来自鲁汶大学的比利时研究人员组成的团队分析了七个主要Web浏览器,31个广告阻止程序和14个反跟踪扩展程序的第三方cookie策略,并发现了其中的主要和次要问题。
主要问题包括Microsoft Edge不愿遵守自己的“仅阻止第三方cookie”设置,绕过Firefox的Tracking Protection功能以及在Chrome和其他基于Chromium的浏览器中使用集成的PDF查看器进行不可见跟踪。
Cookie请求可以分为两个主要组:来自浏览器地址栏中列出的地址的第一方请求和来自所有其他站点的第三方请求。
网站显示的广告通常使用cookie,其中一些cookie用于跟踪。
互联网用户可以将其浏览器配置为阻止任何第三方cookie请求,以限制基于cookie的跟踪。某些浏览器,例如Opera或Firefox,还包含广告拦截器或反跟踪功能。
反跟踪机制存在缺陷
研究论文“谁打开了Cookie罐?对第三方Cookie政策的全面评估”,有关每个Web浏览器的详细信息,测试以发现浏览器是否容易受到攻击,并在此研究中链接了错误报告。项目的网站。
研究人员创建了一个测试框架,用于验证“所有施加的cookie和请求策略是否正确应用”。他们发现“可以避免大多数机制”。所有广告拦截和反跟踪浏览器扩展程序都至少具有一个绕过漏洞。
在本文中,我们表明,在当前状态下,内置的反跟踪保护机制以及几乎所有依赖阻止第三方请求来阻止用户跟踪或禁用侵入性广告的流行浏览器扩展都可以被绕过至少一种技术
研究人员评估了跟踪保护功能和一种称为同站点cookie的新cookie功能,该功能最近被引入以防御跨站点攻击。
下表列出了所有经过测试的浏览器的结果。研究人员测试了Chrome,Opera,Firefox,Safari,Edge,Cliqz和Tor浏览器的默认配置,以及禁用了第三方Cookie阻止(如果可用)和启用跟踪保护功能的配置。
Tor浏览器是列表中唯一默认情况下阻止第三方cookie的浏览器。所有浏览器都不会针对某些重定向阻止cookie,无论是否阻止了第三方cookie或启用了跟踪保护。
使用内置PDF查看器的Chrome,Opera和其他基于Chromium的浏览器在cookie方面存在主要问题。
此外,基于Chromium的浏览器中的设计漏洞支持绕过内置第三方Cookie阻止选项和扩展提供的跟踪保护。通过嵌入在PDF中的JavaScript(由浏览器扩展程序呈现),可以将带有Cookie的POST请求发送到其他域,而不管所施加的策略如何。
研究人员称,用于广告拦截或反跟踪的浏览器扩展也有弱点。扩展列表的内容就像是隐私和内容阻止世界的名人录。它包括uMatrix和uBlock Origin,Adblock Plus,Ghostery,Privacy Badger,Disconnect或AdBlock for Chrome。
研究人员发现了规避保护措施的方法,并向开发人员报告了一些错误。uBlock Origin和uMatrix的首席开发人员Raymond Hill中的一些人迅速解决了这些问题。
向浏览器制造商报告的至少一个问题已得到修复。Mozilla修复了“ Firefox扩展无法拦截获取Favicon的请求”。其他已报告的问题仍在修复中,第三种根本不会修复。
网络浏览器发出Cookie
您可以运行专为经过测试的Web浏览器设计的各个测试,但项目网站上的Microsoft Edge除外,以查找您的浏览器是否存在相同的问题。
结束语
显然,随着越来越多的技术被添加到浏览器中,很明显复杂性已经大大增加。这项研究应该使网络浏览器制造商大开眼界,并且希望在不久的将来情况会变得更好。
必须问一些浏览器制造商是否在测试某些功能?在这方面,Microsoft Edge不遵守阻止第三方cookie的内置设置尤其令人尴尬。(通过Deskmodder)