Breaking News

Apple tăng cường tính năng ngăn chặn các cuộc tấn công Cross-Site Tracking trong iOS 12.2 Beta và Safari 12.1

Bản cập nhật Beta của nền tảng iOS 12.2 dành cho các thiết bị iPhone, iPad và Safari 12.1 trên macOS High Sierra and Mojave được cập nhật thêm bộ Webkit Phòng chống theo dõi thông minh (WebKit Intelligent Tracking Prevention - ITP) nhằm hỗ trợ người dùng, giảm thiểu khả năng theo dõi và nhận dạng của các website.

Apple tăng cường tính năng ngăn chặn các cuộc tấn công Cross-Site Tracking trong iOS 12.2 Beta và Safari 12.1 - Cybersec365.org
Apple tăng cường tính năng ngăn chặn các cuộc tấn công Cross-Site Tracking trong iOS 12.2 Beta và Safari 12.1 - Cybersec365.org
Cụ thể, tính năng Phòng chống theo dõi thông minh (IPT) được phát triển vào mùa hè năm 2017, được thiết kế để tự động hoá quản lý các tập tin cookie của trình duyệt. Tính năng này đảm bảo các website không thể sử dụng cross-site tracking và các cookie của bên thứ ba để theo dõi người dùng.
Ngay thời điểm triển khai, các nhà phát triển đã phát hiện hơn 70 website phổ biến đều đang âm thầm thu thập dữ liệu người dùng.
Apple tăng cường tính năng ngăn chặn các cuộc tấn công Cross-Site Tracking trong iOS 12.2 Beta và Safari 12.1 - Cybersec365.org
Apple tăng cường tính năng ngăn chặn các cuộc tấn công Cross-Site Tracking trong iOS 12.2 Beta và Safari 12.1 - Cybersec365.org
Theo John Wilander - Kỹ sư WebKit tại Apple cho biết bản cập nhật ITP mới đi kèm với các cải tiến về hiệu suất, bảo mật và quyền riêng tư.

  • Cross-site trackers have started using first-party sites’ own cookie jars
     for the purpose of persistent tracking. The first-party storage space is especially troublesome for privacy since all tracker scripts in the first-party context can read and write each other’s data. Say social.example writes a user tracking ID as a news.example first-party cookie. Now analytics.example, adnetwork.example, and video.example can leverage or cross pollinate that user tracking ID through their scripts on news.example.
  • Cookies available in document.cookie can be stolen by speculative execution attacks on memory. Therefore, they should not carry sensitive information such as credentials.
  • Cookies available in document.cookie can be stolen by cross-site scripting attacks. Again, therefore, they should not carry sensitive information such as credentials.
  • The proliferation of cookies slows down page and resource loads since cookies are added to every applicable HTTP request. Additionally, many cookies have high entropy values which means they cannot be compressed efficiently. We come across sites with kilobytes of cookies sent in every resource request.
  • There is a size limit on outgoing cookie headers for performance reasons, and websites risk hitting this limit when cross-site trackers add first-party cookies. We’ve investigated reports of news site subscribers getting spuriously logged out, and found that trackers were adding so many cookies that the news site’s legitimate login cookie got pushed out.

Không có nhận xét nào