iT邦幫忙

0

Day5 Cookie-Third-party Cookie 如何做到Cross-site tracking

  • 分享至 

  • xImage
  •  

Ch02 Stateful Tracking/Day5 Cookie-Third-party Cookie 如何做到Cross-site tracking

  • 瀏覽器自動在HTTP request夾帶cookie的性質
  • Third-party Cookie 如何做到Cross-site tracking
    在blog.example和news.example的網頁管理員都與追蹤者tracker.example合作的前提下,並把tracker放在網頁之中:
    因tracker的資源包含在blor.example內,瀏覽器需發請求給tracker.example,tracker生成新的identifier,夾帶在response header之中 Set-Cookie: tracker_id=<identifier>
    瀏覽器將資料儲存到reacker.example,使用者下次造訪時tracker.example會收到請求,並夾帶*tracker_id=<identifier>,tracker便能真知道使用者再次造訪網頁。
    使用者存取news.example,其內包含tracker.example的資源,因此要向tracker.example發出請求,夾帶*tracker_id=<identifier>,tracker.example便知道擁有這個identifier的使用者除了造訪blog.example以外,也造訪news.example,達成cross-tracking
  • Cookie特性帶來的問題:
    1.在有些不需要cookie的請求中,也會插入那些用不到的cookie
    2.CSRF(cross site require forgery)的防禦:誘導管理員訪問網頁,竊取管理員登入資訊的cookie
  • SameSite屬性
    1.可以指定cookie只有在甚麼情境下可以被夾帶
    2.三個屬性值
    SameSite-Strict:只有在first-party的情境下能傳送cookie
    SameSite=Lax:最大宗。從其他origin轉移進來,會夾帶cookie
    SameSite=None:傳統方式,直接不設定

資料來源、選用書籍:<Web Tracking的資安攻擊與防禦策略>鐵人賽專用書


圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言