更多

    Google 報告指 Safari 保護私隱功能 ITP 存在漏洞

    Mickey Chan
    Mickey Chan
    愛騎單車的宅,眼鏡娘控。 1.膽固醇跟美味是成正比的; 2.所有人都可以騙,但絕對不能騙自己; 3.賣掉的貨才是錢,不賣的收藏品不值一文; 4.踩單車,是為了吃更多美食! 5.正義的話語,不一定出自正義之人的口;

    Instagram 放寬手機直播時限至 4 小時

    Facebook 日前宣布聽取創作者的意見後,決定延長 Instagram 平台上手機直播的時間限制,由原來的 1 小時延長至最多 4 小時,還增設自動串流影片存檔功能。同時,IGTV 亦會增加介面讓用戶更容易找尋直播影片。

    PS Plus 會員在 PS5 推出首日登入即有 20 款 PS4 大作可玩

    Sony Interactive Entertainment (SIE) 今日宣布,參加了 PlayStation Plus 月費計劃的會員由 11 月 12 日開始只要在 PS5 主機上登入,即可以在 PS5 上玩到多款 PS4 的代表作品,不另收費。另外還可以免費試玩一款未正式推出的遊戲《 Bugsnax 》。

    Canon 全片幅無反相機走勢強勁    威脅 Sony 王者地位

    過去幾年, Sony 在全片幅無反相機領域可謂獨佔鰲頭,在 4K 影片拍攝和 YouTuber 潮流帶動下,對傳統單反相機帶來不少威脅。不過有市場調查公司就發表報告,顯示隨著今年 Canon 推出全片幅無反相機 R5 和 R6 之後, Sony 的龍頭地位開始受到動搖。

    Google 資訊保安工程小組昨日發表報告,指 Apple 在 2017 年在 Safari 上推出的保護私隱功能 ITP ( Intelligent Tracking Prevention ,智能防止追踪)存在漏洞,有漏洞個人資料的可能性。 Apple 去年 12 月曾發表網誌,感謝 Google 提供有關惡意利用 ITP 來追踪用戶的報告,相信所指的就是昨日公開的報告。

    Safari 的 ITP 原意是幫助用戶防止被網站追踪,不過因為漏洞反而幫助人追踪用戶。
    Safari 的 ITP 原意是幫助用戶防止被網站追踪,不過因為漏洞反而幫助人追踪用戶。

    ITP 是 Apple 在 2017 年 macOS 更新時引入 Safari 的私隱保護功能,用來限制以「第三方 Cookie 」來進行跨網追踪。所謂第三方 Cookie ,簡單來說就是瀏覽 A 網站時會留下 B 網站的 Cookie ,做法是 A 網站嵌入了來自 B 網絡服務的 Javascript 程式,該些程式會追踪用戶在源網站的行為和瀏覽紀錄,以 Cookie 紀錄下來。用來進行如用戶行為調查、針對性廣告等。常見的第三方 Cookie 就有廣告平台、 Amazon 和 Facebook 等 SDK 。

    Safari 和 Firefox 都早已禁止了這種第三方 Cookie ,而 Google 也在上月公布 Chrome 會在兩年內逐步取消對第三方 Cookie 的支援。而今次 Google 報告指出 Safari 的 ITP 不單無法阻止惡意網站追踪用戶,甚至反而可能洩漏用戶瀏覽紀錄!

    報告指出五種利用 ITP 漏洞可採取的攻擊:

    1. 披露 ITP 清單中的網域;
    2. 識別出個別到訪過的網站;
    3. 透過 ITP pinning 建立持續追踪指紋;
    4. 將網域強制加入 ITP 清單;
    5. 透過 ITP 進行跨網站搜尋攻擊;

    Google 的 Chrome 的保安與私隱的工程總監 Justin Schuh 指 Apple 雖然已經修補了漏洞,不過應該沒有根治問題。因為與 ITP 同類限制第三方 Cookie 功能的缺陷在 Chrome 的 XSS Auditor 也能確認得到,一定要刪除有問題的程式碼才能解決得到,但那對 ITP 來說那是重要的部分,要看 Apple 打算怎樣解決問題。

    您會感興趣的內容

    相關文章