Ch02 Stateful Tracking/Day6 Cookie-浏览器的防御手段
Firefox的防御手段TCP
- Total Cookie Protection(TCP)1.每个网站(eTLD+1)都有专属自己的cookie jar(储存cookie的空间)包含first-party和Third-party cookie2.不同first-party的cookie jar是隔开的3.每个first party的cookie jar只能从原始的first-party存取:确保third-party cookie 无法用于cross-site tracking,也不会完全阻隔使网站功能坏掉。
- third-party cookie被弱化成same-site tracking
- 把不同origin的cookie分开储存的技术>cookie partitioning
- Enhanced Cookie Clearing为TCP的延伸,透过把origin的cookie jar清空,便可彻底清除存活在cookie中的identifier
Safari的防御机制ITP
- Intelligent Tracking Prevention(ITP)1.隐私保护机制2.预设会阻挡third-party cookie3.JavaScript建立的cookie:first-party cookie的部分7天内无互 动则清空Set-Cookie header建立的cookie:考量到tracker通常只能从客 户端用JavaScript插入cookie,所以伺服器端的cookie不受影响
Storage Access API只允许存取依照eTLD_1区隔独立的cookie jar将会破坏third-party cookie的正常应用解决方法>Storage Access API:允许第三方iframe例外存取不分区cookie jar。Third-party请求读取/检查是否有权限读取自己的cookie document.requestStorageAccess()
Chrome的防御机制CHIPS
- 类似Firefox的TCP,称之CHIP
- CHIC提供不同eTLD+1独立的cookie jar,开发者将cookie储存分区
- partitioned cookie:被放到独立cookie jar的cookie
- 比较Firefox TCP和CHIPS:Firefox TCP>直接将cookie放入独立的cookie jarCHIPS>需加上属性Partitioned明示,需有Secure和Path=/
资料来源、选用书籍:<Web Tracking的资安攻击与防御策略>铁人赛专用书