Private Browsing 2.0 de WebKit

xguru · 2024-07-17T11:07:02+09:00

Lorsqu’en 2005 WebKit a inventé Private Browsing (navigation privée), l’objectif était de protéger la navigation de l’utilisateur contre les autres personnes partageant le même appareil Un mode a été créé pour que l’utilisateur ne laisse aucune trace locale persistante de sa navigation, et tous les autres navigateurs ont fini par proposer la même fonctionnalité. On parle aussi de « navigation éphémère » Depuis Safari 1.0 en 2003, Safari applique à toute la navigation une prévention du suivi intersites via sa politique de cookies, et la protection de la vie privée a été progressivement renforcée au cours des 20 dernières années D’autres navigateurs bien connus n’ont pas été très rapides à suivre cette avance en matière de prévention du suivi, mais des progrès existent Apple estime que les utilisateurs ne devraient pas être suivis sur le Web à leur insu ni sans leur consentement Le fait d’entrer en Private Browsing est un signal fort que l’utilisateur souhaite la meilleure protection possible contre les atteintes à la vie privée tout en continuant à profiter du Web Maintenir un mode de protection de la vie privée comme le mode Incognito de Chrome comme un simple mode temporaire, au sens défini en 2005, ne suffit plus Les utilisateurs attendent davantage et méritent de l’obtenir Safari 17.0 a ajouté à Private Browsing un niveau entièrement nouveau de protections de la vie privée, ensuite encore renforcé dans les versions 17.2 et 17.5 Si l’utilisateur l’active, l’ensemble de ces nouvelles protections est aussi disponible dans la navigation Safari classique Ce travail améliore fortement la confidentialité sur le Web et vise à établir un nouveau standard industriel de ce que devrait être Private Browsing Résumé des fonctionnalités Enhanced Private Browsing de Safari Protections et mécanismes de défense introduits dans Safari 17.0 Prévention du suivi des liens Blocage des chargements réseau de trackers connus, y compris ceux dissimulés via des CNAME Protection avancée contre le fingerprinting Les extensions pouvant accéder aux sites web ou à l’historique de navigation sont désactivées par défaut Protections et mécanismes de défense supplémentaires ajoutés à tous les modes de navigation Limitation de la durée de vie des cookies définis depuis des adresses IP tierces dissimulées SessionStorage partitionné URL blob partitionnées (à partir de Safari 17.2) Web AdAttributionKit (anciennement Private Click Measurement) a également été étendu pour remplacer les paramètres de suivi dans les URL Cela aide aussi les développeurs à comprendre les performances des campagnes marketing, y compris en Private Browsing Le risque de casser la compatibilité des sites web et les moyens de l’atténuer Il existe de nombreuses idées pour protéger la vie privée sur le Web, mais malheureusement beaucoup d’entre elles peuvent nuire à l’expérience utilisateur Comme pour les protections de sécurité dans la vie réelle, il faut trouver un équilibre Le nouveau Private Browsing pousse la protection aussi loin que possible tout en essayant de ne jamais casser les sites web Mais il existe un risque que certaines parties de certains sites ne fonctionnent pas Pour y remédier, Safari fournit aux utilisateurs un moyen de réduire la protection de la vie privée site par site Ces changements de protection ne sont mémorisés que pendant la navigation sur le site Cette option est un dernier recours lorsqu’une page web devient inutilisable à cause des protections de confidentialité Sur iOS, iPadOS et visionOS, aller dans Réglages > Apps > Safari > Avancé > Protection avancée contre le suivi et le fingerprinting, puis activer « Toute navigation » Sur macOS, aller dans Safari > Réglages > Avancé, puis activer « Utiliser la protection avancée contre le suivi et le fingerprinting pour toute navigation » Prévention du suivi des liens Safari supprime les paramètres de requête et fragments d’URL afin de rendre plus difficile le suivi de l’activité de l’utilisateur entre les sites Les paramètres de requête utilisés pour un suivi large au niveau utilisateur/clic sont supprimés avant la transmission réseau Les paramètres utilisés pour l’attribution de campagne sont conservés Les scripts tiers sur le site de destination qui tentent d’accéder à l’URL complète ne voient qu’une URL sans paramètres de requête ni fragment Web AdAttributionKit en Private Browsing Web AdAttributionKit est la manière dont les annonceurs, sites web et apps peuvent implémenter l’attribution publicitaire et la mesure des clics dans un cadre respectueux de la vie privée En Private Browsing, il fonctionne avec certaines restrictions Il est limité à l’onglet Private Browsing individuel et transmet l’attribution lors d’un clic sur un lien ouvrant un nouvel onglet Lorsque l’onglet est fermé, les requêtes d’attribution en attente sont abandonnées Blocage des chargements réseau vers des trackers connus Safari bloque les chargements réseau vers des trackers connus à l’aide d’un bloqueur de contenu activé automatiquement Il est compilé à partir des données de DuckDuckGo et des règles de filtrage EasyPrivacy d’EasyList La plupart des publicités sont volontairement autorisées à continuer à se charger Private Browsing bloque aussi les requêtes réseau dissimulées vers des domaines de suivi masqués via un camouflage CNAME ou par dissimulation derrière une adresse IP tierce Améliorations de la confidentialité réseau Private Browsing ajoute pour tous les utilisateurs les protections suivantes : Protection des requêtes DNS via du DNS chiffré Proxy des ressources HTTP non chiffrées afin de protéger contre les attaquants présents sur le réseau local Les abonnés iCloud+ peuvent activer iCloud Private Relay pour bénéficier en plus de : Une session distincte pour chaque onglet Private Browsing Une protection de la confidentialité de localisation par défaut Un avertissement avant la divulgation de l’adresse IP Extensions dans Private Browsing Les extensions pouvant accéder aux données des sites web et à l’historique de navigation sont désactivées par défaut L’utilisateur peut néanmoins choisir d’autoriser l’exécution d’extensions en Private Browsing Les extensions qui n’accèdent ni au contenu des pages web ni à l’historique de navigation restent activées par défaut en Private Browsing si elles sont activées dans Safari Protection avancée contre le fingerprinting À mesure que le suivi avec état est limité, de nombreux trackers se tournent vers le fingerprinting Types de fingerprinting : Fingerprinting d’appareil : basé sur les caractéristiques de l’appareil comme le matériel, l’OS, le navigateur, etc. Fingerprinting réseau et géolocalisation : basé sur la manière dont l’utilisateur se connecte à Internet et sur les moyens de déduire sa localisation Fingerprinting des préférences utilisateur : basé sur les réglages de l’utilisateur comme le mode sombre/clair, la locale, l’ajustement de taille des polices, la taille de fenêtre, etc. Fingerprinting comportemental : détection de schémas comportementaux comme l’usage du pointeur de souris ou la vitesse de saisie Fingerprinting des caractéristiques utilisateur : identification de caractéristiques telles que centres d’intérêt, âge ou état de santé La stabilité d’une empreinte est mise à l’épreuve au fil du temps par des éléments qui évoluent Problèmes de confidentialité liés au fingerprinting : suivi intersites reconnaissance d’un utilisateur sur un site donné unicité d’un visiteur sur un site donné Le suivi intersites et la reconnaissance d’un utilisateur sur un site donné sont des problèmes de confidentialité que le navigateur doit résoudre Approche de Safari : Rendre l’empreinte unique par site et générer une nouvelle empreinte unique à chaque suppression des données Masquer l’adresse IP à l’aide d’un proxy multi-sauts Limiter le nombre d’API web pouvant servir au fingerprinting Injecter du bruit dans les valeurs renvoyées par les API web Du bruit est injecté dans 2D Canvas, WebGL et Web Audio API, et les résultats des API liées aux métriques de fenêtre/écran sont figés pour rendre le fingerprinting plus difficile Il ne faut pas ajouter au Web des API pouvant servir au fingerprinting, comme Topics API Avec les API web existantes, il est déjà difficile de limiter les possibilités de fingerprinting Il est important de ne pas aggraver le problème avec de nouvelles API propices au fingerprinting Raisons de l’opposition à Topics API introduite dans Chrome : Le navigateur déduit les centres d’intérêt de l’utilisateur et les transmet aux annonceurs L’utilisateur n’est pas informé à l’avance des sujets qui seront exposés Même de simples combinaisons d’intérêts peuvent être utilisées pour profiler et réidentifier un utilisateur Améliorations de la confidentialité dans les deux modes de navigation Les défenses contre les adresses IP tierces dissimulées, ainsi que le partitionnement de SessionStorage et des URL Blob, sont activés par défaut aussi bien en navigation classique qu’en Private Browsing ITP limite à 7 jours la durée de vie des cookies provenant de réponses issues d’adresses IP tierces dissimulées Depuis Safari 16.1, le Session Storage intersites est partitionné par site web first-party Depuis Safari 17.2, les URL Blob intersites sont partitionnées par site web first-party, et les tiers ne peuvent plus utiliser les URL Blob du first-party Établir un standard industriel Les protections de confidentialité de Safari 17.0, 17.2 et 17.5 définissent une nouvelle référence pour la protection des utilisateurs Apple espère que tous les utilisateurs de Safari et le Web dans son ensemble bénéficieront de ce travail

(webkit.org)

6 points par xguru 2024-07-17 | 1 commentaires | Partager sur WhatsApp

Lorsqu’en 2005 WebKit a inventé Private Browsing (navigation privée), l’objectif était de protéger la navigation de l’utilisateur contre les autres personnes partageant le même appareil
Un mode a été créé pour que l’utilisateur ne laisse aucune trace locale persistante de sa navigation, et tous les autres navigateurs ont fini par proposer la même fonctionnalité. On parle aussi de « navigation éphémère »
Depuis Safari 1.0 en 2003, Safari applique à toute la navigation une prévention du suivi intersites via sa politique de cookies, et la protection de la vie privée a été progressivement renforcée au cours des 20 dernières années
D’autres navigateurs bien connus n’ont pas été très rapides à suivre cette avance en matière de prévention du suivi, mais des progrès existent
Apple estime que les utilisateurs ne devraient pas être suivis sur le Web à leur insu ni sans leur consentement
- Le fait d’entrer en Private Browsing est un signal fort que l’utilisateur souhaite la meilleure protection possible contre les atteintes à la vie privée tout en continuant à profiter du Web
- Maintenir un mode de protection de la vie privée comme le mode Incognito de Chrome comme un simple mode temporaire, au sens défini en 2005, ne suffit plus
- Les utilisateurs attendent davantage et méritent de l’obtenir
Safari 17.0 a ajouté à Private Browsing un niveau entièrement nouveau de protections de la vie privée, ensuite encore renforcé dans les versions 17.2 et 17.5
- Si l’utilisateur l’active, l’ensemble de ces nouvelles protections est aussi disponible dans la navigation Safari classique
- Ce travail améliore fortement la confidentialité sur le Web et vise à établir un nouveau standard industriel de ce que devrait être Private Browsing

Résumé des fonctionnalités Enhanced Private Browsing de Safari

Protections et mécanismes de défense introduits dans Safari 17.0
- Prévention du suivi des liens
- Blocage des chargements réseau de trackers connus, y compris ceux dissimulés via des CNAME
- Protection avancée contre le fingerprinting
- Les extensions pouvant accéder aux sites web ou à l’historique de navigation sont désactivées par défaut
Protections et mécanismes de défense supplémentaires ajoutés à tous les modes de navigation
- Limitation de la durée de vie des cookies définis depuis des adresses IP tierces dissimulées
- SessionStorage partitionné
- URL blob partitionnées (à partir de Safari 17.2)
Web AdAttributionKit (anciennement Private Click Measurement) a également été étendu pour remplacer les paramètres de suivi dans les URL
Cela aide aussi les développeurs à comprendre les performances des campagnes marketing, y compris en Private Browsing

Le risque de casser la compatibilité des sites web et les moyens de l’atténuer

Il existe de nombreuses idées pour protéger la vie privée sur le Web, mais malheureusement beaucoup d’entre elles peuvent nuire à l’expérience utilisateur
Comme pour les protections de sécurité dans la vie réelle, il faut trouver un équilibre
Le nouveau Private Browsing pousse la protection aussi loin que possible tout en essayant de ne jamais casser les sites web
Mais il existe un risque que certaines parties de certains sites ne fonctionnent pas
Pour y remédier, Safari fournit aux utilisateurs un moyen de réduire la protection de la vie privée site par site
Ces changements de protection ne sont mémorisés que pendant la navigation sur le site
Cette option est un dernier recours lorsqu’une page web devient inutilisable à cause des protections de confidentialité
Sur iOS, iPadOS et visionOS, aller dans Réglages > Apps > Safari > Avancé > Protection avancée contre le suivi et le fingerprinting, puis activer « Toute navigation »
Sur macOS, aller dans Safari > Réglages > Avancé, puis activer « Utiliser la protection avancée contre le suivi et le fingerprinting pour toute navigation »

Prévention du suivi des liens

Safari supprime les paramètres de requête et fragments d’URL afin de rendre plus difficile le suivi de l’activité de l’utilisateur entre les sites
Les paramètres de requête utilisés pour un suivi large au niveau utilisateur/clic sont supprimés avant la transmission réseau
Les paramètres utilisés pour l’attribution de campagne sont conservés
Les scripts tiers sur le site de destination qui tentent d’accéder à l’URL complète ne voient qu’une URL sans paramètres de requête ni fragment

Web AdAttributionKit en Private Browsing

Web AdAttributionKit est la manière dont les annonceurs, sites web et apps peuvent implémenter l’attribution publicitaire et la mesure des clics dans un cadre respectueux de la vie privée
En Private Browsing, il fonctionne avec certaines restrictions
- Il est limité à l’onglet Private Browsing individuel et transmet l’attribution lors d’un clic sur un lien ouvrant un nouvel onglet
- Lorsque l’onglet est fermé, les requêtes d’attribution en attente sont abandonnées

Blocage des chargements réseau vers des trackers connus

Safari bloque les chargements réseau vers des trackers connus à l’aide d’un bloqueur de contenu activé automatiquement
Il est compilé à partir des données de DuckDuckGo et des règles de filtrage EasyPrivacy d’EasyList
La plupart des publicités sont volontairement autorisées à continuer à se charger
Private Browsing bloque aussi les requêtes réseau dissimulées vers des domaines de suivi masqués via un camouflage CNAME ou par dissimulation derrière une adresse IP tierce

Améliorations de la confidentialité réseau

Private Browsing ajoute pour tous les utilisateurs les protections suivantes :
- Protection des requêtes DNS via du DNS chiffré
- Proxy des ressources HTTP non chiffrées afin de protéger contre les attaquants présents sur le réseau local
Les abonnés iCloud+ peuvent activer iCloud Private Relay pour bénéficier en plus de :
- Une session distincte pour chaque onglet Private Browsing
- Une protection de la confidentialité de localisation par défaut
- Un avertissement avant la divulgation de l’adresse IP

Extensions dans Private Browsing

Les extensions pouvant accéder aux données des sites web et à l’historique de navigation sont désactivées par défaut
L’utilisateur peut néanmoins choisir d’autoriser l’exécution d’extensions en Private Browsing
Les extensions qui n’accèdent ni au contenu des pages web ni à l’historique de navigation restent activées par défaut en Private Browsing si elles sont activées dans Safari

Protection avancée contre le fingerprinting

À mesure que le suivi avec état est limité, de nombreux trackers se tournent vers le fingerprinting
Types de fingerprinting :
- Fingerprinting d’appareil : basé sur les caractéristiques de l’appareil comme le matériel, l’OS, le navigateur, etc.
- Fingerprinting réseau et géolocalisation : basé sur la manière dont l’utilisateur se connecte à Internet et sur les moyens de déduire sa localisation
- Fingerprinting des préférences utilisateur : basé sur les réglages de l’utilisateur comme le mode sombre/clair, la locale, l’ajustement de taille des polices, la taille de fenêtre, etc.
- Fingerprinting comportemental : détection de schémas comportementaux comme l’usage du pointeur de souris ou la vitesse de saisie
- Fingerprinting des caractéristiques utilisateur : identification de caractéristiques telles que centres d’intérêt, âge ou état de santé
La stabilité d’une empreinte est mise à l’épreuve au fil du temps par des éléments qui évoluent
Problèmes de confidentialité liés au fingerprinting :
1. suivi intersites
2. reconnaissance d’un utilisateur sur un site donné
3. unicité d’un visiteur sur un site donné
Le suivi intersites et la reconnaissance d’un utilisateur sur un site donné sont des problèmes de confidentialité que le navigateur doit résoudre
Approche de Safari :
- Rendre l’empreinte unique par site et générer une nouvelle empreinte unique à chaque suppression des données
- Masquer l’adresse IP à l’aide d’un proxy multi-sauts
- Limiter le nombre d’API web pouvant servir au fingerprinting
- Injecter du bruit dans les valeurs renvoyées par les API web
Du bruit est injecté dans 2D Canvas, WebGL et Web Audio API, et les résultats des API liées aux métriques de fenêtre/écran sont figés pour rendre le fingerprinting plus difficile

Il ne faut pas ajouter au Web des API pouvant servir au fingerprinting, comme Topics API

Avec les API web existantes, il est déjà difficile de limiter les possibilités de fingerprinting
Il est important de ne pas aggraver le problème avec de nouvelles API propices au fingerprinting
Raisons de l’opposition à Topics API introduite dans Chrome :
- Le navigateur déduit les centres d’intérêt de l’utilisateur et les transmet aux annonceurs
- L’utilisateur n’est pas informé à l’avance des sujets qui seront exposés
- Même de simples combinaisons d’intérêts peuvent être utilisées pour profiler et réidentifier un utilisateur

Améliorations de la confidentialité dans les deux modes de navigation

Les défenses contre les adresses IP tierces dissimulées, ainsi que le partitionnement de SessionStorage et des URL Blob, sont activés par défaut aussi bien en navigation classique qu’en Private Browsing
ITP limite à 7 jours la durée de vie des cookies provenant de réponses issues d’adresses IP tierces dissimulées
Depuis Safari 16.1, le Session Storage intersites est partitionné par site web first-party
Depuis Safari 17.2, les URL Blob intersites sont partitionnées par site web first-party, et les tiers ne peuvent plus utiliser les URL Blob du first-party

Établir un standard industriel

Les protections de confidentialité de Safari 17.0, 17.2 et 17.5 définissent une nouvelle référence pour la protection des utilisateurs
Apple espère que tous les utilisateurs de Safari et le Web dans son ensemble bénéficieront de ce travail

1 commentaires

brainer 2024-07-17

https://youtu.be/0HjDpPnxcP0?si=x0JZN2Cxxy0j3XiT