The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В Firefox предложена дополнительная защита от отслеживания с использованием редиректов

12.05.2024 09:16

В ночные сборки Firefox, на базе которых 11 июня будет сформирован выпуск Firefox 127, добавлен новый механизм защиты от отслеживания перемещений пользователей - "Bounce Tracking Protection", расширяющий возможности по блокированию отслеживания посетителей с использованием редиректов на другие страницы.

Суть метода отслеживания в том, что код трекера перенаправляет пользователя вначале на свой сайт, а уже с него перебрасывает на целевую страницу, что позволяет трекеру сохранить Cookie и данные в локальном хранилище в привязке к своему сайту. Сохранение данных после перехода на другой сайт позволяет обойти реализованные в режиме Enhanced Tracking Protection (ETP) методы для блокировки кросс-сайтовых операций - так как промежуточная страница открывается вне контекста другого сайта, на такой странице можно беспрепятственно устанавливать отслеживающие Cookie.

Механизм Bounce Tracking Protection позволяет отлавливать активность, специфичную для отслеживания через редиректы, и периодически очищать Cookie и локально сохранённые данные, используемые для отслеживания. В отличие от ранее доступного режима "Cookie Purging" очистка производится не на основе списка известных трекеров, а на основе эвристики, позволяющей выявлять новые сайты трекеров, анализируя поведение после редиректа.

  1. Главная ссылка к новости (https://mozilla.social/@mozill...)
  2. OpenNews: В Firefox добавлена возможность вырезания параметров отслеживания из URL
  3. OpenNews: В Firefox приступили к включению защиты от отслеживания перемещений через редиректы
  4. OpenNews: LibreWolf 94 - вариант Firefox, сфокусированный на конфиденциальности и безопасности
  5. OpenNews: В Firefox появится дополнительная защита от скрытой идентификации пользователей
  6. OpenNews: В Firefox и Cloudflare включена поддержка ECH для скрытия домена в HTTPS-трафике
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/61157-firefox
Ключевые слова: firefox, tracking
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (65) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 09:37, 12/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    В Firefox есть более эффективный метод. Называется очищать данные после выхода из браузера. А я так еще более крут. У меня вообще два браузера и просто серфлю я в одном, а по делам захожу в другой.
     
     
  • 2.4, Аноним (4), 09:46, 12/05/2024 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Есть ещё более эффективный метод: https://addons.mozilla.org/en-US/firefox/addon/multi-account-containers/
     
     
  • 3.8, OpenEcho (?), 10:51, 12/05/2024 [^] [^^] [^^^] [ответить]  
  • +5 +/
    К которому не плохo бы еще добавлять "Temporary Containers" addon
     
     
  • 4.55, Аноним (55), 22:09, 12/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    CookieSwap из "Classic Add-ons Archive" - замечательно справляется с переключеним профилей. Можно очищать хлам для одного профиля и держать куки для другого.
     
     
  • 5.61, PaiMei (ok), 23:52, 12/05/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Указанное расширение будет "Получать доступ к вашим данных на всех сайтах". Вообще, не вариант.
     
     
  • 6.91, Аноним (91), 18:38, 13/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Не уж то вы до сих пор не поняли, что для всех этих "свободных" важен не сам факт отслеживания, а кто именно отслеживает - если "свои", тогда и не считается.
     
  • 3.23, Аноним (23), 14:46, 12/05/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Есть еще более эффективный способ - сборка Firefox называется tor browser. Отключаешь в нем тор, и пользуешься. Только некоторые сайты все равно считают что у тебя tor browser и отказываются работать без объяснения причин, потому что следят за пользователем чересчур активно.
     
     
  • 4.68, Kuromi (ok), 04:30, 13/05/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Есть еще более эффективный способ - сборка Firefox называется tor browser. Отключаешь
    > в нем тор, и пользуешься. Только некоторые сайты все равно считают
    > что у тебя tor browser и отказываются работать без объяснения причин,
    > потому что следят за пользователем чересчур активно.

    В обычном ФФ есть настройка privacy.resistFingerprinting, при включении она задействует как минимум часть специфичных для Tor Browser фишек. Внедрялись они с участием разработчиков Tor Browser, так что это не просто блокировка кукисов, а изменение работы Web API и так далее.

     
  • 2.62, Аноним (62), 01:32, 13/05/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А также круто крутых анонимов отслеживают фингерпринты, если они не настолько круты, чтобы освоить изоляцию на уровне приложения и сети.
     
  • 2.89, Аноним (89), 18:29, 13/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >У меня вообще два браузера и просто серфлю я в одном, а по делам захожу в другой.

    Вы точно линукс пользователь?

     

  • 1.2, Аноним (4), 09:38, 12/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    Круто. Яндексу придётся добавить ещё один красный баннер. На этот раз не с враньём про блокировщик рекламы, с враньём про браузер.
     
     
  • 2.63, Аноним (62), 01:33, 13/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А где враньё?)
     
     
  • 3.87, Аноним (-), 17:34, 13/05/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В Яндексе.
     
  • 2.94, Электрон (?), 03:13, 15/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Добавляю контекста: похищенный Дзен, стартовая страница Яндекса и т.п., вследствие всех этих браузерных примочек от борьбы с преследованием, редиректят через свой SSO домен, который дает куки во все руки.
     

  • 1.3, Аноним (4), 09:42, 12/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > В отличие от ранее доступного режима "Cookie Purging" очистка производится не на основе списка известных трекеров, а на основе эвристики, позволяющей выявлять новые сайты трекеров, анализируя поведение после редиректа.

    Если мне не изменяет память, подобный метод был использован в Privacy Badger, но был убран, т.к. в теории его можно использовать для фингерпринтинга.

     
     
  • 2.34, Аноним (34), 17:27, 12/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В интернете ещё до браузера столько фингерпринтинга, что вся эта возня напоминает борьбу с ветряными мельницами. И даже если всё это победить, своё уникальное поведение не изменишь. И если с браузером всё довольно прозаично: вавилон асего лишь хочет тебе продать очередной фингербокс, то с анализом паттернов поведения всё куда хуже.  Во-первых, невозможно запретить анализировать, во-вторых, у любого дурака с большими деньгами для этого есть все возможности, в отличие от местного ваньки. Поэтому цель не избежать слежки (это всё равно невозможно), а сделать так, чтобы сам факт был очевиден и чтобы слежка как таковая прерогативой элитных групп.
     
     
  • 3.49, Аноним (49), 21:51, 12/05/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Скорее, что сделать слежку недостоверной, ненадёжной и дорогой.

    Воевать с жаждой наживы - да, без смысла. И тогда создают законодательство и независимые суды.

     
     
  • 4.90, Аноним (34), 18:31, 13/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > сделать слежку недостоверной, ненадёжной и дорогой

    Сделать-то можно, но у следящих куда больше времени, сил и денег, чем у тех, за кем следят, так что смысла в этом мало, зато заметности хоть отбавляй: вот миллионы пользователей стандартного эджа на винде на дешёвом корпоративном лаптопе, а вот 3½ анонима анонимовича с отключённым яваскриптом, на пэйлмун из-под линукса. И даже если за одним таким анонимом следить невозможно, можно просто следить за теми, с кем он общается.

    Так или иначе, без внятной модели угроз любые мероприятия по безопасности будут её только ухудшать.

     
     
  • 5.92, rshadow (ok), 20:05, 13/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ассимитричные ответы никто не отменял ))

    https://adnauseam.io/

     

  • 1.5, КО (?), 10:17, 12/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну ничего себе, они наконец-то доперли до методов из NoScript 2008 года!
    Скоро и юзер-агент позволят менять, и медиа-элементы блокировать, и рефералы резать на лету, уух!
     
     
  • 2.14, Аноним (14), 11:27, 12/05/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Чего никогда не станет делать гугловская малварь
     
  • 2.32, Аноним (32), 16:57, 12/05/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Просветите каким образом NoScript любого года мог это делать ?
     
     
  • 3.56, Kuromi (ok), 22:13, 12/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    В NoScript можно запретить безусловные редиректы. При попытке оно будет спрашивать можно или нет, но от отслеживания это не особо спасает - если согласился то кукис получай.

    Кстати запретить редиректы можно и без NoScript, accessibility.blockautorefresh = true вроде как делает тоже самое.

     
     
  • 4.59, Аноним (32), 22:39, 12/05/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Так в том и смысл , что бы стать невидимым для редиректоров , а не всё сломать . Запрещение - это неработоспособность , а не защита .
     
     
  • 5.67, Kuromi (ok), 02:48, 13/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Так в том и смысл , что бы стать невидимым для редиректоров
    > , а не всё сломать . Запрещение - это неработоспособность ,
    > а не защита .

    Самый лучший способ - резольвить редиректы где-то еще. Раньше например были сервисы которые показывали куда ведут всякие сокращатели ссылок и не только.
    В принципе и curl-ом простым можно. Не удивлюсь если ФФ начнет в отдельном треде тестировать перенаправления чтобы потом отбросить все лишнее.

     

  • 1.15, нейм (?), 12:18, 12/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Круто, а как насчет использовать системные диалоги открытия файлов, вместо гномовских огрызков?
     
     
  • 2.17, Аноним (17), 12:20, 12/05/2024 [^] [^^] [^^^] [ответить]  
  • –3 +/
    И какой диалог более системный? Или это про швинду?
     
  • 2.21, Брус Ю (?), 13:27, 12/05/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    https://wiki.archlinux.org/title/firefox#XDG_Desktop_Portal_integration
     
  • 2.24, Аноним (24), 14:48, 12/05/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Системный диалог открытия файлов - это ядерная консоль что ли?
     

  • 1.22, Аноним (22), 13:38, 12/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >Сохранение данных после перехода на другой сайт позволяет обойти реализованные в режиме Enhanced Tracking Protection (ETP) методы для блокировки кросс-сайтовых операций - так как промежуточная страница открывается вне контекста другого сайта, на такой странице можно беспрепятственно устанавливать отслеживающие Cookie.

    А сам факт того что так делать можно не говорит о том что сетевыми протоколами что-то не так?

     
     
  • 2.29, Аноним (34), 15:52, 12/05/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Образованным людям не говорит.
     
     
  • 3.36, Аноним (36), 18:57, 12/05/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    При чём тут образование?
     
     
  • 4.48, Аноним (34), 21:49, 12/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    При том, что проблема, очевидно, не в протоколе.
     
     
  • 5.52, Аноним (49), 22:00, 12/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А широте охвата и взгляда.
     
  • 2.38, Аноним (38), 19:36, 12/05/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Какое отношение cookies и js имеют к сетевым протоколам?
     
     
  • 3.51, Аноним (49), 21:59, 12/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Архитектура сети и приложений - архитектура технологии в целом.

    Может быть правильнее сказать: видимо, что-то не так с архитектурой решения в целом и глобально. Из-за чего эти фичи в ФФ - всего-то рекламная фишка, не решающая вопрос надёжно.

     
  • 3.88, Аноним (88), 17:51, 13/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >Какое отношение cookies и js имеют к сетевым протоколам?

    js ни какого, а вот cookies самое прямое - они передаются в заголовках HTTP = layer 7 OSI

     
  • 2.50, Аноним (49), 21:56, 12/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Сетевые протоколы тут не при чём. Если речь не про Веб-3.

    >> Сохранение данных после перехода на другой сайт позволяет обойти реализованные в режиме Enhanced Tracking Protection (ETP) методы для блокировки кросс-сайтовых операций - так как промежуточная страница открывается вне контекста другого сайта, на такой странице можно беспрепятственно устанавливать отслеживающие Cookie.
    > А сам факт того что так делать можно не говорит о том что сетевыми протоколами что-то не так?

    Дело в использовании устройства пользователя для хранения данных владельца сервера. Проблема возникла, когда все с этим согласились и повелись на вебню. Теперь кушают полученный продукт жизнедеятельности.

    Да, нужен другой Интернет, построенный на принципиально другом софте.

     
     
  • 3.58, Аноним (24), 22:22, 12/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Интернет - это глобальная сеть построенная на IP-протоколе. Зачем его менять на другой Интернет? Или ты думаешь что иконка браузера на рабочем столе - это и есть Интернет?
     
     
  • 4.81, Аноним (81), 10:56, 13/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Он устарел.

    Каждый ip пакет должен нести номер паспорта отправителя, и подписан его цифровой подписью с госуслуг.

     

  • 1.25, 12yoexpert (ok), 15:27, 12/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    https://github.com/StevenBlack/hosts
     
     
  • 2.31, Аноним (32), 16:52, 12/05/2024 [^] [^^] [^^^] [ответить]  
  • –2 +/
    И какое отношение к теме ? Разговор о редиректорах , а не "сторонних" ресурсах .
     

  • 1.28, Агл (?), 15:44, 12/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    есть у кого-нибудь бегущая полоска с орфографической ошибкой "С нажатым Shift отсоеденит вкладку от окна" в Tree Style Tab? На крайней кнопке/вкладке "+".
    не нашел как эту надпись убрать, а глаз мозолит
     
     
  • 2.53, Аноним (49), 22:02, 12/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вот тут инструмент для исправления этой ошибки - https://support.mozilla.org/ru/kb/kak-otpravit-otchyot-ob-oshibke-ili-zaprosit
     
     
  • 3.60, Аноним (32), 22:45, 12/05/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Чем поможет жалоба в мозиллу от бага расширения ?
     
     
  • 4.78, 1 (??), 10:10, 13/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ну хоть не в спортлото.
     

  • 1.33, Bob (??), 17:03, 12/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Аддон skip reddirect уже лет как 10 радует лисовода. Пока с новой версией его не ломают, конечно)
    --
    Но многое нужное уже в brave с коробки)
    --
    Обожаю кулстори мозилла о приватности с гугл аналитикой на служебной странице аддонов в браузере, спонсорством гугла в 70+% и поиском оного по умолчанию)
    --
    Пора бабки и наработки полностью в Tor Foundationпередать.
     
     
  • 2.35, Аноним (32), 17:36, 12/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Меньше полчаса проверки - количество глюков зашкаливает . Замучаешься беспрерывными настройками .
     
     
  • 3.69, Kuromi (ok), 04:33, 13/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Меньше полчаса проверки - количество глюков зашкаливает . Замучаешься беспрерывными настройками
    > .

    Напомнило аддон который помогал от отслеживания по Canvas. Сам Canvas он блокировал конечно неплохо (кстати отлично помогало убивать особо злобные баннеры), но глючило от него все страшно.

     
  • 2.37, Аноним (37), 19:07, 12/05/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > brave

    Это тот, у которого был скрытый майнер? 😁

     
     
  • 3.41, z (??), 19:59, 12/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    и трекер за юзерами, ага
     
  • 3.65, Аноним (65), 01:38, 13/05/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    С чего скрытый? Они вполне открыто об этом говорили.
     
     
  • 4.70, Аноним (38), 07:50, 13/05/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Много кого знаете, кто лазает по конфигам и читает мануалы? Таких людей меньшинство. Разработчики же не сделали огромный банер при старте, что, мол, здраститя, у нас для вас тута майнер!
     
     
  • 5.79, Bob (??), 10:47, 13/05/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    У кого мозги есть - читают хоть по диагонали)
    --
    Майнер никто не встраивал, рефералка имелась, если их wallet юзать и валюту фармить с их же ads. В прод вместо beta залили, в тот же день откатили да извинились.
    --
    Как там у лисички гугл аналитика на системной странице аддонов в браузера? Хайло о приватности вещать пока не тресло? Зарубим чужие реддиректики, свои же с гугл аналитики уже й id браузера и свой имеют)
     
     
  • 6.85, Аноним (85), 14:20, 13/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Что то никакой гугло-аналитики там обнаружить не удалось . Сами вставили ? Поделитесь способом .
     
  • 6.95, Аноним (95), 14:49, 16/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Слeшай, Блоб, ты ври, да не завирайся. Ага, "случайно" в релиз пустили. Оно не просто с рефералкой было. Оно еще и чужие рефералки тоговида подменяло на свою. "Случайно", ага.
     
  • 3.80, Bob (??), 10:49, 13/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    На весь инет перед апдейтом заранее сказали. Только вместо beta в прод засунули.
    И не майнер, а рефералку на биржу, кто юзал их wallet и фармил их же крипту (bat) с их же ads на сайтах всяких)
     

  • 1.40, z (??), 19:58, 12/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    потому, что это конкурирующие трекеры плохих людей с трекерами хороших людей из большого G
     
  • 1.44, Аноним (44), 20:38, 12/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    О они объявили войну дистрибьюторам типа калфларе. Интересно будет посмотреть.
     
  • 1.46, Kuromi (ok), 21:01, 12/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "В отличие от ранее доступного режима "Cookie Purging" очистка производится не на основе списка известных трекеров, а на основе эвристики, позволяющей выявлять новые сайты трекеров, анализируя поведение после редиректа. "

    Ну здравствуй разлогин и тут и там :)
    На самом деле ФФ и так уже довольно сильно огорчает тот же Яндекс - попытка зайти на Карты из под приватного режима практически сразу увела на страницу с CAPTCHA.

     
     
  • 2.47, Аноним (32), 21:07, 12/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Так не нужно приватный режим использовать не по назначению . Там вся защита автоматически переключается на максимум , даже если до этого была вообще отключена .
     
     
  • 3.54, Аноним (49), 22:06, 12/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Так как раз именно с этим контентом именно то, что нужно по смыслу. А говоришь - не пользоваться.

    Т.к. иначе эта штука тебе сильно затруднит поиск того, что нужно.

     
  • 3.57, Kuromi (ok), 22:18, 12/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Так не нужно приватный режим использовать не по назначению . Там вся
    > защита автоматически переключается на максимум , даже если до этого была
    > вообще отключена .

    Так я и не сижу все время в приватном, просто иногда надо зайти чтобы быстро глянуть как оно без логина и Яндекса тут же истерика.
    Он и в обычном, неприватном, режиме довольно подозрительно к ночнушке ФФ относится, но приват это просто красный флаг, что говорит о том что не нравятся господам из Яндекса попытки не собирать все трекеры на свете на себя.

     
     
  • 4.82, Аноним (82), 11:10, 13/05/2024 [^] [^^] [^^^] [ответить]  
  • +/
    у меня каждый яндекс в новом temporary container открывается.
    так все сервисы работают более-менее, только поиск просит капчу при переходе на 2-ую страницу
     

  • 1.75, Аноним (75), 09:15, 13/05/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А как же oauth2 будет работать?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру