Mozilla Foundation сожгла пару чудовищ в новой версии 85 своего браузера Firefox.

Большая цель — суперпеченье, которое, как объяснил разработано инженером Mozilla по конфиденциальности Стивеном Энглехардтом и старшим менеджером по продукту для конфиденциальности и безопасности Firefox Артуром Эдельштейном, действительно очень неприятные трекеры, потому что они используют лучшие практики поведения браузера, чтобы предлагать отслеживание, которое выходит за рамки того, что разрешено «официальными» файлами cookie и законами о конфиденциальности.

«Как и все веб-браузеры, Firefox разделяет некоторые внутренние ресурсы между веб-сайтами для уменьшения накладных расходов», — объясняют они, прежде чем предложить кеш Firefox в качестве примера этого подхода в действии. «Если одно и то же изображение встроено на несколько веб-сайтов, Firefox будет загружать изображение из сети во время посещения первого веб-сайта, а на последующих веб-сайтах традиционно загружать изображение из локального кеша изображений браузера (а не перезагружать из сети). ”

Трекеры нашли способы злоупотреблять этими общими ресурсами, чтобы следить за пользователями в Интернете.

Пока все разумно. Но также и циничными.

«К сожалению, некоторые трекеры нашли способы злоупотреблять этими общими ресурсами, чтобы следить за пользователями в сети. В случае с кешем изображений Firefox трекер может создать супер-файл cookie, «кодируя» идентификатор пользователя в кэшированном изображении на одном веб-сайте, а затем «извлекая» этот идентификатор на другом веб-сайте путем встраивания того же изображения », пара пиши.

Firefox 85 дает отпор, используя «отдельный кеш изображений для каждого веб-сайта, который посещает пользователь».

Читайте также:
Logitech и Baidu объединили руки, чтобы создать мышь с функцией искусственного интеллекта и функцией записи голоса • The Register

Этот подход сохраняет преимущество кеширования, поскольку файлы по-прежнему хранятся локально. Но что критично, Firefox больше не разделяет кеши между сайтами.

Энглехард и Эдельштейн идентифицируют одиннадцать кешей — кеш HTTP, кеш изображений, кеш favicon, кеш HSTS, кеш OCSP, кеш таблиц стилей, кеш шрифтов, кеш DNS, кеш аутентификации HTTP, кеш Alt-Svc и кеш сертификатов TLS — которые им необходимы для адрес.

Но это еще не все, что им нужно было изменить. «Firefox будет повторно использовать одно сетевое соединение при загрузке ресурсов с одной стороны, встроенных на несколько веб-сайтов», — написали они. Хотя этот подход позволит избежать необходимости в дополнительных установках связи TCP, поскольку браузеры обращаются к различным ресурсам, поддержание единого сетевого сеанса позволяет отслеживать пользователей.

Verizon оштрафовал на $ 1,4 млн за суперпеченье для сталкеров

ЧИТАТЬ БОЛЬШЕ

Таким образом, Firefox 85 «разделяет объединенные соединения, соединения с предварительной выборкой, соединения с предварительным подключением, предполагаемые соединения и идентификаторы сеансов TLS».

Два представителя Mozillans признают, что этот новый подход действительно влияет на время загрузки страницы, но оценивают его как «очень скромное», поскольку оно обеспечивает «увеличение от 0,09% до 0,75% на 80-м процентиле и ниже и максимальное увеличение на 1,32% на 85-й процентиль ». Пара говорит, что это примерно то же самое, что и аналогичные средства защиты, которые скоро появятся в Chrome.

В самом деле, два автора подписываются, поблагодарив «коллег из команд Brave, Chrome, Safari и Tor Browser» за их собственные усилия по уничтожению суперпечений.

Читайте также:
Update 3 - это конец Windows RT?

Вторым противником, убитым в Firefox 85, является Adobe Flash, который примечания к выпуску состояние было настолько тщательно рассеяно, что «Нет доступных настроек для повторного включения поддержки Flash».

Это прекрасная идея, потому что помимо того, что Flash был кошмаром безопасности, это был еще один инструмент, который производители суперпеченья использовали для создания своих злобных трекеров. ®