Xakep #305. Многошаговые SQL-инъекции
Издание Bleeping Computer сообщает, что вчера GitHub объявил о развертывании нового HTTP-хэдера для всех сайтов на GitHub Pages. Как оказалось, этот хэдер предназначен для того, чтобы сайты по умолчанию отказывались от новой технологии отслеживания Google FLoC. Он установлен для всего домена github.com и свидетельствует о том, что посетители GitHub не должны быть включены в «когорты» FLoC при посещении любой страницы GitHub.
Напомню, что Google начала тестирование новой технологии отслеживания пользователей под названием Federated Learning of Cohorts (FLoC) ранее в этом месяце. Эта технология объединяет пользователей в анонимные сегменты или «когорты» в зависимости от их интересов и поведения в интернете, и должна прийти на смену сторонним файлам cookie и localStorage.
В отличие от сторонних файлов cookie, используемых рекламодателями для отслеживания поведения и интересов на разных сайтах, FLoC встроена в сам браузер, который распределяет людей по определенным «когортам» и передает эту информацию сайтам и рекламодателям. Таким образом, каждый браузер будет объединен с определенными «когортами», которые наиболее точно отражают привычки пользователя и соотносятся с просмотренными веб-страницами.
В итоге тысячи браузеров с похожей историей просмотров (принадлежащие к одной и той же «когорте») будут иметь общий идентификатор «когорты», который будет предоставляться сайтам по запросу.
«FLoC не делится вашей историей просмотров ни с Google, ни с кем-либо еще. Это отличается от сторонних файлов cookie, которые позволяют компаниям отслеживать вас индивидуально на разных сайтах. FLoC работает на вашем устройстве, не предоставляя кому-либо доступ к истории просмотров. Важно отметить, что все участники рекламной экосистемы, в том числе собственные рекламные продукты Google, будут иметь одинаковый доступ к FLoC», — объясняли разработчики Google в блоге.
Однако сам FLoC и идея заменить им сторонние файлы cookie, не нашла поддержки в отрасли. Технологию Google критикуют и отказываются использовать многие крупные игроки, включая EFF, Microsoft, Mozilla Firefox, Vivaldi, Brave, WordPress и DuckDuckGo:
- эксперты EFF сразу раскритиковали технологию, назвав ее «ужасной идеей»;
- авторы Vivaldi и Brave уже отказалисьот применения FLoC в своих браузерах;
- DuckDuckGo блокирует FLoCс помощью расширения Privacy Essentials для Chrome;
- в WordPress идет обсуждение автоматической блокировки FLoC на сайтах под управлением этой CMS;
- Apple не делала официальных заявлений о FLoC, однако разработчик Safari Джон Виландер сообщил, что пока компания намерена подождать и посмотреть, что будет дальше;
- разработчики Edge тоже заняли выжидательную позицию.
«Любой трекер, который получает и то и другое [идентификатор FLoC и IP-адрес], может использоваться для отслеживания и исключительно хорошо ориентироваться в поведении пользователя без сторонних файлов cookie и чего-либо еще», — писал глава DuckDuckGo Габриэль Вайнберг.
«Новый инструмент Google по сбору данных отвратителен. FLoC (Federated Learning of Cohorts — объединённое обучение по группам) — это новая рекламная технология, призванная заменить сторонние Cookies и подобные средства вроде localStorage. Это откровенно опасный шаг, нарушающий приватность пользователей», — заявил глава Vivaldi Йон фон Течнер.
Как ранее отмечали эксперты, владельцы сайтов могут отказаться поддерживать FLoC, отправляя своим посетителям следующий HTTP-хэдер: Permissions-Policy: interest-cohort=(). В итоге сайты, возвращающие пользователям такой хэдер, будут игнорироваться браузерами при сборе когортных данных для пользователя.
Bleeping Computer пишет, что теперь для *.github.com и сайтов GitHub Pages (размещенных на *.github.io), был применен именно такой хэдер. При этом разработчики GitHub даже не упоминают в блоге о самой технологии FLoC, просто лаконично информируют пользователей о нововведении.