Mozilla本周宣布,通过隔离网络连接和缓存,进一步改善了Firefox的用户隐私,从而从根本上打击了超级cookies。
超级cookie代替了普通的cookie,它收集有关用户上网习惯的信息,很难被发现和屏蔽,并且经常被滥用来跟踪用户上网。跟踪器可能会将超级脚本存储在闪存、etag和HSTS标志中,以使它们难以删除。
多年来,浏览器制造商一直在寻找改善用户隐私的方法,Mozilla现在表示,它已经找到了一种解决方案,以确保用户不会轻易被跨站点跟踪:隔离。
具体来说,Firefox85的网络架构已经更新,网络连接和缓存与访问的网站是隔离的。
追踪器可以滥用缓存来创建超级链接,还可以使用连接标识符来跟踪用户。但通过隔离缓存和与创建它们的网站的网络连接,我们使它们对跨站点跟踪毫无用处,”Mozilla说。
Mozilla认为,firefox85应该让基于缓存的超级脚本在很大程度上变得无用,因为它旨在防止追踪者在网站上使用这些超级脚本。
Firefox依靠缓存来减少开销,在网站之间共享一些内部资源,例如图像,并重用单个网络连接来加载来自同一方的资源,即使这些资源嵌入到多个网站上。
跟踪器滥用这些共享资源,通过在缓存图像中编码的标识符创建超级链接,然后在嵌入相同图像的所有网站上检索这些标识符。
“为了防止这种可能性,Firefox85对用户访问的每个网站使用不同的图像缓存。这意味着,当用户重新访问同一个站点时,我们仍然会加载缓存的图像,但我们不会跨站点共享这些缓存,”Mozilla说。
为了防止追踪器滥用缓存来创建超级脚本,firefox85通过顶级站点隔离了一系列缓存:Alt Svc缓存、DNS缓存、字体缓存、favicon缓存、HSTS缓存、HTTP认证缓存、HTTP缓存、图像缓存、OCSP缓存、样式表缓存和TLS证书缓存。
此外,浏览器旨在通过分区预连接、预取、池连接和推测连接以及TLS会话标识符来防止基于连接的跟踪。
Mozilla解释说:“这种分区适用于嵌入在网站上的所有第三方资源,无论Firefox是否认为该资源是从跟踪域加载的。”Mozilla补充说,这些更改对页面加载时间的影响非常小。
【参考来源:securityweek;图源自图虫创意】