Браузер Safari отныне блокирует все сторонние cookie-файлы по умолчанию



    Компания Apple выпустила обновление системы конфиденциальности Intelligent Tracking Prevention (ITP) для браузера Safari 13.1. Отныне браузер по умолчанию блокирует все сторонние файлы cookie. Это означает, что рекламодатели и аналитические компании больше не смогут использовать cookie-файлы для отслеживания активности пользователей в интернете.

    Как пишет портал ZDnet, в Apple указывают, что браузер уже блокировал большинство сторонних файлов cookie, которые используются для отслеживания.

    «Изменения могут показаться масштабней, чем на самом деле. С момента разработки ITP мы добавили в неё так много ограничений, что большинство сторонних файлов cookie в Safari уже заблокированы», — приводит издание комментарий Джона Уиландера, инженера-программиста Apple.

    Тем не менее, в Apple признают, что полная блокировка файлов cookie в Safari — важный шаг в правильном направлении.

    «Прежде всего, эти изменения прокладывают путь другим компаниям. Мы сообщим о нашем опыте полной блокировки сторонних файлов cookie специалистам по конфиденциальности в Консорциум Всемирной паутины (W3C), чтобы помочь другим браузерам совершить этот шаг», — указал Джон Уиландер в твиттере, подчеркнув также, что блокировка сторонних cookie-файлов сделает невозможным использование фингерпринтинга. Также нововведение предотвращает атаки, известные как «межсайтовая подделка запроса» (Сross Site Request Forgery, CSRF), а также исключает использование вспомогательных доменов для идентификации пользователей.

    Помимо этого, новая версия Safari хранит скрипты сайта не более одной недели и добавляет счётчики для тех сайтов, которые пытаются избежать блокировки отслеживания при помощи редиректов.

    Safari от Apple стал вторым браузером после Tor, в котором по умолчанию блокируются все сторонние файлы cookie. Ранее компания Google объявляла о подобных планах в своём блоге. Как указывали в Google, cookies будут блокироваться по умолчанию в браузере Chrome и в проекте с открытым исходным кодом Chromium, на котором построено несколько других браузеров. Однако, хотя в версии Chrome v80, которая вышла в начале февраля, есть поддержка блокировки сторонних файлов cookie, эта функция «не будет полностью развернута» в Chrome до 2022 года. Браузер Microsoft Edge, разработанный на основе Chromium, также начал постепенно блокировать сторонние файлы cookie, но и в нём эта функция не включена по умолчанию.

    Safari — веб-браузер, разработанный корпорацией Apple и входящий в состав macOS и iOS. По состоянию на февраль 2019 он занимает второе место по числу пользователей в мире (15,23%). В России браузер занимает третью позицию с 9,01% пользователей.
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 16

      +1

      Почему ни слова о Firefox? В нем уже почти год как включили блокировку трекеров по списку + можно в настройках полную блокировку включить

        0

        Я так понимаю это не одно и тоже, ведь если настройку включает пользователь это может быть использовано для построения его отпечатка?


        Чтобы это было эффективным нужно чтобы было включено у всех по умолчанию, или я не прав?

          0

          Да там целая куча всего, что можно использовать для отпечатка. Тут в огнелисе есть настройка privacy.resistFingerprinting(true). + еще есть рандомизаторы отпечатков, только они помогают избежать отслеживания, так как в каждый заход отпечаток будет другим

          0

          Это другое. Firefox блокирует трекеры по чёрному списку, а Safari блокирует механизмы межсайтовой идентификации пользователя.

            0

            Нет, можно в настройках включить блокировку всех кук. А по умолчанию только по списку. Именно в Firefox это впервые внедрили, а в статье об этом ни слова, как будто бы кроме сафари и хрома больше браузеров нету

          +3
          подчеркнув также, что блокировка сторонних cookie-файлов сделает невозможным использование фингерпринтинга.

          Фингерпринтить можно тысячью разных способов, начиная от рендеринга шрифтов на невидимой канве и кончая связкой ось/юа/экран/шрифты, вот это всё.
          Куки это просто самый простой метод. Заявлять, что они полностью исключили фингерпринтинг — это враньё чистой воды.

            +1
            В оригинале 2 фразы
            ...Other user tracking solutions, such as user/browser fingerprinting, will most likely continue to work…
            ...Third, full third-party cookie blocking fully disables login fingerprinting, a problem on the web described already 12 years ago...

            Речь не о статистическом fingerprinting, а о «login fingerprinting» типа что ФБ делает.
            Кстати, у кого новый Сафари, можете глянуть какой из 4 пассивных трекеров у вас работает?
              0
              В инкогнито — только cookie (хотя в одном из 10 случаев — сработал Etag).
            +1
            Скажите пожалуйста. Как теперь делать формы в iframe. Сессию через url что-ли устанавливать, если через куку терерь не работает?
              +1

              Разве в фреймах не ещё раньше запретили? У нас на проекте была проблема с этим, выкручивались через get-параметры

                0
                SameSite=None;Secure
                0
                Может они их просто сломали? А то был у них «забавный» глюк, когда в AJAX-запросах собственные куки сайта с PHPSESSID передавались через раз.
                  0
                  а теперь залогиньтесь на yadi.sk без сторонних куков
                    0
                    SSO обычно работает на редириктах, просто перекидывает юзера на портал, тот перекидывает обратно с токеном и по токену проводится авторизация.
                    0
                    В блокировщике AdGuard пробовал такую функцию несколько лет назад. Начинаются проблемы с сайтами крупных компаний, у которых один аккаунт на несколько сервисов — гугл, яндекс и т.п.
                      +1
                      А что такое сторонние куки, идеалогически я могу представить что это, а течнически?
                      Ну вот добавил я на ствою страницу код условного FB. Он выпонялется в пронстранстве страницы и загружается либо с моего же домена либо прям инлайн в коде страницы. Он имеет доступ к кукам моего домена, может записывать, читать. И в тоже время может общаться со своим сервером. Как такое можно заблокировать?

                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                      Самое читаемое