https://bit.ly/38DvCG3 防不胜防？AdGuard公开逾6,000款秘密追踪器 AdGuard公布滥用CNAME（Canonical Name）纪录的第三方追踪伺服器名单，让其它封锁程式 得以把数千款秘密追踪器列入过滤名单中 文/陈晓莉 | 2021-03-08发表 https://cdn.adguard.com/public/Adguard/Blog/cname_browser.jpg https://cdn.adguard.com/public/Adguard/Blog/cname_cookies.jpg AdGuard表示，浏览器无法侦测到滥用CNAME（Canonical Name）纪录的秘密追踪器，使得许 多第三方追踪伺服器可取得第一方网站才能获得的使用者Cookie，从使用者名称、联络资料 到使用期间认证Cookie等。（图片来源／AdGuard） 专门开发广告封锁与隐私保护机制的AdGuard，日前藉由GitHub释出[1]逾6,000款秘密追踪 器的名单，开放第三方利用该名单来阻止那些滥用CNAME（Canonical Name）纪录的秘密追 踪器，同时宣称市场上超过9成的浏览器用户，都受到这些秘密追踪器的跟踪。 CNAME为网域名称系统中的资源纪录，用来将网域名称的别名映射至标准名称，最常被应用 在有多种服务的网站，例如它会把ftp.example.com与blog.example.com等子网域都指向exa mple.com，一旦变更了IP位址，只要更改example.com的IP即可，此外，CNAME纪录只会指向 网域名称，而非IP位址，该特性造就了AdGuard所描述的秘密追踪器。 AdGuard说明[2]，为了创造无缝的互动能力，浏览器信任子网域就像信任主要网域一样，然 而，有些第三方的追踪伺服器却伪装成可靠网站的子网域，在取得使用者的Cookie上，扮演 与主要网域同样的角色，浏览器无法侦测这些滥用CNAME纪录的追踪伺服器，使得第三方追 踪伺服器可取得第一方网站才能获得的使用者Cookie，从使用者名称、联络资料到使用期间 认证Cookie等。 一群研究人员也在今年2月出版了一份相关的研究报告，名为「大规模分析基於DNS的追踪逃 避」（Large-scale Analysis of DNS-based Tracking Evasion）[3]，指出有多达95%的网 站都部署了这类的追踪器而外泄用户Cookie。 AdGuard表示，浏览器本身无从避免CNAME伪装追踪，但内容封锁器却可以，不管是AdGuard 、AdGuard DNS或是Firefox上的扩充程式uBO，都能封锁这类的秘密追踪器，然而，由於Chr ome、Chromium与Safari等浏览器的限制，一般的扩充程式无法动态解析主机名称并删除追 踪器，它们被局限在过滤名单上，也难以想像有人会扫描整个网站以找出以CNAME遮掩的追 踪器。 於是，AdGuard提供了含有逾6,000个秘密追踪器的列表，供其它第三方封锁程式得以将它们 嵌入过滤名单中，也承诺未来将会持续更新该名单。 即便如此，由於Safari与Chrome浏览器在封锁规则数量上，各有5万及15万的限制，AdGuard 认为，这些数量的限制迟早会不敷使用，而且可能会比想像中更早到来。 参考资料： [1] https://github.com/AdguardTeam/cname-trackers [2] https://adguard.com/en/blog/cname-tracking.html [3] https://arxiv.org/abs/2102.09301 懒人包： 1. 许多网页追踪代码想要规避浏览器的限制来取得Cookie，藉此追踪使用者的足迹。 2. 透过网站DNS的帮忙，真正提供追踪服务的网站可以伪装成一般网站的子网域，以此骗取 浏览器信任，存取cookie。 3. 浏览器会信任这种情况，是因为一般网站的cookie让子网域取得对使用者比较方便。例 如你在google.com登入过後，登入的cookie能被drive.google.com读取到，使用者就不用再 登入一次。 4. Chromium系的附加元件挡不住，伟哉Google，ㄏㄏ 5. Firefox的附加元件就挡得住。虽然Firefox越改越烂== --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 111.71.107.82 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Browsers/M.1615231498.A.EB3.html