Xakep #305. Многошаговые SQL-инъекции
Разработчики DuckDuckGo объявили, что скоро браузер компании будет блокировать все сторонние следящие скрипты Microsoft, хотя ранее это было невозможно из-за соглашения о поиске, которое было заключено между двумя компаниями.
Напомню, что скандал вокруг трекеров Microsoft разгорелся весной текущего года. Тогда выяснилось, что браузер DuckDuckGo блокирует трекеры Google и Facebook, однако позволяет трекерам Microsoft продолжать работу. Тесты выявили, что DuckDuckGo разрешает работу трекеров, связанных с доменами bing.com и linkedin.com, блокируя все остальные.
Генеральный директор и основатель DuckDuckGo Габриэль Вайнберг объяснял, что браузер компании действительно разрешает работу трекеров Microsoft на сторонних сайтах из-за соглашения о поисковой синдикации.
Тогда эти заявления вызвали настоящую бурю негодования, а Вайнберг пытался защитить компанию, много говорил о прозрачности и пытался объяснить суть соглашений DuckDuckGo с Microsoft. В частности, он дал понять, что это ограничения на работу трекеров действуют только в браузере DuckDuckGo и не влияют на поисковую систему компании. Однако осталось неясно, почему почему компания молчала об этом до тех пор, пока трекеры Microsoft случайно не обнаружил исследователь.
На этой неделе в компании заявили, что со следующего месяца DuckDuckGo начнет блокировать все сторонние следящие скрипты Microsoft в своем мобильном браузере DuckDuckGo Privacy Browser (iOS/Android) и браузерных расширениях DuckDuckGo Privacy Essentials (Chrome, Firefox, Safari, Edge и Opera).
«Недавно я пообщался с рядом пользователей и понимаю, что наш браузер не оправдал их ожиданий в отношении защиты от отслеживания. Поэтому сегодня мы объявляем об улучшении конфиденциальности и прозрачности в отношении защиты от отслеживания в DuckDuckGo», — пишет Габриэль Вайнберг в новом заявлении.
Функция блокировки трекеров Microsoft будет работать при помощи стороннего решения Tracker Loading Protection. В DuckDuckGo рассказали изданию Bleeping Computer, что блокироваться будут следящие скрипты со следующих URL-адресов:
• adnxs.com
• adnxs-simple.com
• adsymptotic.com
• adv-cloudfilse.azureedge.net
• app-fnsp-matomo-analytics-prod.azurewebsites.net
• azure.com
• azure.net
• bing.com
• cdnnwlive.azureedge.net
• clarity.ms
• dynamics.com
• fp-cdn.azureedge.net
• licdn.com
• linkedin.com
• live-tfs-omnilytics.azurewebsites.net
• msecnd.net
• nlo-stl-web.azureedge.net
• nuance.com
• pestcontrol-uc1.azureedge.net
• sdtagging.azureedge.net
• serviceschipotlecom.trafficmanager.net
При этом DuckDuckGo все еще использует Microsoft Advertising для рекламы в поиске, поэтому при использовании браузера для трекеров Microsoft будут сделаны некоторые исключения. В частности, после клика на рекламное объявление в поиске DuckDuckGo браузер разрешит однократное выполнение скриптов-трекеров с bat.bing.com на сайте рекламодателя. Это позволит рекламодателям отслеживать, насколько хорошо работают их рекламные кампании. При этом DuckDuckGo заблокирует все дальнейшие вызовы на этом сайте и попытки загрузить трекеры с bat.bing.com.
В компании признают, что это неидеальное решение и надеются со временем заменить трекеры bat.bing.com на кастомные имплементации, которые в настоящее время разрабатываются инженерами Firefox и Safari.
В Microsoft сообщили, что их устраивает такой компромисс, поскольку это позволяет DuckDuckGo повысить конфиденциальность пользователей, но также позволяет рекламодателям Microsoft продолжать отслеживать эффективность своей рекламы.
«У Microsoft есть политика, гарантирующая, что мы обеспечиваем баланс между потребностями наших издателей и потребностями наших рекламодателей, чтобы точно отслеживать конверсии в нашей сети, — говорят в Microsoft. — Мы сотрудничаем с DuckDuckGo, чтобы оценить возможные последствия этой политики, и рады, что нашли решение, которое решает возникшие проблемы».