iT邦幫忙

0

Day6 Cookie-瀏覽器的防禦手段

  • 分享至 

  • xImage
  •  

Ch02 Stateful Tracking/Day6 Cookie-瀏覽器的防禦手段

Firefox的防禦手段TCP

  • Total Cookie Protection(TCP)
    1.每個網站(eTLD+1)都有專屬自己的cookie jar(儲存cookie的空間)包含first-party和Third-party cookie
    2.不同first-party的cookie jar是隔開的
    3.每個first party的cookie jar只能從原始的first-party存取:確保third-party cookie 無法用於cross-site tracking,也不會完全阻隔使網站功能壞掉。
  • third-party cookie被弱化成same-site tracking
  • 把不同origin的cookie分開儲存的技術>cookie partitioning
  • Enhanced Cookie Clearing
    為TCP的延伸,透過把origin的cookie jar清空,便可徹底清除存活在cookie中的identifier

Safari的防禦機制ITP

  • Intelligent Tracking Prevention(ITP)
    1.隱私保護機制
    2.預設會阻擋third-party cookie
    3.JavaScript建立的cookie:first-party cookie的部分7天內無互 動則清空
    Set-Cookie header建立的cookie:考量到tracker通常只能從客 戶端用JavaScript插入cookie,所以伺服器端的cookie不受影響

Storage Access API
只允許存取依照eTLD_1區隔獨立的cookie jar將會破壞third-party cookie的正常應用
解決方法>Storage Access API:允許第三方iframe例外存取不分區cookie jar。Third-party請求讀取/檢查是否有權限讀取自己的cookie document.requestStorageAccess()

Chrome的防禦機制CHIPS

  • 類似Firefox的TCP,稱之CHIP
  • CHIC提供不同eTLD+1獨立的cookie jar,開發者將cookie儲存分區
  • partitioned cookie:被放到獨立cookie jar的cookie
  • 比較Firefox TCP和CHIPS:
    Firefox TCP>直接將cookie放入獨立的cookie jar
    CHIPS>需加上屬性Partitioned明示,需有SecurePath=/

資料來源、選用書籍:<Web Tracking的資安攻擊與防禦策略>鐵人賽專用書


圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言