Alcuni siti Web non accettano “no” come risposta. Invece di onorare la scelta dei visitatori di bloccare i cookie di terze parti, identificatori che tracciano l’attività di navigazione mentre un utente si sposta da un sito all’altro, trovano modi ingannevoli per aggirare queste impostazioni. Ora, i creatori del browser Brave stanno intervenendo.
All’inizio di questa settimana, Brave Nightly, la versione di test e sviluppo del browser, ha lanciato una funzionalità progettata per prevenire il cosiddetto rilevamento del rimbalzo. La nuova funzionalità, nota come Untetherable Bounce, sarà disponibile per il rilascio pubblico in 1.37 Brave previsto per il 29 marzo.
Esclusione della privacy
Il tracciamento dell’eco è uno dei principali modi in cui i siti Web eludono il blocco dei cookie di terze parti. Quando un browser impedisce a un sito Web come site.example di caricare un cookie di tracciamento di terze parti da un dominio come tracker.example, site.example ne estrae uno rapidamente. Quando site.example rileva che il cookie tracker.example non può essere impostato, reindirizza invece il browser a tracker.example, imposta un cookie da quel dominio e quindi reindirizza alla pagina originale o a una nuova destinazione.
Con ciò, il cookie tracker.example viene passato attraverso il parametro URL e quindi memorizzato come cookie proprietario sulla pagina di destinazione. Una volta che tracker.example si posiziona tra un numero sufficiente di siti che un visitatore sta navigando, il tracker alla fine crea un profilo dettagliato di tale attività, inclusi gli interessi degli utenti e i dati demografici.
L’immagine seguente mostra come dovrebbe funzionare un divieto di cucina di terze parti. Quando l’utente passa dal sito uno.
Il tracciamento dell’eco supera questa disposizione inserendo un sito di tracciamento di terze parti come tracker.example tra il sito originale e i siti cats.example o cars.example che l’utente naviga in seguito. Quindi Tracker.example registra che l’utente ha visitato sia cats.example che cars.example.
Sebbene i browser che supportano il blocco dei cookie di terze parti abbiano meccanismi esistenti progettati per contrastare il tracciamento dell’eco, questa forma ingannevole di monitoraggio è ancora difficile da difendere, poiché il browser non sa in anticipo che verrà indirizzato a tracker.example. È qui che entra in gioco il rinculo non vincolante.
deposito effimero in soccorso
a PostaMercoledì, il Brave Privacy Team ha identificato il processo utilizzato da Untethered Bounce. In breve, il rimbalzo non collegabile controlla il sito che l’utente sta per visitare rispetto a un elenco di URL noti per eseguire il monitoraggio del rimbalzo. Quando un sito di destinazione viene visualizzato nell’elenco e Brave non dispone di cookie, memoria locale o altri dati ad esso associati, il browser crea automaticamente una nuova area di archiviazione del browser monouso per il sito.
Una volta che l’utente lascia il sito di monitoraggio, Brave elimina la cache. Poiché i dati non vengono più archiviati, il sito di tracciamento non sarà in grado di identificare nuovamente l’utente la prossima volta che rimbalzerà su di esso.
Brave ha molti altri modi per impedire il rilevamento della posizione. Includono l’eliminazione dei parametri di query, l’annullamento e (quando il blocco è impostato su aggressivo) un avviso per offrire agli utenti interessati la possibilità di annullare.
Il team di Brave Privacy ha spiegato l’intero flusso come segue:
- Quando si naviga verso un nuovo URL, Brave controlla se quell’URL è un sito di monitoraggio del rimbalzo noto (o dannoso), facendo riferimento a elenchi di filtri (entrambi crowdsourcing E il nato coraggioso).
- Se questo URL viene visualizzato nell’elenco dei filtri, il browser verificherà il file Tracker e annunci bloccati Prepara gli scudi per il sito di destinazione. Se questa impostazione violentoall’utente viene dato un avviso se vuole o meno continuare la navigazione, oppure no Descritto in un precedente post sul blog.
- Se l’utente ha Tracker e annunci bloccati All’impostazione predefinita (o decidere di continuare a navigare in un file violento impostazione), il browser verifica quindi i valori di archiviazione DOM proprietari (cookie, memoria locale, ecc.) per il sito di destinazione. Se l’utente ha valori memorizzati correnti, la navigazione continuerà con i valori memorizzati correnti (in altre parole, non viene applicata la regressione non vincolante). Se non sono presenti valori di archiviazione DOM per il sito di destinazione, il browser crea una nuova area cache del browser per il sito di destinazione.
- Subito dopo aver lasciato il sito sospetto di rilevamento del rimbalzo (il che significa che non ci sono schede aperte per quel sito), la cache viene eliminata, impedendo al sito di restituire la tua identità la prossima volta che rimbalzi attraverso il sito.
I membri del team hanno affermato che il rimbalzo non lampeggiabile è la prima di quattro implementazioni pianificate per implementare ciò che chiamano “caching proprietaria”. L’insieme dei metodi consente al sito di identificare i visitatori solo finché sono aperti. Di conseguenza, la memorizzazione nella cache proprietaria impedisce al sito proprietario di identificare nuovamente l’utente a meno che l’utente non desideri essere identificato nuovamente.
L’utilizzo della memorizzazione nella cache proprietaria sarebbe come cancellare la memoria del browser ogni volta che un utente lascia il sito, tranne per il fatto che è più semplice e mirato.
“Questo sta portando a un cambiamento completo nel comportamento predefinito del Web”, hanno scritto i membri del team per la privacy. “Finora, i browser presumevano che gli utenti volessero che ogni sito lo ricordasse a meno che l’utente non facesse un passo esplicito contro quel ricordo. Invece, Brave lavora sull’oblio (e quindi sulla privacy) per impostazione predefinita”.