The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Определены методы отслеживания перемещений, подлежащие блокировке в Firefox

29.01.2019 10:52

В Firefox 65, который официально будет выпущен сегодня вечером, появится новый интерфейс управления блокировками контента и будет активирован по умолчанию блокировщик отслеживания перемещений пользователя. В связи с этим разработчики Mozilla подготовили свод правил, описывающих неправомерные методы отслеживания перемещений, подлежащие блокировке по умолчанию.

Под отслеживанием перемещений понимается сбор данных об активности конкретного пользователя на чужих сайтах, а также сохранение, использование и обмен полученными данными при участии третьих лиц, не связанных с владельцами ресурсов на которых была собрана статистика. Блокировке подлежат:

  • Отслеживание перемещений через установку Cookie или запись идентификаторов в предоставляемые браузером постоянные хранилища, если данные операции выполнены в контексте текущего сайта кодом, загруженным с другого сайта (межсайтовое отслеживание), и выставляемый данным кодом идентификатор привязан к конкретному пользователю и используется для построения профиля его активности в сети, вопреки ожиданию пользователя (например, несмотря на установку заголовка "Do Not Track").
  • Отслеживание перемещений через упоминание идентификатора пользователя или других персональных данных в URL загружаемых ресурсов с целью построения профиля активности пользователя в сети. Передача сведений через параметры в URL считается допустимой в таких ситуациях, как получение общей статистики об эффективности рекламной кампании, если данные обезличены, не привязываются в конкретному пользователю и не позволяют судить об его активности на других сайтах.
  • Применение косвенных методов идентификации при помощи браузерных возможностей, изначально не рассчитанных на отслеживание и хранение или генерацию идентификаторов. Например, для скрытой идентификации может учитываться сочетание таких параметров, как разрешение экрана, список поддерживаемых MIME-типов, специфичные параметры в заголовках HTTP/2 и HTTPS, списки установленных плагинов и шрифтов, активность определённых Web API, специфичные для видеокарт особенности отрисовки при помощи WebGL и Canvas, манипуляции с CSS, анализ особенностей работы с мышью и клавиатурой.
  • Использование для хранения идентификаторов "Supercookies", областей, изначально не предназначенных для постоянного хранения информации и не очищаемых при удалении данных в штатных браузерных хранилищах. Например, вовлечение в передачу идентификатора системы автозаполнения полей, привязка идентификатора при помощи механизма HPKP (HTTP Public Key Pinning) или закрепление идентификатора через флаги HSTS (HTTPS Strict Transport Security).

Первым шагом к воплощению правил в жизнь станет блокировка в Firefox 65 установки Cookie и сохранения данных через DOM Storage API для доменов, уличённых в отслеживании перемещений несмотря на установку заголовка "Do Not Track" и занесённых в чёрный список disconnect.me.

В одном из будущих выпусков также ожидается ужесточение приватного режима просмотра, в котором по умолчанию будут отключаться все установленные дополнения (подобное поведение действует в режиме инкогнито в Chrome). При этом через интерфейс about:addons пользователь сможет по своему желанию выбрать дополнения, допустимые в приватном режиме. Изменение планируется применить в Firefox 66.



  1. Главная ссылка к новости (https://blog.mozilla.org/secur...)
  2. OpenNews: Mozilla экспериментирует с добавлением платного VPN в Firefox
  3. OpenNews: Mozilla включает телеметрию для вкладок в режиме приватного просмотра
  4. OpenNews: Инициатива по переводу приложений на декорирование окон на стороне клиента
  5. OpenNews: В Firefox реализовано отложенное выполнение стороннего кода отслеживания перемещений
  6. OpenNews: В Firefox решено по умолчанию блокировать отслеживание перемещений между сайтами
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/50046-mozilla
Ключевые слова: mozilla, firefox
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (54) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Нормальный (ok), 13:54, 29/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –3 +/
    Вечером? Ебилд уже утром завезли.
     
     
  • 2.2, trolleybus (?), 14:01, 29/01/2019 [^] [^^] [^^^] [ответить]  
    		• +/
    Утром - деньги^W ebuild, вечером - стулья^W firefox
     
  • 2.5, Аноним (5), 14:19, 29/01/2019 [^] [^^] [^^^] [ответить]  
    		• +6 +/
    Распространяемые по зеркалам сборки можно считать релизом только после официального объявления, которое состоится вечером. До анонса сборки могут откатить, что уже было несколько раз.
     
  • 2.17, ryoken (ok), 15:59, 29/01/2019 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Ну у меня на домашнем компе FF часа 3 собирается ... так что у кого-то может и вечером будт :D.
     
     
  • 3.49, Аноним (49), 03:21, 30/01/2019 [^] [^^] [^^^] [ответить]  
    		• +/
    Погодите, а где же классическое "Блин, только вчера <предыдущую версию> собрал"?
     

  • 1.3, Аноним (3), 14:04, 29/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –25 +/
    > по умолчанию будут отключаться все установленные дополнения

    Потихоньку догоняют Хром. Молодцы. Да и вообще радует, что Мозилла решила вслед за Хромом пойти в сторону безопасности пользователя.

     
     
  • 2.9, НяшМяш (ok), 14:46, 29/01/2019 [^] [^^] [^^^] [ответить]  
    		• +9 +/
    Сундар, залогинься.
     
  • 2.19, kai3341 (ok), 17:00, 29/01/2019 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    > Мозилла решила вслед за Хромом пойти в сторону безопасности пользователя

    Так как в новости безопасностью не пахнет, то речь, скорее всего, о privacy. Вот только Chromium на privacy как бы клал. Cookies устанавливаются там, где по докам они устанавливаться не должны.

     
     
  • 3.20, Аноним (3), 17:04, 29/01/2019 [^] [^^] [^^^] [ответить]  
    		• –4 +/
    > Cookies устанавливаются там, где по докам они устанавливаться не должны

    По всей видимости, ты оперируешь безнадежно устаревшей информацией.

     
  • 2.31, DmA (??), 19:56, 29/01/2019 [^] [^^] [^^^] [ответить]  
    		• +/
    Думаю Мозилла как и 15 лет назад решила перейти на сторону пользователя, после того как поняла, что потеряла рынок!
     

  • 1.4, Аноним (4), 14:10, 29/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Класс, пользователи firefox будут страдать теперь потому что третья рекапча будет считать их ботами.
     
     
  • 2.11, Аноним (11), 14:58, 29/01/2019 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Не будут. Рекапча в вайтлисте. https://bugzilla.mozilla.org/show_bug.cgi?id=1507013
    Если хочешь страдать, очищай urlclassifier.trackingAnnotationSkipURLs преф.
     
     
  • 3.22, Сергей (??), 18:06, 29/01/2019 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    А так как рекапча у нас принадлежит гуглу... Гугл будет узнавать даже тех юзеров, которые отказываются в нем логиниться!
     
     
  • 4.39, гугель (?), 21:43, 29/01/2019 [^] [^^] [^^^] [ответить]  
    		• +/
    то есть, что значит - "будет"?

     

  • 1.6, Аноним (6), 14:21, 29/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    ВЕБ 3.0 работать будет? А старый добрый http?
     
  • 1.7, Аноним (-), 14:34, 29/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +4 +/
    На что спорим что они никогда-преникогда не заблокируют google-analytics.com и другие зонды от гугля?
    А все эти громкие лозунги о защите пользователей и следующие за ними "правила интернетов" лишь для того чтобы душить конкурентов...
     
     
  • 2.13, Аноним (11), 15:03, 29/01/2019 [^] [^^] [^^^] [ответить]  
    		• +5 +/
    Гуглоаналитика в списке disconnect. Проверил, блочится даже с lvl 1 блоклистом.
     
     
  • 3.23, Сергей (??), 18:07, 29/01/2019 [^] [^^] [^^^] [ответить]  
    		• +/
    Да уже написали, что гугловская рекапча в белом списке.
     
     
  • 4.33, Аноним (-), 20:44, 29/01/2019 [^] [^^] [^^^] [ответить]  
    		• +/
    Или взять тот же youtube-nocookie.com для встраивания, на котором используются даже скрытые canvas cookies несмотря на заверяющее название...
     
  • 4.38, Аноним (11), 21:39, 29/01/2019 [^] [^^] [^^^] [ответить]  
    		• +/
    Я это и написал, прикинь. В той ветке речь о рекапче, в этой ою аналитике.
     

  • 1.8, Аноним (8), 14:39, 29/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    Скоро релиз Librefox v2.2 =)
     
     
  • 2.25, Аноним (25), 18:56, 29/01/2019 [^] [^^] [^^^] [ответить]  
    		• +/
    Что за зверь?
     
     
  • 3.30, Аноним (30), 19:50, 29/01/2019 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Вариант Firefox с изменениями для приватности и безопасности.
     

  • 1.10, Аноним (10), 14:55, 29/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    >и будет активирован по умолчанию блокировщик отслеживания перемещений >пользователя

    Ну чё поверим?

     
     
  • 2.27, Аноним (27), 19:30, 29/01/2019 [^] [^^] [^^^] [ответить]  
    		• +/
    цена вопроса?
     

  • 1.12, Ivan_83 (ok), 15:02, 29/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Ну нафик, как это отключить?
     
     
  • 2.14, Аноним (11), 15:16, 29/01/2019 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Нафик отключать? Сторонние куки и раньше можно и нужно было отключать. Просто переехала настройка.
    Блокировка трекеров не конфликтует с юблоком и вступает после работы расширений. Так что суррогаты юблока (например гуглоаналитики) будут продолжать работать.

    И ещё важный момент. С блокировкой трекеров связана настройка DNT-заголовка. Если блокировку включат по дефолту, то наличие DNT с юзерагентом файрфокса перестанет быть битами для фингерпринта, а наоборот, юзеры без DNT будут иметь лишние биты фингерпринта. Так что не глупите и не выделяйтесь из массы.

     
     
  • 3.26, Ivan_83 (ok), 19:17, 29/01/2019 [^] [^^] [^^^] [ответить]  
    		• +/
    У меня и без того гайки закручены, мне смысла в этом всём нет.
    Я боюсь что оно будет или тормозить или сливать куда я лазаю постоянно запрашивая в дисконектми куда я полез.
     
     
  • 4.36, Аноним (36), 21:11, 29/01/2019 [^] [^^] [^^^] [ответить]  
    		• +/
    Ну ты совсем маленький что ли. Прямо в настройках отключается. Или за ручку провести по меню?
     
  • 2.16, mumu (ok), 15:49, 29/01/2019 [^] [^^] [^^^] [ответить]  
    		• +/
    Не включать DNT. Просто он стал работать строже. Обычные пользователи не заметят
     

  • 1.15, Аноним (15), 15:24, 29/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    > В одном из будущих выпусков также ожидается ужесточение приватного режима просмотра, в котором по умолчанию будут отключаться все установленные дополнения

    F*ck, no!

     
     
  • 2.18, rshadow (ok), 16:23, 29/01/2019 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Похоже они там реально думают что приватный режим используют не только для просмотра порнушки на рабочем компе =) Наивные теоретики...
     
     
  • 3.21, Аноним2 (?), 17:49, 29/01/2019 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    у них есть статистика....
     
  • 3.24, Annoynymous (ok), 18:55, 29/01/2019 [^] [^^] [^^^] [ответить]  
    		• +/
    Блокировка рекламы в приватном режиме нужна и тем и другим.
     
  • 3.32, Аноним (36), 20:13, 29/01/2019 [^] [^^] [^^^] [ответить]  
    		• +/
    А то, мир полон странных людей. Мне например наоборот усложнения пустые, больше рычажков тыкать когда хочу с чужого компа сомнительное для их владельцев поглядеть :P
     
  • 3.44, abi (?), 23:33, 29/01/2019 [^] [^^] [^^^] [ответить]  
    		• +/
    Для порнушки я бы не расширения отключал, а принудительно uMatrix ставил, а то еще сунут чего.
     
     
  • 4.47, Аноним (11), 01:40, 30/01/2019 [^] [^^] [^^^] [ответить]  
    		• +/
    Не говорю, что uMatrix не стоит иметь, но совсем не в первую очередь для порносайтов.
    > According to a 2014 report, porn sites are safer than a lot of non-porn websites. According to Marcin Kleczynski, CEO of Malwarebytes, “[Porn sites] do take security seriously… their response times [to an attack] have been significantly better than other publishers.”

    https://thenextweb.com/hard-core-high-tech/2017/01/27/porn-sites-are-safer-tha

     

  • 1.34, Аноним (-), 20:57, 29/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Вера в Mozilla окончательно пропала  после того как они в одном из недавних релизов выпилили из настроек окно для просмотра и удаления cookies. Совсем.
    Это они так теперь реабилитироваться пытаются?
    А не слишком поздно пить Боржому с их нынешним процентом?
     
     
  • 2.35, Аноним (36), 21:10, 29/01/2019 [^] [^^] [^^^] [ответить]  
    		• +/
    Просмотра да, удаления нет. Не смотрел но осуждаю ©
     
     
  • 3.37, Аноним (-), 21:27, 29/01/2019 [^] [^^] [^^^] [ответить]  
    		• +/
    Ну расскажите же мне скорей как удалить куку если её не дают, ни посмотреть, ни посмотреть её имя, ни, уж тем более, выделить ?
    Какую версию libastral мне ставить
     
     
  • 4.40, Аноним (11), 21:47, 29/01/2019 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Нажимаешь F12, переходишь на вкладку Storage и смотришь/удаляешь, глупенький. Зачем тебе смотреть на странице настроек лисы? В девтулзах ещё и Local Storage, и IndexedDB смотришь/удаляешь, чего никогда не было в ограниченном старом просмотрщике. Nothing of value was lost.
    Для поиска среди всех кук и просмотра всех сайтов есть расширения. Они функциональнее старого ограниченного просмотрщика.
    https://addons.mozilla.org/en-US/firefox/addon/cookie-quick-manager/
    https://addons.mozilla.org/en-US/firefox/addon/a-cookie-manager/
     
     
  • 5.41, Аноним (-), 21:55, 29/01/2019 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Ну хоть исходники переписывать не отправили и на том спасибо!
    А Canvas'ы где хранятся?
     
     
  • 6.54, Аноним (54), 01:32, 31/01/2019 [^] [^^] [^^^] [ответить]  
    		• +/
    Канвасы не хранятся
     
  • 5.42, Аноним (-), 22:04, 29/01/2019 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Может вы ещё раз объясните как с помощью F12 удалить куку ДО того как подключиться к сайту? То есть собственно ДО того как он продолжит отслеживать...
    Много Аддонов хороших и разных! Только выиграли! Ура!
    Вот только сколько времени пройдёт когда авторы забросят обновлять под новые бзыки Мозиллы? А может они их продадут? Или их просто "угонят"?
     
     
  • 6.55, Аноним (55), 03:14, 03/02/2019 [^] [^^] [^^^] [ответить]  
    		• +/
    Каков реальный юзкейс для этого Я не могу придумать Зачем вам удалять конкретн... большой текст свёрнут, показать
     
     
  • 7.56, Аноним (56), 19:40, 03/02/2019 [^] [^^] [^^^] [ответить]  
    		• +/
    >Я не могу придумать.

    Ну значит Вы просто не особо развиты.
    Вот я, несмотря на то, что в детсаду из пластелина у нас был только чёрный пластелин, который кололся и в котором было волос чуть ли не больше чем пластелина, я могу представить.
    Вот, например, сайт, который мгновенно перекидывает на другой сайт, например, мобильный вариант этого же сайта, а делает он это потому что Firefox, кроме всего прочего, отправляет особую куку, которую раньше можно было бы просто удалить в три клика... При всём при этом при первом обращении Firefox кэширует этот редирект и больше не обращается к изначальному сайту.
    Кстати, как удалить куку через F12, если сайт сразу же перекидывает на другой сайт? А?

     
  • 4.45, Аноним (36), 23:54, 29/01/2019 [^] [^^] [^^^] [ответить]  
    		• +/
    Расскажу: там же где раньше детальная смотрелка кук была (тоже не фанат ее удаления, хоть и знаю про девтулзы) осталась менюшка удалить куки для домена.
    Поинт мой чаще в другом, люди пишут, спорят, обсуждают тут да сям тонны вещей которые даже не видели. Иначе бы не спрашивали такое.
     

  • 1.43, crocodile (?), 23:22, 29/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Сори за офтоп, но если сравнивать ungoogled-chromium и firefox с кучей плагинов(umatrix+decentralayes+ublock+еще некоторые) + user.js + доп. шаманство в about:config что будет лучше в плане безопасности/приватности?

    Есть ли в ungoogled-chromium аналог about:config?

     
     
  • 2.50, Аноним (50), 03:21, 30/01/2019 [^] [^^] [^^^] [ответить]  
    		• +/
    Насчёт хромиума не знаю, но фф и без плагинов(и с ними) шлёт кучу всего куда не надо. Хоть отключай, хоть нет. Ненадежный браузер в плане приватности. Хром ещё хуже, хромиум скорее всего также.

    Есть.

     
     
  • 3.53, crocodile (?), 21:52, 30/01/2019 [^] [^^] [^^^] [ответить]  
    		• +/
    если отключить телеметрию, левые плагины и автообновления то норм, ничего лишнего вроде бы не летает, если верить мониторингу трафика, приходится конечно подзаморочиться, но в лисе хотя бы есть возможность это сделать в отличие от хромого

    на выходных попробую собрать беззондовый хромиум и протестить в чекерах browserleaks и ряде других на всякие утечки, если там основные плагины от лисы будут работать и конфиг крутить можно, то должен быть норм браузер

     

  • 1.46, Аноним (46), 00:15, 30/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    >В одном из будущих выпусков также ожидается ужесточение приватного режима просмотра, в котором по умолчанию будут отключаться все установленные дополнения (подобное поведение действует в режиме инкогнито в Chrome).

    Yo dawg, so we se you like privacy, so we disable your privacy addons in private mode.

    позор в общем.

     
     
  • 2.48, Аноним (11), 01:44, 30/01/2019 [^] [^^] [^^^] [ответить]  
    		• +/
    В чём позор? Правильный подход. У меня есть важные расширения, которые нужны и в приватном режиме. Но есть и не особо важные расширения, которые там не особо нужны (Tree Style Tab, Textarea Cache). Теперь можно будет контролировать, какие там включать, а какие нет. Молодцы.
    Дают контроль юзерам, а тебе не нравится.
     
     
  • 3.52, мурзилла (?), 14:53, 30/01/2019 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    да-да, мы заботимся о наших пользователях-де6илах.

    кстати, их не огорчает что при первом запуске они почти наверняка огребут "private" режим без privacy extensions, и суматошно включат их обратно когда все о них уже слилось. Потому что они - ага, ага, вот это самое.

    Зато у них не будет в нем treestyletabs, победа!

     

  • 1.51, gogo (?), 14:25, 30/01/2019 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Теперь следить за юзерами можно будет только сайту disconnect.me
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру