关于隐私权设置,Facebook和苹果在“杠”的同时,Mozilla可遭殃了! - 嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体,4hou.com

关于隐私权设置,Facebook和苹果在“杠”的同时,Mozilla可遭殃了!

lucywang 新闻 2021-04-13 10:50:00
收藏

导语:关于隐私权设置,Facebook和苹果在“杠”的同时,Mozilla可遭殃了!

Apple_logo.jpg

Mozilla的志愿者们最近被网上商家和营销人员的请求所淹没,他们要求将自己的域名添加到所谓的公共后缀列表(PSL)中。

PSL 是由 Mozilla 创建的公共资源,官网是 publicsuffix.org。它由两部分组成:一部分是由 ICANN(The Internet Corporation for Assigned Names and Numbers,互联网名称与数字地址分配机构)提供的 TLD(Top Level Domain,顶级域名)列表;一部分是由个人或机构提供的 PRIVATE 列表。完整的 PSL 可以从这个地址获得。Public Suffix List (PSL)是Mozilla社区志愿者的一项倡议,旨在维护顶级域(tld)的列表,并将其作为一个域来处理,以防止不同域之间的cookie混合。那是因为在域级别设置的Cookie可以用来启用它的所有子域,即使这些子域彼此不相关或不属于同一个组织。

虽然由Mozilla的开源社区志愿者维护,但该列表受到了各种应用程序和项目的青睐,并帮助它们区分单独的TLD/suffix 和子域名。

然而,在Facebook建议将其作为更新的隐私增强功能的补救措施后,苹果最近推出的隐私增强功能导致在线营销人员向Mozilla提出大量请求,要求将其域名添加到列表中。

随着iOS14.5的正式上线,Facebook和苹果已经“杠”上了

最近,苹果在iOS、iPadOS和tvOS的14.5版中引入了一项新的隐私保护功能,要求用户向跟踪他们的应用程序或网站授予权限。

通过收集特定数据来跟踪用户的应用程序和网站也需要遵守苹果的App tracking Transparency (ATT)框架。

1. 1.jpg

iOS 14.5用户被提示通过cookie向跟踪他们的应用程序或网站授予权限

苹果ATT框架引入的政策禁止数据收集和共享,除非用户明确选择在运行iOS 14.5的设备上启用跟踪(cookie)。

但是,随着越来越多的用户选择退出苹果设备上的追踪,在线广告网络和商店在提供广告或从用户那里收集个性化和分析数据方面将受到限制,从而影响那些以投放广告为生的企业的利益。

由于Facebook的分析平台Facebook Pixel也受到了苹果的这些变化的影响,Facebook提出了一些在线企业可以使用的变通方案。

对于那些有兴趣投放针对转换事件优化的广告的企业,Facebook的建议是让企业验证他们的域名。

但Facebook补充说,他们也会尊重Mozilla的公共后缀列表(PSL)中包含的域名。

“如果托管域(eTLD)在公共后缀列表中注册,这将使企业能够验证他们的eTLD+1域。例如,如果myplatform.com是公共后缀列表的注册域名,那么带有子域名jasper.myplatform.com的广告商jasper将能够验证jasper.myplatform.com。”

然而,据Mozilla称,该页面的早期版本让Facebook错误地暗示PSL是一种潜在的补救措施。

简单地说,存在PSL是为了使来自不同域的cookie不会被混淆,或者被本不应该访问它们的域访问。

这是因为在互联网上没有权威的方法来知道什么是合适的顶级域(TLD),什么是子域。

一个示例是.uk和.co.uk TLD扩展名。 co.uk不是一个单独的TLD的“.uk”(子)域。因此,为* .uk域设置的cookie不应由* .co.uk域访问。

而且,这也是PSL的最初目的,它帮助应用程序、web浏览器和服务解析PSL,区分什么是单独的TLD,什么只是子域。

例如,web浏览器将不接受服务器为PSL上的任何域设置的cookie,因为“域”现在被视为公共后缀或TLD。

PSL的最新副本的一个片段如下所示:

2.jpeg

Mozilla公共后缀列表(PSL)中的一个片段

Mozilla的PSL志愿者正忙于处理请求

就在Facebook宣布将把PSL中的域名作为其域验证过程的一部分之后不久,在线商店的所有者们蜂拥向旧PSL的维护者们提出了添加域名的请求。

在GitHub上出现了多个问题线程,PSL维护者提出了他们的担忧,甚至拒绝了请求。

由于采用了苹果公司的ATT框架,在线广告商(例如使用Facebook基于像素的跟踪机制来衡量转化次数的在线广告商)可能会发现其Cookie被阻止。

在某些情况下,这可能会极大地影响(降低)广告定位和性能衡量的有效性,主要是针对电子商务平台,它允许每个店面有许多不同的子域名。

例如,booksforcheap.shopnow.com, familypizza.shopnow.com, midnightcookies.shopnow.com,等等。

Facebook工程师Benjamin Savage以Etsy及其商户为例,解释到目前为止Facebook还无法支持PCM:

“我们现在还不能支持这些商家使用‘私人点击量( Private Click Measurement)’。根据目前的编写方式,所有在facebook.com上运行并直接连接etsy.com任何部分的广告都将有资格从etsy.com的任何部分获得转换。不幸的是,对于在etsy.com上销售商品的单个商人来说,这并不是一个特别有用的统计数据。”

在本例中,将etsy.com添加到PSL将确保子域被视为单独的属性(起源),并允许不同的商店所有者单独收集指标,例如特定于其商店的 Private Click Measurement(PCM)。

苹果公司2021年2月推送了iOS14.5 Beta 版,并且在其中引入一种叫做私有点击测量(Private Click Measurement)的新技术。这是给在线广告商一种私下衡量广告的方法。

但是,这并不是PSL的初衷。

Mozilla的一位代表告诉BleepingComputer:

“公共后缀列表是由Mozilla在许多年前创建的,用来识别那些实际上不是独立的域名,而是像co.uk或tokyo.jp这样的后缀的域名。”

如今,维护人员仅仅是来自网络社区的志愿者。

Mozilla发言人告诉BleepingComputer:

“依赖这个数据集的人和项目数量惊人,错误地将一个域名添加到列表中常常会导致未来意想不到的问题。”

PSL志愿者和gTLD行业专家Jothan Frakes告诉BleepingComputer ,PSL是一群志愿者,他们正在帮助维护广泛使用的资源,并且不想被一堆为了商业利益的请求所淹没,首先:

1.在PSL,志愿者通常会收到新提交者的第一个请求,然后提出问题,最后再在需要更改后进行完善,因此每个请求可能要花费一定的时间。

2.验证过程也需要一些时间。如果某人不明白自己的要求是什么,那么在第一个请求中,他们可能会无意中破坏他们预期的cookie行为——没有sla或其他相关的东西,除了确保一个人实际上是一个域名的运营商外,他们通过检查DNS来获取与pull请求相关的特定记录。

所有这些都可能给PSL志愿者社区带来相当大的负担。

争夺行业主导权才是隐私设置的终极目标

早在2020年6月,库克在苹果开发者大会上就宣布了一个计划。为了保护用户隐私,会修改iOS 14系统中广告平台获取IDFA码的规则,会明确要求用户选择是否允许应用程序中的广告跟踪。

随后Facebook随即就表示了强烈不满,这些信息的缺失会对广告投放效果造成严重的冲击。不过库克还认为,这些利益至上的业务导致了错误信息泛滥、不信任增多,甚至激发了现实世界中的暴力。

根据Facebook的内部测试,从移动广告安装广告系列中删除个性化设置后广告商的收入会下降50%以上。

此后,两家公司不断地就互相“杠”了起来。

但因为开发者需要一段时间更新技术和相关系统,苹果不断推迟更改IDFA规则的时间点,直到近期的iOS 14.5测试。

iOS14.5正式版本上线后,开发者或公司想留在iOS系统上就必须适应新的IDFA规则,更新SDK,配合苹果SKadnetwork进行技术对接。

iOS14.5系统上线后,应用软件和运营商要访问用户的IDFA,手机会弹出提醒窗口,让用户选择是否允许跟踪自己的信息和数据。如果用户选择禁止信息跟踪,企业就无法获得手机的IDFA码,取而代之的是一连串无意义的0。

苹果向iOS上的开发者发出警告:不要尝试绕过即将推出的应用跟踪透明度隐私功能,否则应用将被下架。

而在Facebook看来,用户隐私只是幌子,苹果谋求的是行业主导地位,争夺行业主导权才是隐私设置的终极目标。

本文翻译自:https://www.bleepingcomputer.com/news/security/mozilla-flooded-with-requests-after-apple-privacy-changes-hit-facebook/如若转载,请注明原文地址:
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论