Mozilla 修补 Firefox 漏洞,阻止跨站点跟踪 Cookie
Mozilla说,Firefox 86中的“Total Cookie Protection”功能可防止侵入性的跨站点跟踪Cookie。
Mozilla基金会已经发布了最新版本的Firefox浏览器,该浏览器具有新的隐私保护功能,可以挤压跨站点跟踪Cookie,并且还提供了大量安全漏洞修复程序。
周二发布的Firefox 86包括一项名为Total Cookie Protection的隐私保护功能。这项新功能隔离了每个网站分配的每个Cookie,从而防止网站以侵入性,跨站点的方式跟踪互联网用户。
周二,Tim Huang、Johann Hofmann和Arthur Edelstein表示:“Total Cookie Protection将Cookie限制在创建它们的网站上,从而防止跟踪公司使用这些Cookie从一个网站跟踪你在另一个网站的浏览情况。”
Cookies:破坏隐私问题
HTTP cookie是由网络浏览器在用户浏览各种网站时存储的小型数据文件。它们用作改善Web浏览体验并启用特定于用户的广告的唯一标识符,这是互联网经济的必要组成部分。
但是,跟踪cookie也会带来“严重的隐私漏洞”,Mozilla表示,因为第三方公司(例如数据经纪人,联盟网络和广告网络)可以使用它们来跟踪用户的浏览器活动,即使他们访问其他网站也是如此。然后,广告商可以使用跟踪Cookie来更好地了解用户访问的网站(无论是社交媒体网站还是其他网站),并最终拼凑出用户身份的数字图片。这些详细信息也可以转移到第三方并存储在远程服务器上。
Huang,Hofman和Edelstein说:“这种基于cookie的跟踪长期以来一直是收集用户情报的最普遍的方法。” “这是大规模商业跟踪的关键组成部分,它使广告公司可以悄悄地为您建立详细的个人资料。”
Firefox Total Cookie Protection
Total Cookie Protection旨在通过为用户访问的每个网站创建Mozilla所谓的单独的“cookie”来解决其中的一些隐私问题。
每次用户访问网站时,该网站(或网站中嵌入的第三方内容)都会将cookie存放在用户的浏览器中。然后,该Cookie被限制在分配给该网站的“ Cookie Jar”中,但不允许与任何其他网站共享。这将防止各种第三方公司进行侵入性的跨站点跟踪。
Mozilla表示,当出于非跟踪目的而需要跨站点Cookie(包括流行的第三方登录提供商使用的跨站点Cookie)时,Total Cookie Protection确实对跨站点Cookie做出了“有限例外”。
Huang,Hofman和Edelstein说:“只有当Total Cookie Protection检测到您打算使用提供商时,它才会授予该提供商许可使用专门用于您当前访问的站点的跨站点cookie。” “此类暂时例外可在不影响您的浏览体验的情况下提供强大的隐私保护。”
浏览器采取跟踪Cookie隐私权措施
自2018年以来,Mozilla就一直在反对追踪cookie的战争之路,当时它宣布了一项运动,默认在Firefox中阻止追踪cookie并在其浏览器中实施各种其他隐私措施。出于立场考虑,Firefox在2018年10月推出了(默认情况下)增强的跟踪保护功能,该功能使用户可以选择阻止cookie和第三方跟踪器的存储访问。
其他浏览器已经提出了自己的各种策略来应对由跟踪cookie引入的隐私漏洞。例如,谷歌在2020年设定了一个激进的两年期限,要求放弃其Chrome网络浏览器中对第三方跟踪Cookie的支持。苹果在三月份发布了Safari浏览器的更新,默认情况下将阻止第三方cookie。
Mozilla Firefox 86安全修复
Firefox 86还提供了三个针对高严重性漏洞的安全修复程序。这些漏洞中的两个存在于内容安全策略(CSP)中,它是一种用于浏览器的安全机制,可防止跨站点脚本,点击劫持和其他代码注入攻击。第一个漏洞(CVE-2021-23969)可能允许远程攻击者获取敏感数据。在为CSP创建违规报告的过程中,Firefox对该过程的实现错误地将源文件设置为重定向的目标。
漏洞搜索引擎Vulmon的分析表明:“通过说服受害者访问特制网站,远程攻击者可以利用此漏洞来获取重定向的目标。”
Mozilla通过使源文件成为重定向目标的源而不是重定向目标来解决了该漏洞。
另一个漏洞(CVE-2021-23968)源自CSP违规报告流程。尽管没有找到有关此漏洞的详细信息,但Mozilla表示该漏洞可用于泄漏统一资源标识符(URI)中包含的敏感信息。
“如果内容安全策略阻止了框架导航,则在违规报告中报告了框架中重定向的完整目标;与原始框架URI相对”。
