Бюджет конфиденциальности Google не складывается, утверждает Mozilla °

    0
    66


    Бюджет конфиденциальности Google, план по сокращению объема информации, доступной в Chrome в качестве защиты от отпечатков пальцев браузера, рискует плохо работать, взламывать веб-сайты и создавать новый механизм отслеживания.

    Этим обеспокоен технический директор Mozilla Эрик Рескорла, который недавно опубликовал свой анализ. [PDF] бюджета конфиденциальности Google. В то время как недавнее тестирование Mozilla спонсируемых предложений во время поисковых запросов в Firefox усложнило его позицию защитника конфиденциальности, конкурирующий производитель браузеров Brave также поднял некоторые из этих проблем в ноябре 2019 года и обновил свои возражения на прошлой неделе.

    Дактилоскопирование браузера – это метод онлайн-отслеживания, который включает сбор различных точек данных, которые интернет-пользователи предоставляют веб-серверам через свои браузеры и сетевые соединения. Как показано на AmIUnique.org, эти точки данных – атрибуты HTTP-заголовка, атрибуты программного и аппаратного обеспечения, доступные через JavaScript, и другие детали, такие как установленные плагины, – позволяют создавать уникальные идентификаторы, которые можно использовать для отслеживания людей на разных веб-сайтах.

    Google в рамках более широкой системы безопасности и капитального ремонта платформы объявил о своей инициативе Privacy Sandbox в 2019 году, которая включает в себя предлагаемую защиту от отпечатков пальцев браузера под названием Privacy Budget.

    Бюджет конфиденциальности в сочетании со смежными улучшениями конфиденциальности, такими как Gnatcatcher (защита IP-адресов), направлен на повышение конфиденциальности веб-пользователей за счет уменьшения площади отпечатков пальцев браузера – количества доступных точек данных. Чем меньше деталей для построения идентификатора, тем выше вероятность, что идентификатор не будет уникальным.

    «По сути, мы хотим ограничить объем информации об отдельных пользователях, предоставляемой сайтам, чтобы в целом этого было недостаточно для идентификации и отслеживания пользователей в Интернете, за исключением, возможно, части больших разнородных групп», – написал технический менеджер Google Брэд. Лесси в репозитории проекта на GitHub.

    Интернет-маркетологи этого очень не хотят и сделали Google Privacy Sandbox проблемой для конкуренции – они беспокоятся, что если шоколадная фабрика ограничит доступность веб-данных, то Google получит информационное преимущество благодаря своей способности получать данные через свою рекламу. экосистема и аккаунты Google.

    И поэтому им удалось добиться от Управления по конкуренции и рынкам Великобритании ряда обязательств от Google, что его изменения не нанесут вреда конкуренции.

    Кхм

    Но даже если предположить, что Google каким-то образом удастся согласовать свою политику конфиденциальности с сопротивлением со стороны набора рекламных технологий, все это может быть напрасным. По словам Рескола из Mozilla, есть несколько серьезных проблем, которые угрожают бюджету конфиденциальности Google.

    Во-первых, вычисления трудны и могут отличаться, утверждает он, потому что не все измеренные значения имеют одинаковое информационное содержание. Например, знание того, что кто-то использует Chrome, не имеет большого значения, потому что так много людей, но знание того, что кто-то использует Tor (или Firefox), помещает их в гораздо меньшую группу людей.

    Связанная проблема заключается в том, что некоторые значения коррелированы, например высота и ширина экрана, поэтому сайту нужно знать только одно, чтобы сделать вывод о втором. И в настоящее время это не учитывается при расчете бюджета конфиденциальности сайта.

    Кроме того, возникает проблема с многократным считыванием одной и той же поверхности для снятия отпечатков пальцев. Например, замечает Рескола, предложение Google не объясняет, как работать с API, таким как window.screen, который будет вызываться при каждой загрузке страницы для изменения размера отображаемого содержимого. Если каждая загрузка засчитывается в бюджет конфиденциальности, то предел будет быстро достигнут. И если учитывается только начальная нагрузка, все еще остаются проблемы со значениями, которые могут быть не полностью статичными.

    Другими словами, данная сумма бюджета конфиденциальности может означать существенно различную поверхность для снятия отпечатков пальцев на разных сайтах и ​​у разных пользователей.

    Затем возникает вопрос, что произойдет, когда веб-сайт превысит свой бюджет конфиденциальности.

    «Правоприменение, вероятно, приведет к неожиданному и разрушительному разрушению сайта, потому что сайты превысят бюджет, а затем не смогут выполнять вызовы API, которые необходимы для работы сайта», – сказал Рескорла в своем блоге. «Это будет усугубляться, потому что порядок, в котором используется бюджет, недетерминирован и зависит от таких факторов, как производительность сети различных сайтов, поэтому у некоторых пользователей возникнут поломки, а у других – нет».

    Наконец, Рескорла ссылается на возможность того, что бюджет конфиденциальности Google сам может стать поверхностью для снятия отпечатков пальцев, что вызывает озабоченность исследователей Brave, потому что ограничения, наложенные на файлы cookie, недавно сделали снятие отпечатков пальцев более привлекательным для тех, кто намерен уклоняться от защиты конфиденциальности.

    «Идея бюджета конфиденциальности предназначена для предотвращения такого рода межсайтового отслеживания, но поскольку сам бюджет – это состояние, которым можно как манипулировать, так и читать, но не разделять, его можно использовать для межсайтового отслеживания», – сказал Рескорла в своем анализ.

    Он утверждает, что вместо того, чтобы пытаться содержать данные для снятия отпечатков пальцев, Google было бы лучше просто ограничить поверхность для снятия отпечатков пальцев при разработке новых веб-API, постепенно удаляя существующие поверхности для снятия отпечатков пальцев и отслеживая оскорбительные шаблоны.

    В заявлении, отправленном по электронной почте , представитель Google сказал, что Бюджет конфиденциальности все еще разрабатывается, и следует ожидать улучшений, основанных на такой обратной связи.

    «Наша конечная цель – создать решение, которое эффективно ограничивает снятие отпечатков пальцев без ущерба для ключевых функций веб-сайта или внедрения новых форм отслеживания», – сказал представитель Google. «Мы ценим участие Mozilla на протяжении всего этого процесса, поскольку все мы работаем над созданием более приватной сети без сторонних файлов cookie и других форм инвазивного отслеживания. Это наш совместный процесс, работающий так, как задумано». ®

    Предыдущая статьяВ Monster Hunter Rise на ПК не будет кросс-платформенного сохранения или кросс-игры с коммутатором
    Следующая статьяГде найти боцмана Амвросия в Новом Свете
    Виктор Попанов
    Эксперт тестовой лаборатории. Первый джойстик держал в руках в возрасте 3 лет. Первый компьютер, на котором „работал” был с процессором Intel i386DX-266. Тестирует оборудование для издания ITBusiness. Будь то анализ новейших гаджетов или устранение сложных неполадок, этот автор всегда готов к выполнению поставленной задачи. Его страсть к технологиям и приверженность качеству делают его бесценным помощником в любой команде.