InfoQ▲Cookie,七天清空本地存储,苹果完全屏蔽第三方

苹果WebKit博客分享了智能跟踪预防技术(ITP)的最新进展:完全屏蔽第三方Cookie , 七天清空本地存储 , 简化开发人员工作 。 但也有开发者唱起了反调 , 觉得苹果只是说起来冠冕堂皇 , 实际上还是为了商业考虑 。 Why?
苹果完全禁止第三方Cookie3月24日 , 苹果WebKit博客发表了一篇题为《FullThird-PartyCookieBlockingandMore》的文章 , 正式宣布它开始默认完全屏蔽第三方Cookie 。 苹果表示 , “这是对隐私的一项重大改进 , 因为它消除了任何异常或允许进行一点跨站点跟踪的可能 。 ”
此次更新涉及iOS , iPadOS13.4和macOS上的Safari13.1 , 这项名为智能跟踪预防的(ITP)的技术首次发布于2017年 , 从当时的禁止大部分第三方Cookie已发展到今天的完全禁止第三方Cookie 。
据了解 , Safari是市面上第一个默认情况下完全禁止第三方Cookie的主流浏览器 , 除Safari之外只有Tor浏览器是相通的默认设置 , 而后者的市场份额很小 。 无独有偶 , 浏览器市场中绝对的霸主Chrome也在今年1月份宣布 , 未来2年内将逐步淘汰第三方Cookie 。
InfoQ▲Cookie,七天清空本地存储,苹果完全屏蔽第三方
文章图片
2月全球浏览器市场份额
InfoQ▲Cookie,七天清空本地存储,苹果完全屏蔽第三方
文章图片
10大浏览器型号
苹果表示 , 将向W3C的隐私小组分享相关经验 , 以帮助其他浏览器取得飞跃 。
完全屏蔽的好处是什么?WebKit在博客中分享了完全屏蔽第三方Cookie的好处 , 具体而言有以下几个方面 。
消除了CookieBlocking中的状态性;使跨站点泄露用户信息(例如登录指纹)不再可行;禁用通过第三方请求对网站的跨站点伪造攻击;删除使用辅助第三方域标识用户的功能 。 否则 , 即使用户删除第一方的网站数据 , 此类设置也可能保留ID;简化了开发人员的工作 , 如果需要使用Cookie , 苹果建议通过StorageAccessAPI进行 。鉴于大部分第三方脚本已转移到类似LocalStorage的第一方存储方式 , 苹果同时宣布所有脚本可写入的存储都只保留7天 , 7天之后本地储存的数据将会被自动删除 。 受影响的存储格式包括IndexedDB、LocalStorage、Mediakeys、SessionStorage和ServiceWorkerregistrations 。
【InfoQ▲Cookie,七天清空本地存储,苹果完全屏蔽第三方】开发人员可以根据OAuth2.0授权、StorageAccessAPI或临时兼容性修补程序的方式在过渡期解决此协议所带来的不便 。
苹果的博文中提到 , 全球浏览器状态已成为Web社区隐私保护中的关键一环 。 自2018年欧盟最严数据保护法规《GDPR》生效以来 , 各大厂商纷纷在隐私保护的铁锤下吞下了巨额罚单:谷歌被处以5000万欧元罚款 , 英航、万豪等大企业也因数据泄露被处以数千万级别的罚款 。
第三方Cookie由于其随着时间发展 , 收集大量用户信息的特点 , 成为了数据泄露的重灾区 。 专家表示 , “在HTML5本地存储相关技术出现前 , Cookie是在客户端保存用户数据的唯一手段 , 但Cookie本身有很多问题 , 比如大小限制、明文存储等 。 不过 , 其最大的问题还是安全性 。 很多的安全漏洞都是源于Cookie被窃取 。 ”
在《GDPR》生效以后 , 很多网站开始添加Cookie通知 , 但这对于隐私保护并没有起到多好的效果 , 于是苹果、谷歌等企业开始决定从源头上禁止第三方Cookie以解决这个问题 。
来自开发者的不同声音一位名为AralBalkan的开发者在自己的博客上写下了一篇文章 , 标题名为《ApplejustkilledOfflineWebAppswhilepurportingtoprotectyourprivacy:whythat’sABadThingandwhyyoushouldcare》 。 从标题上就可以看出观点的激进 , 而内容事实上也同样如此 。
在他看来 , 完全屏蔽第三方Cookie以保护隐私只是看起来很美 , 而7天清空本地存储的规则却完全阻止了未来任何去中心化应用程序使用浏览器(客户端)作为对等网络中可信复制节点的可能 。