Определены методы отслеживания перемещений, подлежащие блокировке в Firefox

В Firefox 65, который официально будет выпущен сегодня вечером, появится новый интерфейс управления блокировками контента и будет активирован по умолчанию блокировщик отслеживания перемещений пользователя. В связи с этим разработчики Mozilla подготовили свод правил, описывающих неправомерные методы отслеживания перемещений, подлежащие блокировке по умолчанию.

Под отслеживанием перемещений понимается сбор данных об активности конкретного пользователя на чужих сайтах, а также сохранение, использование и обмен полученными данными при участии третьих лиц, не связанных с владельцами ресурсов на которых была собрана статистика. Блокировке подлежат:

  • Отслеживание перемещений через установку Cookie или запись идентификаторов в предоставляемые браузером постоянные хранилища, если данные операции выполнены в контексте текущего сайта кодом, загруженным с другого сайта (межсайтовое отслеживание), и выставляемый данным кодом идентификатор привязан к конкретному пользователю и используется для построения профиля его активности в сети, вопреки ожиданию пользователя (например, несмотря на установку заголовка "Do Not Track").
  • Отслеживание перемещений через упоминание идентификатора пользователя или других персональных данных в URL загружаемых ресурсов с целью построения профиля активности пользователя в сети. Передача сведений через параметры в URL считается допустимой в таких ситуациях, как получение общей статистики об эффективности рекламной кампании, если данные обезличены, не привязываются в конкретному пользователю и не позволяют судить об его активности на других сайтах.
  • Применение косвенных методов идентификации при помощи браузерных возможностей, изначально не рассчитанных на отслеживание и хранение или генерацию идентификаторов. Например, для скрытой идентификации может учитываться сочетание таких параметров, как разрешение экрана, список поддерживаемых MIME-типов, специфичные параметры в заголовках HTTP/2 и HTTPS, списки установленных плагинов и шрифтов, активность определённых Web API, специфичные для видеокарт особенности отрисовки при помощи WebGL и Canvas, манипуляции с CSS, анализ особенностей работы с мышью и клавиатурой.
  • Использование для хранения идентификаторов "Supercookies", областей, изначально не предназначенных для постоянного хранения информации и не очищаемых при удалении данных в штатных браузерных хранилищах. Например, вовлечение в передачу идентификатора системы автозаполнения полей, привязка идентификатора при помощи механизма HPKP (HTTP Public Key Pinning) или закрепление идентификатора через флаги HSTS (HTTPS Strict Transport Security).

Первым шагом к воплощению правил в жизнь станет блокировка в Firefox 65 установки Cookie и сохранения данных через DOM Storage API для доменов, уличённых в отслеживании перемещений несмотря на установку заголовка "Do Not Track" и занесённых в чёрный список disconnect.me.

В одном из будущих выпусков также ожидается ужесточение приватного режима просмотра, в котором по умолчанию будут отключаться все установленные дополнения (подобное поведение действует в режиме инкогнито в Chrome). При этом через интерфейс about:addons пользователь сможет по своему желанию выбрать дополнения, допустимые в приватном режиме. Изменение планируется применить в Firefox 66.

Источник: OpenNET