https://bit.ly/38DvCG3
防不胜防?AdGuard公开逾6,000款秘密追踪器
AdGuard公布滥用CNAME(Canonical Name)纪录的第三方追踪服务器名单,让其它封锁程式
得以把数千款秘密追踪器列入过滤名单中
文/陈晓莉 | 2021-03-08发表
https://cdn.adguard.com/public/Adguard/Blog/cname_browser.jpg
https://cdn.adguard.com/public/Adguard/Blog/cname_cookies.jpg
AdGuard表示,浏览器无法侦测到滥用CNAME(Canonical Name)纪录的秘密追踪器,使得许
多第三方追踪服务器可取得第一方网站才能获得的使用者Cookie,从使用者名称、联络资料
到使用期间认证Cookie等。(图片来源/AdGuard)
专门开发广告封锁与隐私保护机制的AdGuard,日前借由GitHub释出[1]逾6,000款秘密追踪
器的名单,开放第三方利用该名单来阻止那些滥用CNAME(Canonical Name)纪录的秘密追
踪器,同时宣称市场上超过9成的浏览器用户,都受到这些秘密追踪器的跟踪。
CNAME为网域名称系统中的资源纪录,用来将网域名称的别名映射至标准名称,最常被应用
在有多种服务的网站,例如它会把ftp.example.com与blog.example.com等子网域都指向exa
mple.com,一旦变更了IP位址,只要更改example.com的IP即可,此外,CNAME纪录只会指向
网域名称,而非IP位址,该特性造就了AdGuard所描述的秘密追踪器。
AdGuard说明[2],为了创造无缝的互动能力,浏览器信任子网域就像信任主要网域一样,然
而,有些第三方的追踪服务器却伪装成可靠网站的子网域,在取得使用者的Cookie上,扮演
与主要网域同样的角色,浏览器无法侦测这些滥用CNAME纪录的追踪服务器,使得第三方追
踪服务器可取得第一方网站才能获得的使用者Cookie,从使用者名称、联络资料到使用期间
认证Cookie等。
一群研究人员也在今年2月出版了一份相关的研究报告,名为“大规模分析基于DNS的追踪逃
避”(Large-scale Analysis of DNS-based Tracking Evasion)[3],指出有多达95%的网
站都部署了这类的追踪器而外泄用户Cookie。
AdGuard表示,浏览器本身无从避免CNAME伪装追踪,但内容封锁器却可以,不管是AdGuard
、AdGuard DNS或是Firefox上的扩充程式uBO,都能封锁这类的秘密追踪器,然而,由于Chr
ome、Chromium与Safari等浏览器的限制,一般的扩充程式无法动态解析主机名称并删除追
踪器,它们被侷限在过滤名单上,也难以想像有人会扫描整个网站以找出以CNAME遮掩的追
踪器。
于是,AdGuard提供了含有逾6,000个秘密追踪器的列表,供其它第三方封锁程式得以将它们
嵌入过滤名单中,也承诺未来将会持续更新该名单。
即便如此,由于Safari与Chrome浏览器在封锁规则数量上,各有5万及15万的限制,AdGuard
认为,这些数量的限制迟早会不敷使用,而且可能会比想像中更早到来。
参考资料:
[1] https://github.com/AdguardTeam/cname-trackers
[2] https://adguard.com/en/blog/cname-tracking.html
[3] https://arxiv.org/abs/2102.09301
懒人包:
1. 许多网页追踪代码想要规避浏览器的限制来取得Cookie,借此追踪使用者的足迹。
2. 透过网站DNS的帮忙,真正提供追踪服务的网站可以伪装成一般网站的子网域,以此骗取
浏览器信任,存取cookie。
3. 浏览器会信任这种情况,是因为一般网站的cookie让子网域取得对使用者比较方便。例
如你在google.com登入过后,登入的cookie能被drive.google.com读取到,使用者就不用再
登入一次。
4. Chromium系的附加元件挡不住,伟哉Google,ㄏㄏ
5. Firefox的附加元件就挡得住。虽然Firefox越改越烂==