苹果能通过完全禁用第三方Cookie来保护用户隐私吗?

本文来源于微信公众号:InfoQ(身份证:InfoQ中国),作者:肖智 苹果完全禁止第三方饼干 3月24日,苹果公司的网络工具包博客发表了一篇名为“完全第三方Cookie拦截及更多”的文章,并正式宣布开始默认完全拦截第三方Cookie。苹果公司说,“这是对隐私的一个重大改进,因为它消除了任何异常或者允许一点点跨站点跟踪。” 此次更新涉及苹果电脑上的iOS、iPad操作系统13.4和Safari 13.1。

本文来源于微信公众号:InfoQ(身份证:InfoQ中国),作者:肖智

苹果完全禁止第三方饼干

3月24日,苹果公司的网络工具包博客发表了一篇名为“完全第三方Cookie拦截及更多”的文章,并正式宣布开始默认完全拦截第三方Cookie。苹果公司说,“这是对隐私的一个重大改进,因为它消除了任何异常或者允许一点点跨站点跟踪。”

此次更新涉及苹果电脑上的iOS、iPad操作系统13.4和Safari 13.1。这项名为智能跟踪预防(ITP)的技术于2017年首次发布,从那时禁止大多数第三方cookie到今天完全禁止第三方cookie。

据了解,Safari是市场上第一款默认完全禁止第三方Cookie的主流浏览器。除了Safari,只有Tor浏览器是相同的默认设置,后者的市场份额很小。同样,绝对主导的浏览器市场Chrome今年1月宣布,将在未来两年逐步淘汰第三方Cookie。

二月份全球浏览器市场份额

十大浏览器型号

苹果公司表示,将与W3C的隐私小组分享相关经验,帮助其他浏览器实现飞跃。

完全屏蔽有什么好处?

WebKit分享了完全阻止博客中的第三方Cookie的好处,特别是在以下方面。

消除Cookie阻止中的庄严性;

使用户信息(如登录指纹)的跨站点披露不再可行;

通过第三方请求禁用网站上的跨站点伪造攻击;

取消使用二级第三方域识别用户的能力。否则,即使用户删除了第一方的网站数据,这种设置也可以保留该标识;

简化开发人员的工作。如果需要Cookie,苹果建议使用存储访问接口。

鉴于大多数第三方脚本已经转移到类似本地存储的第一方存储方法,苹果同时宣布所有脚本的可写存储将只保留7天,之后本地存储的数据将被自动删除。受影响的存储格式包括索引数据库、本地存储、媒体密钥、会话存储和服务人员注册表。

开发人员可以根据OAuth 2.0授权、存储访问应用编程接口或临时兼容性补丁,在过渡期内解决此协议带来的不便。

苹果的博客提到全球浏览器状态已经成为网络社区隐私保护的一个关键环节。自2018年欧盟最严格的数据保护法“GDPR”生效以来,主要制造商因隐私保护被处以巨额罚款:谷歌被罚款5000万欧元,英国航空公司(British Airways)和万豪集团(Marriott)等大型企业也因数据泄露被罚款数千万欧元。

随着时代的发展,第三方Cookie因其收集大量用户信息的特点,已经成为数据泄露的一个灾区。专家说,“在HTML5本地存储技术出现之前,cookie是在客户端保存用户数据的唯一手段,但是cookie本身有很多问题,比如大小限制、明文存储等。然而,最大的问题是安全。许多安全漏洞源于Cookie盗窃。”

《GDPR》生效后,许多网站开始添加Cookie通知,但这对隐私保护没有太大影响,因此苹果和谷歌等公司开始决定从源头上禁止第三方Cookie来解决这个问题。

开发者的不同声音

一位名叫阿拉尔·巴尔干的开发者在他的博客上写了一篇文章,题为“苹果在购买时扼杀了离线网络应用程序以保护你的隐私:为什么这是一个错误的想法,为什么你应该关心。”从标题中,我们可以看到观点的激进化,而且内容实际上是一样的。

在他看来,完全屏蔽第三方Cookie以保护隐私看起来很漂亮,而7天清除空本地存储规则完全防止任何未来的分散应用程序使用浏览器(客户端)作为对等网络中的可信复制节点。

此外,他认为苹果对隐私表现出了表面的关注,事实上是因为许多制造商的做法违反了其将隐私作为商业模式的核心原则。

“你几乎可以认为他们会使用应用商店来做一些事情。”

巴尔干的观点虽然激进,但并非完全不合理。事实上,这正是苹果长期以来被批评的。早些时候在《黑客新闻》上,开发者们广泛讨论了苹果在自己的平台上对网络技术的阻碍。

用于构建应用程序的编程语言背后的软件技术使开发者在开发支持Linux、Android、Windows和macOS的操作系统产品时,能够“重用”他们为网络程序编写的代码。但是苹果不喜欢这种网络技术的循环利用。它希望苹果应用商店将会充满你在任何地方都找不到的应用,并且不希望所有平台上都可以看到的应用充斥应用商店。

例如,苹果的苹果应用商店以前禁止电子:这些应用“试图隐藏私人应用程序接口的使用”。苹果的理由是这些私有化的原料药有潜在的风险。原因本身不是问题。然而,考虑到电子公司多年来一直和平使用私有化的应用编程接口,而且功耗甚至有了很大提高,以及苹果公司推荐的工具导致的用户体验不佳,这必须发人深省。

苹果还阻止了进步网络应用程序(PWA)的登陆,这是一种像电子产品一样允许开发者为桌面和移动设备构建本地应用程序的技术。苹果的方法是只实现标准的一部分,远离完整的标准,使得开发者很难依赖。如果用户可以在Chrome或Firefox中启动PWA应用程序,这些问题就不会发生,但iPhone和iPad用户不能安装第三方浏览器,而且苹果还关闭了用户对基于PWA技术的访问。

在中国,苹果和苹果之间的爱与恨对开发者来说更广为人知,在这里不再重复。

就目前而言,苹果的举动是值得称赞的。但是禁用第三方Cookie能保护用户的隐私吗?但不一定。一些人说互联网开始变得不安全,因为从事安全的人已经出来了。这不是我的谎言。

更多关注微信:xllx999

CopyRight 2002-2020 闻蜂网