得知,使用者所造訪過的網站及其瀏覽習慣。

使用者可能會發現,一旦曾瀏覽某個購物網站的特定商品,該網站或相關商品的廣告就會如影隨形,不管是造訪什麼其它網站都會出現,這就是第三方Cookie的傑作。

其實過去蘋果就已透過ITP來封鎖第三方Cookie,但當中含有一些漏洞,讓使用者仍能被追蹤,新版ITP號稱可全面封鎖第三方Cookie,而且毫無例外。

Wilander說明,這次他們移除了封鎖Cookie時的ITP狀態顯示,讓網站無法再根據封鎖狀態來進行追蹤,同時也關閉了登入指紋,不再讓網站檢視使用者先前曾登入的網站。而全面封鎖第三方Cookie除了能夠阻止跨站偽造請求(Cross-site Request Forgery,CSRF)攻擊之外,也能避免有人能夠用第三方的網域,來辨識使用者身分。

Wilander表示,迄今只有Tor Browser支援完整的第三方Cookie封鎖能力,再來就是Safari,Brave則有少許例外,Chrome則預計在2022年之前提供同樣的能力。至於未被提及的Firefox去年就在預設值中,啟用了封鎖第三方追蹤Cookie的增強追蹤保護(Enhanced Tracking Protection)功能,根據Mozilla的說法,它封鎖了許多會在網路上跟蹤使用者並蒐集使用者資訊的追蹤器,包括社交網站追蹤器、跨站追蹤Cookie、指紋及挖礦工具等。


Advertisement

更多 iThome相關內容