Firefox再次從Tor瀏覽器中借鑒了一個(gè)隱私保護(hù)功能

責(zé)任編輯:editor007

作者:Alpha_h4ck

2017-11-08 21:02:03

摘自:黑客與極客

新功能增強(qiáng)用戶的隱私保護(hù)

新功能增強(qiáng)用戶的隱私保護(hù)

Mozilla的工程師們從著名的Tor瀏覽器中借鑒了一個(gè)功能,即從Firefox v58開(kāi)始,F(xiàn)irefox瀏覽器將會(huì)嘗試阻止第三方服務(wù)使用HTML5的canvas(畫(huà)布)元素來(lái)對(duì)用戶進(jìn)行追蹤和識(shí)別。

對(duì)于Firefox瀏覽器來(lái)說(shuō),屏蔽canvas是一種能夠增強(qiáng)用戶隱私保護(hù)等級(jí)的重要更新,因?yàn)殚L(zhǎng)期以來(lái)互聯(lián)網(wǎng)廣告廠商一直都在使用canvas指紋追蹤技術(shù)來(lái)對(duì)用戶的瀏覽偏好和使用習(xí)慣進(jìn)行追蹤和記錄。

自從歐盟強(qiáng)制要求網(wǎng)站在使用或訪問(wèn)用戶瀏覽器cookie時(shí)必須要彈窗提示,因此近些年來(lái)這種利用canvas指紋技術(shù)來(lái)追蹤用戶的方法也變得越來(lái)越流行了。因?yàn)閏anvas指紋追蹤技術(shù)不需要在目標(biāo)用戶的瀏覽器中存儲(chǔ)任何的數(shù)據(jù),所以這種技術(shù)也成為了網(wǎng)絡(luò)廣告領(lǐng)域中非常受歡迎的一種用戶追蹤/識(shí)別方案。

Canvas指紋追蹤技術(shù)的工作機(jī)制

首先,廣告商需要在目標(biāo)頁(yè)面的一個(gè)隱藏iframe中加載一個(gè)HTML canvas標(biāo)簽,然后在其中添加一系列元素或文本內(nèi)容,最終在瀏覽器頁(yè)面中生成的圖像將會(huì)被轉(zhuǎn)換為一個(gè)文件哈希。

因?yàn)槊恳慌_(tái)電腦和瀏覽器所添加的元素都是不同的,因此網(wǎng)絡(luò)廣告商就可以依靠這種方式來(lái)對(duì)用戶的瀏覽器進(jìn)行追蹤,并了解到目標(biāo)用戶所訪問(wèn)過(guò)的網(wǎng)站。如果你想了解更多關(guān)于Canvas指紋追蹤技術(shù)的技術(shù)細(xì)節(jié),請(qǐng)參考這篇發(fā)表于2012年的研究論文【《HTML5中的Canvas指紋追蹤技術(shù)》】。

從Tor瀏覽器中借鑒功能

其實(shí),Tor瀏覽器早就已經(jīng)通過(guò)阻止任意網(wǎng)站訪問(wèn)canvas數(shù)據(jù)修復(fù)了這種潛在的安全問(wèn)題(默認(rèn)配置下)。每當(dāng)一個(gè)網(wǎng)站想要訪問(wèn)canvas元素時(shí),Tor瀏覽器都會(huì)彈出如下圖所示的警告窗口:

 

Firefox再次從Tor瀏覽器中借鑒了一個(gè)隱私保護(hù)功能

 

因此,基于Mozilla漏洞追蹤項(xiàng)目中的一條漏洞信息以及Tor瀏覽器的這種功能,Mozilla的安全技術(shù)人員和工程師計(jì)劃在當(dāng)某個(gè)網(wǎng)站想要從一個(gè)元素中提取數(shù)據(jù)時(shí),F(xiàn)irefox瀏覽器將彈出一個(gè)跟Tor瀏覽器警告窗口類似的授權(quán)彈窗來(lái)提醒用戶。除了訪問(wèn)canvas數(shù)據(jù)之外,當(dāng)網(wǎng)站想要訪問(wèn)用戶的攝像頭或麥克風(fēng)時(shí)Firefox瀏覽器也將彈出類似的權(quán)限窗口。

根據(jù)Mozilla的官方公告,F(xiàn)irefox v58計(jì)劃將于2018年1月16日正式發(fā)布。

這是Firefox從Tor瀏覽器中借鑒過(guò)來(lái)的第二個(gè)功能

“屏蔽Canvas指紋追蹤”是Mozilla的工程師從Tor項(xiàng)目中所借鑒過(guò)來(lái)的第二個(gè)功能了,Mozilla在Firefox v52中曾添加了一種安全機(jī)制來(lái)防止網(wǎng)站通過(guò)系統(tǒng)字體來(lái)對(duì)用戶進(jìn)行追蹤識(shí)別。

Mozilla為了增強(qiáng)Firefox瀏覽器的安全性,還專門(mén)建立了Tor Uplift項(xiàng)目,而這個(gè)項(xiàng)目的主要目的就是將Tor瀏覽器中針對(duì)隱私保護(hù)的強(qiáng)大功能引入到Firefox瀏覽器之中。不過(guò)值得一提的是,Tor瀏覽器是基于Firefox ESR開(kāi)發(fā)的,因此一般來(lái)說(shuō)應(yīng)該是Tor瀏覽器借鑒Firefox瀏覽器的功能才對(duì),而不應(yīng)該是現(xiàn)在這種情況,看來(lái)社區(qū)還是很強(qiáng)大的,畢竟高手在民間。

 

Firefox再次從Tor瀏覽器中借鑒了一個(gè)隱私保護(hù)功能

 

其實(shí)Mozilla一直都在為提升用戶安全性而努力。早在2016年的8月份,Mozilla還屏蔽了一大堆托管了指紋追蹤腳本的主機(jī)(URL)。除此之外,Mozilla還曾通過(guò)移除電池狀態(tài)API來(lái)提升Firefox的用戶隱私安全。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)