Ch02 Stateful Tracking/Day6 Cookie-瀏覽器的防禦手段

Firefox的防禦手段TCP

• Total Cookie Protection(TCP)
  1.每個網站(eTLD+1)都有專屬自己的cookie jar(儲存cookie的空間)包含first-party和Third-party cookie
  2.不同first-party的cookie jar是隔開的
  3.每個first party的cookie jar只能從原始的first-party存取:確保third-party cookie 無法用於cross-site tracking，也不會完全阻隔使網站功能壞掉。
• third-party cookie被弱化成same-site tracking
• 把不同origin的cookie分開儲存的技術>cookie partitioning
• Enhanced Cookie Clearing
  為TCP的延伸，透過把origin的cookie jar清空，便可徹底清除存活在cookie中的identifier

Safari的防禦機制ITP

• Intelligent Tracking Prevention(ITP)
  1.隱私保護機制
  2.預設會阻擋third-party cookie
  3.JavaScript建立的cookie:first-party cookie的部分7天內無互 動則清空
  Set-Cookie header建立的cookie:考量到tracker通常只能從客 戶端用JavaScript插入cookie，所以伺服器端的cookie不受影響

Storage Access API
只允許存取依照eTLD_1區隔獨立的cookie jar將會破壞third-party cookie的正常應用
解決方法>Storage Access API:允許第三方iframe例外存取不分區cookie jar。Third-party請求讀取/檢查是否有權限讀取自己的cookie document.requestStorageAccess()

Chrome的防禦機制CHIPS

• 類似Firefox的TCP，稱之CHIP
• CHIC提供不同eTLD+1獨立的cookie jar，開發者將cookie儲存分區
• partitioned cookie:被放到獨立cookie jar的cookie
• 比較Firefox TCP和CHIPS:
  Firefox TCP>直接將cookie放入獨立的cookie jar
  CHIPS>需加上屬性Partitioned明示，需有Secure和Path=/

資料來源、選用書籍:<Web Tracking的資安攻擊與防禦策略>鐵人賽專用書