Private Browsing 2.0 của WebKit

xguru · 2024-07-17T11:07:02+09:00

Khi phát minh ra Private Browsing (chế độ duyệt web riêng tư) vào năm 2005, mục tiêu là bảo vệ hoạt động duyệt web của người dùng khỏi những người cùng chia sẻ một thiết bị Họ đã tạo ra một chế độ không để lại dấu vết cục bộ vĩnh viễn của hoạt động duyệt web, và cuối cùng mọi trình duyệt khác cũng cung cấp cùng tính năng đó. Điều này cũng được gọi là "ephemeral browsing" Từ Safari 1.0 năm 2003, thông qua chính sách cookie, Safari đã áp dụng ngăn chặn theo dõi chéo trang cho toàn bộ hoạt động duyệt web của Safari, và trong 20 năm qua đã dần tăng cường các biện pháp bảo vệ quyền riêng tư Các trình duyệt nổi tiếng khác không quá nhanh trong việc theo kịp vai trò dẫn dắt của chúng tôi về ngăn chặn theo dõi, nhưng vẫn có tiến triển Apple tin rằng người dùng không nên bị theo dõi trên web mà không biết hoặc không đồng ý Việc vào Private Browsing là một tín hiệu mạnh cho thấy người dùng muốn có mức bảo vệ tốt nhất trước các xâm phạm quyền riêng tư nhưng vẫn muốn tận hưởng và sử dụng web Việc giữ chế độ bảo vệ quyền riêng tư chỉ đơn thuần là tạm thời theo định nghĩa năm 2005, như Incognito Mode của Chrome, là không còn đủ nữa Người dùng kỳ vọng nhiều hơn và xứng đáng nhận được nhiều hơn Trong Safari 17.0, Apple đã bổ sung một cấp độ hoàn toàn mới về bảo vệ quyền riêng tư cho Private Browsing, và tiếp tục tăng cường trong 17.2 và 17.5 Khi người dùng bật lên, toàn bộ cơ chế bảo vệ mới cũng có thể dùng trong duyệt web Safari thông thường Công việc này đã cải thiện đáng kể quyền riêng tư trên web và Apple hy vọng sẽ thiết lập một tiêu chuẩn mới của ngành về việc Private Browsing nên như thế nào Tóm tắt tính năng Enhanced Private Browsing của Safari Các biện pháp bảo vệ và phòng vệ có trong Safari 17.0 Ngăn theo dõi liên kết Chặn tải mạng từ các trình theo dõi đã biết, bao gồm cả những trình theo dõi được ngụy trang bằng CNAME Chống fingerprinting nâng cao Các tiện ích mở rộng có quyền truy cập trang web hoặc lịch sử duyệt web sẽ bị tắt theo mặc định Các biện pháp bảo vệ và phòng vệ được bổ sung thêm cho mọi chế độ duyệt web Giới hạn thời gian sống của cookie được thiết lập từ các địa chỉ IP bên thứ ba bị che giấu SessionStorage được phân vùng blob URL được phân vùng (từ Safari 17.2) Đồng thời, họ cũng mở rộng Web AdAttributionKit (trước đây là Private Click Measurement) để thay thế các tham số theo dõi trong URL Điều này giúp nhà phát triển vẫn có thể hiểu hiệu quả của các chiến dịch marketing ngay cả trong Private Browsing Rủi ro làm hỏng khả năng tương thích của website và cách giảm thiểu Có rất nhiều ý tưởng để bảo vệ quyền riêng tư trên web, nhưng đáng tiếc là nhiều ý tưởng trong số đó có thể làm tổn hại trải nghiệm người dùng Cũng giống như các biện pháp bảo vệ an ninh trong đời thực, cần phải giữ được sự cân bằng Private Browsing mới đi đến ranh giới đó trong khi cố gắng không bao giờ làm website ngừng hoạt động Tuy vậy, vẫn có rủi ro là một số phần của vài trang web có thể không hoạt động Để xử lý điều này, Apple cung cấp cho người dùng cách giảm mức bảo vệ quyền riêng tư theo từng trang Những thay đổi đối với các biện pháp bảo vệ quyền riêng tư này chỉ được ghi nhớ trong lúc duyệt bên trong trang đó Tùy chọn này là giải pháp cuối cùng khi không thể sử dụng một trang web do các biện pháp bảo vệ quyền riêng tư Trên iOS, iPadOS, visionOS, vào Cài đặt > Ứng dụng > Safari > Nâng cao > Bảo vệ chống theo dõi và fingerprinting nâng cao rồi bật "Mọi hoạt động duyệt web" Trên macOS, vào Safari > Cài đặt > Nâng cao rồi bật "Use advanced tracking and fingerprinting protection in all browsing" Ngăn theo dõi liên kết Safari loại bỏ query parameter và fragment khỏi URL để khiến việc theo dõi hoạt động người dùng giữa các trang khó hơn Các query parameter dùng cho theo dõi rộng ở cấp độ người dùng/lượt nhấp sẽ bị loại bỏ trước khi truyền qua mạng Các parameter dùng cho attribution của chiến dịch vẫn được cho phép đi qua Các script bên thứ ba muốn truy cập toàn bộ URL ở trang đích sẽ chỉ thấy URL không có query parameter hoặc fragment Web AdAttributionKit trong Private Browsing Web AdAttributionKit là cách để nhà quảng cáo, website và ứng dụng triển khai attribution quảng cáo và đo lường click theo cách bảo vệ quyền riêng tư Trong Private Browsing, nó hoạt động với một số hạn chế nhất định Phạm vi được giới hạn trong từng tab Private Browsing riêng lẻ, và khi nhấp liên kết thì chuyển attribution sang tab mới Khi đóng tab, các yêu cầu attribution đang chờ sẽ bị hủy Chặn tải mạng của các trình theo dõi đã biết Safari dùng trình chặn nội dung được tự động kích hoạt để chặn tải mạng tới các trình theo dõi đã biết Cơ chế này được biên dịch bằng dữ liệu của DuckDuckGo và các quy tắc lọc EasyPrivacy của EasyList Hầu hết quảng cáo vẫn được chủ đích cho phép tải Private Browsing cũng chặn các yêu cầu mạng bị che giấu tới các miền theo dõi được ánh xạ thông qua che giấu CNAME hoặc che giấu địa chỉ IP bên thứ ba Cải thiện quyền riêng tư mạng Private Browsing bổ sung các biện pháp bảo vệ sau cho mọi người dùng: Bảo vệ truy vấn DNS bằng DNS được mã hóa Proxy các tài nguyên HTTP không mã hóa để bảo vệ khỏi các tác nhân tấn công trên mạng cục bộ Người đăng ký iCloud+ có thể bật iCloud Private Relay để dùng thêm các tính năng sau: Dùng một phiên riêng cho từng tab Private Browsing Cung cấp quyền riêng tư vị trí theo mặc định Hiển thị cảnh báo trước khi lộ địa chỉ IP Tiện ích mở rộng trong Private Browsing Các tiện ích mở rộng có thể truy cập dữ liệu website và lịch sử duyệt web sẽ bị tắt theo mặc định Người dùng vẫn có thể chọn cho phép tiện ích mở rộng chạy trong Private Browsing Các tiện ích mở rộng không truy cập nội dung trang web hoặc lịch sử duyệt web, nếu đang bật trong Safari, thì cũng sẽ được bật mặc định trong Private Browsing Chống fingerprinting nâng cao Khi việc theo dõi có trạng thái bị hạn chế, nhiều trình theo dõi chuyển sang fingerprinting Các loại fingerprinting: Fingerprinting thiết bị: dựa trên đặc tính thiết bị như phần cứng, OS, trình duyệt... Fingerprinting mạng và vị trí địa lý: dựa trên cách kết nối internet và phương thức phát hiện vị trí địa lý Fingerprinting theo thiết lập người dùng: dựa trên trạng thái cài đặt của người dùng như dark/light mode, locale, thay đổi cỡ chữ, kích thước cửa sổ... Fingerprinting hành vi người dùng: phát hiện mẫu hành vi như cách dùng con trỏ chuột, tốc độ nhập liệu... Fingerprinting đặc tính người dùng: xác định các đặc tính như sở thích, độ tuổi, tình trạng sức khỏe... Tính ổn định của fingerprint là một thách thức do các yếu tố thay đổi theo thời gian Các vấn đề quyền riêng tư của fingerprinting: Theo dõi giữa các trang Nhận diện lại người dùng theo từng trang Tính duy nhất của khách truy cập theo từng trang Theo dõi giữa các trang và nhận diện lại người dùng theo từng trang là những vấn đề quyền riêng tư mà trình duyệt cần giải quyết Cách tiếp cận của Safari: Làm cho fingerprint là duy nhất theo từng trang, và tạo fingerprint duy nhất mới mỗi khi dữ liệu bị xóa Ẩn địa chỉ IP bằng proxy nhiều chặng Giới hạn số lượng Web API có thể bị dùng cho fingerprinting Bơm nhiễu vào các giá trị trả về của Web API Safari làm cho fingerprinting khó hơn bằng cách bơm nhiễu vào 2D Canvas, WebGL, Web Audio API và cố định kết quả của các API liên quan đến chỉ số cửa sổ/màn hình Không nên bổ sung lên web các API có thể bị dùng cho fingerprinting như Topics API Với các Web API hiện có, việc kìm hãm khả năng fingerprinting vốn đã khó Điều quan trọng là không làm vấn đề tệ hơn bằng các API mới có thể bị dùng cho fingerprinting Lý do phản đối Topics API được đưa vào Chrome: Trình duyệt suy luận sở thích của người dùng và chuyển cho nhà quảng cáo Không cho người dùng biết trước chủ đề nào sẽ bị lộ Chỉ với tổ hợp sở thích đơn giản cũng có thể bị dùng để lập hồ sơ và tái định danh người dùng Cải thiện quyền riêng tư trong hai chế độ duyệt web Cơ chế phòng vệ trước địa chỉ IP bên thứ ba bị che giấu cùng với phân vùng SessionStorage và Blob URL được bật mặc định trong cả duyệt web thông thường lẫn Private Browsing ITP giới hạn thời gian hết hạn cookie xuống còn 7 ngày đối với phản hồi từ địa chỉ IP bên thứ ba bị che giấu Từ Safari 16.1, Session Storage liên trang được phân vùng theo từng website first-party Từ Safari 17.2, Blob URL liên trang được phân vùng theo từng website first-party, và bên thứ ba không thể sử dụng Blob URL của first-party Thiết lập tiêu chuẩn ngành Các tính năng bảo vệ quyền riêng tư trong Safari 17.0, 17.2, 17.5 đưa ra một chuẩn mực mới cho việc bảo vệ người dùng Apple kỳ vọng mọi người dùng Safari và chính web sẽ được hưởng lợi từ công việc này

(webkit.org)

6 điểm bởi xguru 2024-07-17 | 1 bình luận | Chia sẻ qua WhatsApp

Khi phát minh ra Private Browsing (chế độ duyệt web riêng tư) vào năm 2005, mục tiêu là bảo vệ hoạt động duyệt web của người dùng khỏi những người cùng chia sẻ một thiết bị
Họ đã tạo ra một chế độ không để lại dấu vết cục bộ vĩnh viễn của hoạt động duyệt web, và cuối cùng mọi trình duyệt khác cũng cung cấp cùng tính năng đó. Điều này cũng được gọi là "ephemeral browsing"
Từ Safari 1.0 năm 2003, thông qua chính sách cookie, Safari đã áp dụng ngăn chặn theo dõi chéo trang cho toàn bộ hoạt động duyệt web của Safari, và trong 20 năm qua đã dần tăng cường các biện pháp bảo vệ quyền riêng tư
Các trình duyệt nổi tiếng khác không quá nhanh trong việc theo kịp vai trò dẫn dắt của chúng tôi về ngăn chặn theo dõi, nhưng vẫn có tiến triển
Apple tin rằng người dùng không nên bị theo dõi trên web mà không biết hoặc không đồng ý
- Việc vào Private Browsing là một tín hiệu mạnh cho thấy người dùng muốn có mức bảo vệ tốt nhất trước các xâm phạm quyền riêng tư nhưng vẫn muốn tận hưởng và sử dụng web
- Việc giữ chế độ bảo vệ quyền riêng tư chỉ đơn thuần là tạm thời theo định nghĩa năm 2005, như Incognito Mode của Chrome, là không còn đủ nữa
- Người dùng kỳ vọng nhiều hơn và xứng đáng nhận được nhiều hơn
Trong Safari 17.0, Apple đã bổ sung một cấp độ hoàn toàn mới về bảo vệ quyền riêng tư cho Private Browsing, và tiếp tục tăng cường trong 17.2 và 17.5
- Khi người dùng bật lên, toàn bộ cơ chế bảo vệ mới cũng có thể dùng trong duyệt web Safari thông thường
- Công việc này đã cải thiện đáng kể quyền riêng tư trên web và Apple hy vọng sẽ thiết lập một tiêu chuẩn mới của ngành về việc Private Browsing nên như thế nào

Tóm tắt tính năng Enhanced Private Browsing của Safari

Các biện pháp bảo vệ và phòng vệ có trong Safari 17.0
- Ngăn theo dõi liên kết
- Chặn tải mạng từ các trình theo dõi đã biết, bao gồm cả những trình theo dõi được ngụy trang bằng CNAME
- Chống fingerprinting nâng cao
- Các tiện ích mở rộng có quyền truy cập trang web hoặc lịch sử duyệt web sẽ bị tắt theo mặc định
Các biện pháp bảo vệ và phòng vệ được bổ sung thêm cho mọi chế độ duyệt web
- Giới hạn thời gian sống của cookie được thiết lập từ các địa chỉ IP bên thứ ba bị che giấu
- SessionStorage được phân vùng
- blob URL được phân vùng (từ Safari 17.2)
Đồng thời, họ cũng mở rộng Web AdAttributionKit (trước đây là Private Click Measurement) để thay thế các tham số theo dõi trong URL
Điều này giúp nhà phát triển vẫn có thể hiểu hiệu quả của các chiến dịch marketing ngay cả trong Private Browsing

Rủi ro làm hỏng khả năng tương thích của website và cách giảm thiểu

Có rất nhiều ý tưởng để bảo vệ quyền riêng tư trên web, nhưng đáng tiếc là nhiều ý tưởng trong số đó có thể làm tổn hại trải nghiệm người dùng
Cũng giống như các biện pháp bảo vệ an ninh trong đời thực, cần phải giữ được sự cân bằng
Private Browsing mới đi đến ranh giới đó trong khi cố gắng không bao giờ làm website ngừng hoạt động
Tuy vậy, vẫn có rủi ro là một số phần của vài trang web có thể không hoạt động
Để xử lý điều này, Apple cung cấp cho người dùng cách giảm mức bảo vệ quyền riêng tư theo từng trang
Những thay đổi đối với các biện pháp bảo vệ quyền riêng tư này chỉ được ghi nhớ trong lúc duyệt bên trong trang đó
Tùy chọn này là giải pháp cuối cùng khi không thể sử dụng một trang web do các biện pháp bảo vệ quyền riêng tư
Trên iOS, iPadOS, visionOS, vào Cài đặt > Ứng dụng > Safari > Nâng cao > Bảo vệ chống theo dõi và fingerprinting nâng cao rồi bật "Mọi hoạt động duyệt web"
Trên macOS, vào Safari > Cài đặt > Nâng cao rồi bật "Use advanced tracking and fingerprinting protection in all browsing"

Ngăn theo dõi liên kết

Safari loại bỏ query parameter và fragment khỏi URL để khiến việc theo dõi hoạt động người dùng giữa các trang khó hơn
Các query parameter dùng cho theo dõi rộng ở cấp độ người dùng/lượt nhấp sẽ bị loại bỏ trước khi truyền qua mạng
Các parameter dùng cho attribution của chiến dịch vẫn được cho phép đi qua
Các script bên thứ ba muốn truy cập toàn bộ URL ở trang đích sẽ chỉ thấy URL không có query parameter hoặc fragment

Web AdAttributionKit trong Private Browsing

Web AdAttributionKit là cách để nhà quảng cáo, website và ứng dụng triển khai attribution quảng cáo và đo lường click theo cách bảo vệ quyền riêng tư
Trong Private Browsing, nó hoạt động với một số hạn chế nhất định
- Phạm vi được giới hạn trong từng tab Private Browsing riêng lẻ, và khi nhấp liên kết thì chuyển attribution sang tab mới
- Khi đóng tab, các yêu cầu attribution đang chờ sẽ bị hủy

Chặn tải mạng của các trình theo dõi đã biết

Safari dùng trình chặn nội dung được tự động kích hoạt để chặn tải mạng tới các trình theo dõi đã biết
Cơ chế này được biên dịch bằng dữ liệu của DuckDuckGo và các quy tắc lọc EasyPrivacy của EasyList
Hầu hết quảng cáo vẫn được chủ đích cho phép tải
Private Browsing cũng chặn các yêu cầu mạng bị che giấu tới các miền theo dõi được ánh xạ thông qua che giấu CNAME hoặc che giấu địa chỉ IP bên thứ ba

Cải thiện quyền riêng tư mạng

Private Browsing bổ sung các biện pháp bảo vệ sau cho mọi người dùng:
- Bảo vệ truy vấn DNS bằng DNS được mã hóa
- Proxy các tài nguyên HTTP không mã hóa để bảo vệ khỏi các tác nhân tấn công trên mạng cục bộ
Quảng cáo
Người đăng ký iCloud+ có thể bật iCloud Private Relay để dùng thêm các tính năng sau:
- Dùng một phiên riêng cho từng tab Private Browsing
- Cung cấp quyền riêng tư vị trí theo mặc định
- Hiển thị cảnh báo trước khi lộ địa chỉ IP

Tiện ích mở rộng trong Private Browsing

Các tiện ích mở rộng có thể truy cập dữ liệu website và lịch sử duyệt web sẽ bị tắt theo mặc định
Người dùng vẫn có thể chọn cho phép tiện ích mở rộng chạy trong Private Browsing
Các tiện ích mở rộng không truy cập nội dung trang web hoặc lịch sử duyệt web, nếu đang bật trong Safari, thì cũng sẽ được bật mặc định trong Private Browsing

Chống fingerprinting nâng cao

Khi việc theo dõi có trạng thái bị hạn chế, nhiều trình theo dõi chuyển sang fingerprinting
Các loại fingerprinting:
- Fingerprinting thiết bị: dựa trên đặc tính thiết bị như phần cứng, OS, trình duyệt...
- Fingerprinting mạng và vị trí địa lý: dựa trên cách kết nối internet và phương thức phát hiện vị trí địa lý
- Fingerprinting theo thiết lập người dùng: dựa trên trạng thái cài đặt của người dùng như dark/light mode, locale, thay đổi cỡ chữ, kích thước cửa sổ...
- Fingerprinting hành vi người dùng: phát hiện mẫu hành vi như cách dùng con trỏ chuột, tốc độ nhập liệu...
- Fingerprinting đặc tính người dùng: xác định các đặc tính như sở thích, độ tuổi, tình trạng sức khỏe...
Tính ổn định của fingerprint là một thách thức do các yếu tố thay đổi theo thời gian
Các vấn đề quyền riêng tư của fingerprinting:
1. Theo dõi giữa các trang
2. Nhận diện lại người dùng theo từng trang
3. Tính duy nhất của khách truy cập theo từng trang
Quảng cáo
Theo dõi giữa các trang và nhận diện lại người dùng theo từng trang là những vấn đề quyền riêng tư mà trình duyệt cần giải quyết
Cách tiếp cận của Safari:
- Làm cho fingerprint là duy nhất theo từng trang, và tạo fingerprint duy nhất mới mỗi khi dữ liệu bị xóa
- Ẩn địa chỉ IP bằng proxy nhiều chặng
- Giới hạn số lượng Web API có thể bị dùng cho fingerprinting
- Bơm nhiễu vào các giá trị trả về của Web API
Safari làm cho fingerprinting khó hơn bằng cách bơm nhiễu vào 2D Canvas, WebGL, Web Audio API và cố định kết quả của các API liên quan đến chỉ số cửa sổ/màn hình

Không nên bổ sung lên web các API có thể bị dùng cho fingerprinting như Topics API

Với các Web API hiện có, việc kìm hãm khả năng fingerprinting vốn đã khó
Điều quan trọng là không làm vấn đề tệ hơn bằng các API mới có thể bị dùng cho fingerprinting
Lý do phản đối Topics API được đưa vào Chrome:
- Trình duyệt suy luận sở thích của người dùng và chuyển cho nhà quảng cáo
- Không cho người dùng biết trước chủ đề nào sẽ bị lộ
- Chỉ với tổ hợp sở thích đơn giản cũng có thể bị dùng để lập hồ sơ và tái định danh người dùng

Cải thiện quyền riêng tư trong hai chế độ duyệt web

Cơ chế phòng vệ trước địa chỉ IP bên thứ ba bị che giấu cùng với phân vùng SessionStorage và Blob URL được bật mặc định trong cả duyệt web thông thường lẫn Private Browsing
ITP giới hạn thời gian hết hạn cookie xuống còn 7 ngày đối với phản hồi từ địa chỉ IP bên thứ ba bị che giấu
Từ Safari 16.1, Session Storage liên trang được phân vùng theo từng website first-party
Từ Safari 17.2, Blob URL liên trang được phân vùng theo từng website first-party, và bên thứ ba không thể sử dụng Blob URL của first-party

Thiết lập tiêu chuẩn ngành

Các tính năng bảo vệ quyền riêng tư trong Safari 17.0, 17.2, 17.5 đưa ra một chuẩn mực mới cho việc bảo vệ người dùng
Apple kỳ vọng mọi người dùng Safari và chính web sẽ được hưởng lợi từ công việc này

1 bình luận

brainer 2024-07-17

https://youtu.be/0HjDpPnxcP0?si=x0JZN2Cxxy0j3XiT