Safari yang diperbarui juga membatasi penyimpanan untuk skrip situs web menjadi satu minggu, dan mencakup penghitung ke situs yang mencoba menghindari deteksi pelacakan dengan menunda pengalihan mereka.
Untuk pengiklan agresif dan penyarang sekarang mengalami kesulitan untuk melangkah. Karena kini harus mencegah situs dari menggunakan login sidik jari atau bahkan keadaan pencegahan anti pelacakan untuk menonton perilaku Anda. Ini juga harus menggagalkan lintas situs permintaan pemalsuan serangan, dan mencegah penggunaan tambahan domain pihak ketiga untuk mengidentifikasi pengguna.
Pemblokiran penuh cookie pihak ketiga oleh safari
Cookie untuk sumber daya lintas situs sekarang diblokir secara default di seluruh papan. Ini adalah peningkatan yang signifikan untuk privasi karena menghilangkan setiap rasa pengecualian atau “sedikit lintas situs Pelacakan diperbolehkan.”
Ini mungkin tampak seperti perubahan yang lebih besar daripada itu. Tapi kami telah menambahkan begitu banyak batasan untuk ITP sejak rilis awal di 2017 bahwa kita sekarang di tempat di mana sebagian besar cookie pihak ketiga sudah diblokir di Safari.
Untuk terus mendukung integrasi lintas-situs, kami mengirimkan API akses penyimpanan dua tahun yang lalu untuk menyediakan sarana untuk diautentikasi komprehensif untuk mendapatkan akses cookie dengan kontrol pengguna wajib. Ini akan melalui proses standar di kelompok komunitas privasi W3C sekarang.
Terlepas dari ukuran perubahan ini, ada manfaat lebih lanjut, seperti yang dieksplorasi di bawah ini.
Paves jalan untuk browser selain safari
Safari terus membuka jalan untuk privasi di web, kali ini sebagai browser mainstream pertama yang sepenuhnya memblokir cookie pihak ketiga secara default. Sejauh yang kami ketahui, hanya Tor browser yang telah menampilkan pemblokiran cookie pihak ketiga secara default sebelum Safari.
Tetapi Brave hanya memiliki beberapa pengecualian yang tertinggal dalam pemblokiran sehingga dalam praktiknya mereka berada di tempat yang baik yang sama. Kami tahu Chrome ingin mengadopsi ini juga dan mereka mengumumkan bahwa mereka akan mengirimkan pada 2022.
Menghapus Statefulness dari pemblokiran cookie oleh Safari
Pemblokiran penuh cookie pihak ketiga menghilangkan statefulness dalam memblokir cookie. Seperti yang dibahas dalam Desember 2019, keadaan internal pelacakan pencegahan dapat berubah menjadi vektor pelacakan.
Pemblokiran cookie pihak ketiga sepenuhnya memastikan tidak ada status ITP yang dapat dideteksi melalui perilaku pemblokiran cookie. Kami ingin sekali lagi berterima kasih kepada Google untuk memulai analisis ini melalui laporan mereka.
Menonaktifkan login fingerprinting
Seperti yang dibahas oleh Yeremia Grossman kembali di 2008 dan Tom Anthony di 2012. Dan didirikan oleh Robin Linus di 2016 sebagai live demo dengan mana Anda dapat menguji browser Anda. Teknik ini memungkinkan sebuah website untuk tak terlihat mendeteksi di mana Anda login dan layak di browser apapun tanpa penuh pemblokiran cookie pihak ketiga.
Karena “global browser state” telah menjadi atas pikiran dalam komunitas privasi web akhir-akhir ini. Kami ingin menunjukkan bahwa cookie sendiri merupakan negara global. Kecuali blok browser atau partisi mereka dalam konteks pihak ketiga, mereka memungkinkan kebocoran Cross-Site pengguna informasi seperti login fingerprinting.
Manfaat tambahan
Selain itu, ada manfaat lebih lanjut untuk memblokir cookie pihak ketiga yang lengkap:
- Menonaktifkan serangan pemalsuan permintaan lintas situs terhadap situs web melalui permintaan pihak ketiga.
- Menghapus kemampuan untuk menggunakan domain pihak ketiga membantu untuk mengidentifikasi pengguna. Pengaturan seperti itu bisa bertahan id bahkan ketika pengguna menghapus data situs web untuk pihak pertama.
- Menyederhanakan hal untuk pengembang. Sekarang semudah mungkin: jika Anda memerlukan akses cookie sebagai pihak ketiga, gunakan API akses penyimpanan.
Bagaimana dengan classifier?
Classifier ITP terus bekerja untuk mendeteksi pelacak bouncing, kolusi Tracker, dan pelacakan dekorasi link.
Panduan pengembang
Jika Anda adalah salah satu dari beberapa situs web yang masih bergantung pada cookie pihak ketiga di Safari dan belum terpengaruh oleh ITP dalam iterasi sebelumnya. Berikut adalah cara bagaimana Anda dapat membuat sesuatu bekerja untuk pengguna:
Opsi 1: OAuth 2,0 otorisasi yang mengautentikasi domain (dalam kasus Anda, pihak ketiga yang mengharapkan cookie) meneruskan token otorisasi ke situs web Anda yang Anda konsumsi dan gunakan untuk membuat sesi masuk pihak pertama dengan server set aman dan HttpOnly cookie.
Opsi 2: API akses penyimpanan dengan mana pihak ketiga dapat meminta izin untuk mendapatkan akses ke cookie pihak pertama.
Opsi 3: Perbaikan kompatibilitas sementara untuk popup, lihat bagian “Perbaiki kompatibilitas sementara: penyimpanan otomatis akses untuk popups” di kami ITP 2,0 blog post. Perbaikan kompatibilitas ini memungkinkan pihak ketiga untuk membuka popup dari situs web Anda dan pada keran atau klik di popup memperoleh akses cookie sementara di bawah halaman pembuka di situs web Anda. Perhatikan bahwa kompatibilitas perbaikan ini akan hilang di masa depan versi Safari sehingga hanya pergi rute ini jika menghemat waktu dan memungkinkan untuk periode transisi anggun.
Cookie memblokir latch mode periode transisi anggun dari Safari
Rilis asli dari ITP menampilkan apa yang kita sebut “cookie memblokir mode kait.” Ini berarti sekali permintaan diblokir dari menggunakan cookies, Semua pengalihan permintaan tersebut juga diblokir dari menggunakan cookies.
Kembali di 2017 kami mendapat permintaan untuk memungkinkan cookie memblokir untuk membuka dan menutup pada pengalihan dan menerapkan perilaku itu. Tetapi dengan penuh pihak ketiga cookie memblokir di tempat, modus kait kembali.
7-hari Cap pada semua script-writeable Storage
Kembali pada 2019 Februari, kami mengumumkan bahwa ITP akan membatasi berakhirnya cookie dari sisi klien sampai tujuh hari. Perubahan tersebut akan digunakan untuk menggunakan cookie pihak ketiga untuk tujuan pelacakan lintas situs.
Namun, seperti banyak diantisipasi, skrip pihak ketiga dipindahkan ke cara lain penyimpanan pihak pertama seperti LocalStorage. Jika Anda telah melihat apa yang disimpan dalam ruang pihak pertama di banyak situs hari ini, itu dikotori dengan data yang ditekan sebagai berbagai bentuk “ID pengguna merek tracker.” Untuk membuat keadaan menjadi lebih buruk, api seperti LocalStorage tidak memiliki fungsi kadaluwarsa sama sekali, yaitu situs web bahkan tidak dapat meminta browser untuk membatasi berapa lama penyimpanan tersebut harus tinggal di sekitar.
Sekarang ITP telah diselaraskan dengan sisa formulir penyimpanan skrip yang ada dengan pembatasan cookie sisi klien yang ada. Menghapus semua penyimpanan skrip situs web setelah tujuh hari penggunaan Safari tanpa interaksi pengguna di situs. Ini adalah formulir penyimpanan yang dapat ditulis skrip yang terpengaruh (mengecualikan beberapa jenis data situs warisan):
- Indexed DB
- LocalStorage
- Media keys
- SessionStorage
- Service Worker registrations
Lintas-situs document. referrer diturunkan ke asal
Semua lintas situs document.referrer
diturunkan ke asalnya. Ini cocok dengan header permintaan lintas situs yang sudah diturunkan.
Deteksi pelacakan pantulan tertunda
Beberapa pelacak telah mulai menunda pengalihan navigasi mereka, mungkin untuk menghindari deteksi pelacakan pantulan ITP. Ini memanifestasikan sebagai halaman web menghilang dan reload tak lama setelah Anda mendarat di atasnya. Kami telah menambahkan logika untuk mencakup pelacakan pantulan tertunda dan mendeteksi mereka seperti Bounce instan.
Menguji situs web Anda
Kami mendorong semua pengembang untuk secara teratur menguji situs web mereka dengan Safari Technology preview (STP) dan beta kami dari iOS, iPadOS, dan macOS. Perubahan utama ITP dan WebKit pada umumnya termasuk dalam beta dan STP, biasanya berbulan-bulan sebelum pengiriman.
Cara mudah untuk tetap berada di depan perubahan adalah menggunakan STP sebagai browser pengembangan harian. Ini memberi Anda akses ke alat pengembang terbaru dan membantu Anda menemukan perilaku tak terduga di situs web Anda dengan setiap rilis. Jika Anda menemukan bug atau kerusakan, silakan mengajukan laporan bug open source.