Private Browsing 2.0 do WebKit

 (webkit.org)
6 pontos por xguru 2024-07-17 | 1 comentários | Compartilhar no WhatsApp
  • Quando inventou o Private Browsing (modo de navegação privada) em 2005, o objetivo era proteger a navegação do usuário de outras pessoas que compartilham o mesmo dispositivo
  • Foi criado um modo em que o usuário não deixa rastros locais permanentes da navegação, e no fim todos os outros navegadores passaram a oferecer o mesmo recurso. Isso também é chamado de "ephemeral browsing"
  • Desde o Safari 1.0, em 2003, a prevenção de rastreamento entre sites foi aplicada a toda a navegação no Safari por meio da política de cookies, e a proteção de privacidade vem sendo fortalecida gradualmente ao longo dos últimos 20 anos
  • Outros navegadores famosos não foram tão rápidos em seguir nossa liderança em prevenção de rastreamento, mas houve progresso
  • A Apple acredita que os usuários não devem ser rastreados na web sem saber e sem consentir
    • Entrar no Private Browsing é um forte sinal de que o usuário quer a melhor proteção possível contra violações de privacidade, sem abrir mão de aproveitar e usar a web
    • Não basta mais manter um modo de privacidade apenas temporário, como o modo anônimo do Chrome, segundo a definição de 2005
    • Os usuários esperam mais e merecem receber mais
  • No Safari 17.0, foi adicionado ao Private Browsing um nível totalmente novo de proteção de privacidade, e isso foi reforçado ainda mais nas versões 17.2 e 17.5
    • Se o usuário ativar, todas essas novas proteções também podem ser usadas na navegação normal do Safari
    • Esse trabalho melhorou significativamente a privacidade na web, e há a esperança de estabelecer um novo padrão da indústria para o que o Private Browsing deve ser

Resumo dos recursos de Enhanced Private Browsing do Safari

  • Proteções e defesas incluídas no Safari 17.0
    • prevenção de rastreamento por links
    • bloqueio de carregamentos de rede de rastreadores conhecidos, inclusive os disfarçados com CNAME
    • proteção avançada contra fingerprinting
    • extensões que acessam sites ou histórico de navegação ficam desativadas por padrão
  • Proteções e defesas adicionais aplicadas a todos os modos de navegação
    • limitação da duração de cookies definidos a partir de endereços IP de terceiros mascarados
    • SessionStorage particionado
    • URLs blob particionadas (a partir do Safari 17.2)
  • Além disso, o Web AdAttributionKit (antes chamado de Private Click Measurement) foi expandido para substituir parâmetros de rastreamento em URLs
  • Isso também ajuda desenvolvedores a entender o desempenho de campanhas de marketing mesmo no Private Browsing

O risco de quebrar a compatibilidade de sites e como isso foi mitigado

  • Existem muitas ideias para proteger a privacidade na web, mas infelizmente várias delas podem prejudicar a experiência do usuário
  • Assim como nas proteções de segurança da vida real, é preciso buscar equilíbrio
  • O novo Private Browsing vai até esse limite tentando nunca quebrar sites
  • Mesmo assim, existe o risco de que partes de alguns sites não funcionem
  • Para lidar com isso, foi dado ao usuário um meio de reduzir a proteção de privacidade por site
  • Essas mudanças nas proteções de privacidade só são lembradas enquanto se navega dentro do site
  • Essa opção é um último recurso quando a proteção de privacidade torna a página inutilizável
  • No iOS, iPadOS e visionOS, vá em Ajustes > Apps > Safari > Avançado > Proteção avançada contra rastreamento e fingerprinting e ative "Toda a navegação"
  • No macOS, vá em Safari > Ajustes > Avançado e ative "Usar proteção avançada contra rastreamento e fingerprinting em toda a navegação"

Prevenção de rastreamento por links

  • O Safari remove parâmetros de consulta e fragmentos da URL para dificultar o rastreamento da atividade do usuário entre sites
  • Parâmetros de consulta usados para rastreamento amplo em nível de usuário/clique são removidos antes da transmissão na rede
  • Parâmetros usados para atribuição de campanha são mantidos
  • Scripts de terceiros no site de destino que tentarem acessar a URL completa verão apenas a URL sem parâmetros de consulta ou fragmento

Web AdAttributionKit no Private Browsing

  • O Web AdAttributionKit é a forma de anunciantes, sites e apps implementarem atribuição de anúncios e medição de cliques de um jeito que preserva a privacidade
  • No Private Browsing, ele funciona com certas restrições
    • é limitado a cada aba individual do Private Browsing, e transfere atribuição para uma nova aba ao clicar em links
    • ao fechar a aba, solicitações de atribuição pendentes são descartadas

Bloqueio de carregamentos de rede de rastreadores conhecidos

  • Usa um bloqueador de conteúdo ativado automaticamente para bloquear carregamentos de rede direcionados a rastreadores conhecidos
  • É compilado usando dados do DuckDuckGo e regras de filtragem EasyPrivacy da EasyList
  • A maioria dos anúncios continua podendo carregar de propósito
  • O Private Browsing também bloqueia solicitações de rede ocultas para domínios de rastreamento mapeados por ocultação com CNAME ou ocultação de endereços IP de terceiros

Melhorias de privacidade de rede

  • O Private Browsing adiciona as seguintes proteções para todos os usuários:
    • protege consultas DNS usando DNS criptografado
    • faz proxy de recursos HTTP não criptografados para proteger contra atacantes na rede local
  • Assinantes do iCloud+ podem ativar o iCloud Private Relay para obter adicionalmente:
    • uso de uma sessão separada para cada aba do Private Browsing
    • privacidade de localização por padrão
    • um aviso antes de expor o endereço IP

Extensões no Private Browsing

  • Extensões que podem acessar dados de sites e histórico de navegação ficam desativadas por padrão
  • Ainda assim, o usuário pode optar por permitir que extensões rodem no Private Browsing
  • Extensões que não acessam conteúdo de páginas nem histórico de navegação ficam ativadas por padrão no Private Browsing se estiverem ativadas no Safari

Proteção avançada contra fingerprinting

  • Com o rastreamento com estado ficando mais limitado, muitos rastreadores migraram para fingerprinting
  • Tipos de fingerprinting:
    • fingerprinting de dispositivo: baseado em características do dispositivo, como hardware, sistema operacional e navegador
    • fingerprinting de rede e geolocalização: baseado na forma de conexão com a internet e em meios de detectar a localização geográfica
    • fingerprinting de configurações do usuário: baseado em estados de configuração do usuário, como modo escuro/claro, localidade, ajuste de tamanho de fonte e tamanho da janela
    • fingerprinting de comportamento do usuário: detecção de padrões de comportamento, como uso do ponteiro do mouse e velocidade de digitação
    • fingerprinting de atributos do usuário: identificação de características como interesses, idade e estado de saúde
  • A estabilidade de um fingerprint é desafiada por elementos que mudam ao longo do tempo
  • Problemas de privacidade do fingerprinting:
    1. rastreamento entre sites
    2. reconhecimento do usuário dentro de um site
    3. unicidade do visitante dentro de um site
  • Rastreamento entre sites e reconhecimento do usuário dentro de um site são problemas de privacidade que o navegador deve resolver
  • Abordagem do Safari:
    • tornar o fingerprint único por site e gerar um novo fingerprint único sempre que os dados forem removidos
    • ocultar o endereço IP usando proxy de múltiplos saltos
    • limitar o número de Web APIs passíveis de fingerprinting
    • injetar ruído nos valores retornados por Web APIs
  • Injeta ruído em 2D Canvas, WebGL e Web Audio API, e fixa os resultados de APIs relacionadas a métricas de janela/tela para dificultar o fingerprinting

APIs passíveis de fingerprinting, como a Topics API, não devem ser adicionadas à web

  • As Web APIs existentes já têm dificuldade em conter a possibilidade de fingerprinting
  • É importante não piorar o problema com novas APIs passíveis de fingerprinting
  • Motivos para se opor à Topics API introduzida no Chrome:
    • o navegador infere os interesses do usuário e os transmite a anunciantes
    • não informa previamente ao usuário quais tópicos serão expostos
    • até combinações simples de interesses podem ser usadas para perfilamento e reidentificação do usuário

Melhorias de privacidade nos dois modos de navegação

  • As defesas contra endereços IP de terceiros mascarados e o particionamento de SessionStorage e URLs Blob ficam ativados por padrão tanto na navegação normal quanto no Private Browsing
  • O ITP limita a 7 dias a validade de cookies em respostas vindas de endereços IP de terceiros mascarados
  • Desde o Safari 16.1, o Session Storage entre sites é particionado por site primário
  • Desde o Safari 17.2, URLs Blob entre sites são particionadas por site primário, e terceiros não podem usar URLs Blob de primeira parte

Definindo um padrão da indústria

  • Os recursos de privacidade do Safari 17.0, 17.2 e 17.5 estabelecem um novo patamar para proteger usuários
  • Espera-se que todos os usuários do Safari e a própria web se beneficiem desse trabalho

Leituras relacionadas