W3C放弃阻止PWAS跟踪用户

2020-08-02 17:42:12

2015年,作为万维网联盟(W3C)主持的隐私审查的一部分,尼克·多蒂(Nick Doty)指出了网络应用程序的一个潜在问题。

本周,在关于是否或如何缓解这种隐私担忧的五年辩论之后,讨论这一问题的技术人员干脆放弃了,把问题推给了浏览器制造商,希望他们能做点什么。

2015年标志着渐进式Web应用程序(PWAS)的首次亮相。这些Web应用程序可以安装在设备上,并且可以在脱机时运行。它们需要一个清单文件、一组描述各种应用程序特征和功能的JSON格式的键和值。

其中一个键是start_url,如果使用它,它是Web应用程序从其安装的快捷方式启动时加载的首选URL。

多蒂当时是W3C的隐私分析师,也是加州大学伯克利分校(UC Berkeley)技术、社会和政策中心(Center for Technology,Society&;Policy)的创始主任。在他的隐私审查中,多蒂得出结论,start_url代表着一种潜在的设备指纹识别机制,并将个人与标识符相关联。

他写道,我认为这应该被标记为对指纹识别和创建一种新的类似饼干的地方州机制的贡献。

W3C的Web应用程序清单规范草案中的一节反映了他的担忧:

可以想象,start_url可以定制为指示应用程序是从浏览器外部启动的(例如,";start_url";:";index.html?Launcher=HomeScreen";)。这对于分析和可能的其他自定义都很有用。然而,开发人员也可以将字符串编码到唯一标识用户的start_url中(例如,分配给UUID的服务器)。这是用户可能不知道的指纹/隐私敏感信息。

这种类型的唯一字符串可用于重新生成已清除的cookie。例如,将其START_URL设置为包括用户标识符(如";index.html?uid=ABCDEF";)的PWA可以引用该标识符,以将用户与以前删除的cookie重新关联。

自从Doty第一次提出这个问题以来,不同的W3C参与者一直在讨论在GitHub问题线程中可以做些什么。大约一年后,Mozilla标准工程师Marcos Cáceres提交了一项建议,建议浏览器制造商包括一种方法,供用户检查和更改start_url,从而结束了这个问题。

W3C控制着万维网的工作方式。然而,它不愿意记录关键的会议,而且它的记录也不完整。

多读。

去年,独立隐私研究和顾问、W3C技术体系结构小组前成员Lukasz Olejnik羞辱了那些重新讨论这一问题的人。

他写道,如果我说错了,请纠正我,但把这个问题抛给用户是解决这里安全/隐私问题的推荐解决方案吗?他在句子末尾添加了一个笑脸表情,以减轻打击。

这引发了Firefox的一个漏洞条目,该条目仍处于打开状态。目前还不清楚其他浏览器制造商如何看待这个问题。至少在IOS上,PWA隔离可以防止cookie重新生成,但不能创建唯一的ID。

Olejnik分析了排名前10,000的网页,发现有1672个页面包含了一个清单.json文件,828个页面使用了专用的start_url,274个向该URL附加了参数,没有一个页面似乎使用了随机生成的标识符。由此,他得出结论,starturl目前并没有被用来跟踪人。

这表明目前有更好的跟踪机制可用,尽管随着新的隐私防御在浏览器中实现,情况可能并不总是如此。

领导苹果WebKit开发的软件工程师Maciej Stachowiak写道:我认为这个问题应该认真对待。一般说来,通过URL参数进行跟踪在Web上越来越常见,以至于WebKit为其部署了主动缓解措施。如果这项技术还没有成功应用于PWAS,那只是一种幸运,而不是一个可以依赖的品质。

Olejnik认为,如果使用start_url作为标识符,那么根据2018年“加州消费者隐私法”和欧洲的“一般数据保护条例”,可能会产生法律影响。

关于这一问题的讨论一直持续到大约一周前,当时卡塞雷斯表示没有什么可做的。

老实说,我不认为有办法解决这个问题,他写道。URL设计中固有的一点是,您可以通过使用无限范围的模式以及混合和匹配它们的结构来将唯一标识符编码到URL中。";这是URL设计中的固有特性,您可以通过使用无限范围的模式以及混合和匹配它们的结构来将唯一标识符编码到URL中。

在其他人的同意下,他在周三重申这个问题是无法解决的,并再次结束了讨论。

The Register-独立于科技界的新闻和观点。情况发布的一部分