Xakep #305. Многошаговые SQL-инъекции
В прошлом месяце компания Google объявила о планах по внедрению новой функции Federated Learning of Cohorts (FLoC), которая должна заменить собой сторонние файлы cookie, использующиеся рекламными сетями и аналитическими платформами для отслеживания пользователей
Напомню, что совсем недавно разработчики DuckDuckGo предупреждали, что широко обсуждаемый план Google по отказу сторонних cookie в Chrome к концу 2022-2023 года, а также связанные с этим ограничения, уже реализованные в других браузерах, не помешают производителям следить за пользователями.
Тогда глава DuckDuckGo Габриэль Вайнберг писал, что технологии Google, предназначенные для замены сторонних файлов cookie (включая FLoC), и связанные с ними методы доставки рекламы, якобы разработанные с упором на конфиденциальность, по-прежнему могут быть полезны для отслеживания людей. В частности, FLoC нацелен на присвоение пользователям идентификаторов групп интересов и может быть объединен с IP-адресом, в итоге став уникальным идентификатором конкретного человека.
«Таким образом, любой трекер, который получает и то и другое [идентификатор FLoC и IP-адрес], может использоваться для отслеживания и исключительно хорошо ориентироваться в поведении пользователя без сторонних файлов cookie и чего-либо еще», — говорил Вайнберг.
Также нужно отметить, что FLoC сразу раскритиковали эксперты Electronic Frontier Foundation (EFF), назвав это «ужасной идеей», ведь Chrome, по сути, будет делиться сводкой недавней активности каждого пользователя с маркетологами. А теперь еще и разработчики Vivaldi и Brave оказались от использования FLoC.
Создатели Vivaldi и Brave сообщили, что не будут поддерживать технологию, вскоре после того как Google обнародовала свои планы по испытанию FLoC на небольшой группе пользователей Chrome, которые автоматически будут включены в пилотный проект.
«Новый инструмент Google по сбору данных отвратителен. FLoC (Federated Learning of Cohorts — объединённое обучение по группам) — это новая рекламная технология, призванная заменить сторонние Cookies и подобные средства вроде localStorage. Это откровенно опасный шаг, нарушающий приватность пользователей.
Мы в Vivaldi всегда защищаем приватность наших пользователей. Мы не допускаем отслеживания активности пользователей или создание их поведенческих профилей, в любой форме. Мы даже собственным продуктам не позволяем создавать локальные поведенческие профили пользователей», — заявил глава Vivaldi Йон фон Течнер.
Это мнение разделяют и другие эксперты. Так, блог разработчиков Brave гласит:
«Худший аспект FLoC заключается в том, что он наносит существенный вред конфиденциальности пользователей под видом обеспечения этой самой конфиденциальности».
Борьба с новой технологий уже началась. Так, специалисты EFF запустили специальный сайт, AmIFloced.org, где любой пользователь может проверить, не тестирует ли Google FLoC именно в его браузере. В свою очередь, инженеры DuckDuckGo выпустили расширение Privacy Essentials для Chrome и других браузеров, которое может блокировать FLoC. Кроме того, владельцы сайтов, которые не хотят работать с FLoC, могут заблокировать его, отправив своим посетителям следующий хэдер HTTP-запроса: Permissions-Policy: interest-cohort=().