苹果更新Safari:默认封锁所有第三方Cookie

负责WebKit安全及隐私的苹果工程师John Wilander于本周宣布,他们已改善了WebKit的智慧关注预防(Intelligent Tracking Prevention,ITP)功能,全面封锁了第三方的Cookie,而且已被集成在本周出炉的iOS 13.4、iPadOS 13.4,以及macOS 10.15.4所使用的Safari 13.1中。

一般而言,Cookie是由用户所访问的网站植入在用户计算机上的记​录,它存放了用户的浏览行为与个人偏好,目的是为了让用户的浏览经验更顺畅,它称为第一方Cookie;不过,有些时候会有来自第三方的Cookie被植入用户计算机,例如在用户访问A站时,A站可能含有来自B广告网络的广告,B广告网络也会顺势植入Cookie,如果用户所访问的众多网站都支持B域名的广告,那么B广告网络就能借此得知,用户所访问过的网站及其浏览习惯。

用户可能会发现,一旦曾浏览某个购物网站的特定商品,该网站或相关商品的广告就会如影随形,不管是访问什么其它网站都会出现,这就是第三方Cookie的杰作。

其实过去苹果就已通过ITP来封锁第三方Cookie,但其中含有一些漏洞,让用户仍能被关注,新版ITP号称可全面封锁第三方Cookie,而且毫无例外。

Wilander说明,这次他们移除了封锁Cookie时的ITP状态显示,让网站无法再根据封锁状态来进行关注,同时也关闭了登录指纹,不再让网站查看用户先前曾登录的网站。而全面封锁第三方Cookie除了能够阻止跨站伪造请求(Cross-site Request Forgery,CSRF)攻击之外,也能避免有人能够用第三方的域名,来识别用户身份。

Wilander表示,迄今只有Tor Browser支持完整的第三方Cookie封锁能力,再来就是Safari,Brave则有少许例外,Chrome则预计在2022年之前提供同样的能力。至于未被提及的Firefox去年就在默认值中,激活了封锁第三方关注Cookie的增强关注保护(Enhanced Tracking Protection)功能,根据Mozilla的说法,它封锁了许多会在网络上跟踪用户并搜集用户信息的定位器,包括社交网站定位器、跨站关注Cookie、指纹及挖矿工具等。

发表评论