WebKits Private Browsing 2.0

xguru · 2024-07-17T11:07:02+09:00

Als 2005 Private Browsing erfunden wurde, war das Ziel, das Surfverhalten der Nutzer vor anderen Personen zu schützen, die dasselbe Gerät gemeinsam verwenden Es wurde ein Modus geschaffen, der keine dauerhaften lokalen Spuren des Surfens hinterlässt; schließlich boten auch alle anderen Browser dieselbe Funktion an. Dies wird auch als "ephemeral browsing" bezeichnet Seit Safari 1.0 im Jahr 2003 wurde per Cookie-Richtlinie ein Schutz vor Cross-Site-Tracking auf das gesamte Safari-Surfverhalten angewendet, und in den vergangenen 20 Jahren wurden die Datenschutzmaßnahmen schrittweise verstärkt Andere bekannte Browser folgten bei der Verhinderung von Tracking unserem Vorstoß nicht besonders schnell, aber es gibt Fortschritte Apple ist der Ansicht, dass Nutzer nicht ohne ihr Wissen und ohne Zustimmung im Web verfolgt werden sollten Das Wechseln in Private Browsing ist ein starkes Signal dafür, dass Nutzer beim Schutz vor Eingriffen in ihre Privatsphäre den bestmöglichen Schutz möchten und das Web dennoch genießen und nutzen wollen Einen Datenschutzmodus wie den Inkognito-Modus von Chrome lediglich im Sinne der Definition von 2005 als nur temporär zu belassen, reicht nicht mehr aus Nutzer erwarten mehr und haben auch Anspruch darauf Mit Safari 17.0 wurde Private Browsing um ein völlig neues Datenschutzniveau erweitert, das in 17.2 und 17.5 weiter verstärkt wurde Wenn Nutzer dies aktivieren, stehen alle neuen Schutzmechanismen auch beim normalen Safari-Surfen zur Verfügung Diese Arbeit hat den Datenschutz im Web erheblich verbessert, und wir hoffen, damit einen neuen Industriestandard dafür zu setzen, wie Private Browsing aussehen sollte Zusammenfassung der Enhanced-Private-Browsing-Funktionen in Safari Schutz- und Abwehrfunktionen in Safari 17.0 Schutz vor Link-Tracking Blockierung von Netzwerkanfragen bekannter Tracker, einschließlich solcher, die per CNAME verschleiert werden Erweiterter Schutz vor Fingerprinting Erweiterungen, die auf Websites oder den Verlauf zugreifen, sind standardmäßig deaktiviert Zusätzlich für alle Surfmodi hinzugefügte Schutz- und Abwehrfunktionen Begrenzte Lebensdauer von Cookies, die von verschleierten IP-Adressen Dritter gesetzt werden Partitioniertes SessionStorage Partitionierte Blob-URLs (ab Safari 17.2) Außerdem wurde Web AdAttributionKit (früher Private Click Measurement) erweitert, um Tracking-Parameter in URLs zu ersetzen Auch in Private Browsing hilft dies Entwicklern dabei, die Leistung von Marketingkampagnen zu verstehen Das Risiko, Website-Kompatibilität zu beeinträchtigen, und Maßnahmen zur Abmilderung Es gibt viele Ideen, um die Privatsphäre im Web zu schützen, aber leider können viele davon die Nutzererfahrung verschlechtern Wie bei Sicherheitsmaßnahmen im realen Leben muss ein Gleichgewicht gefunden werden Das neue Private Browsing geht bis an diese Grenze, während es zugleich versucht, Websites niemals zu beeinträchtigen Dennoch besteht das Risiko, dass Teile mancher Websites nicht funktionieren Um das zu lösen, erhalten Nutzer die Möglichkeit, den Datenschutz für einzelne Websites zu verringern Diese Änderungen an den Datenschutzmaßnahmen werden nur während des Surfens auf der jeweiligen Website beibehalten Diese Option ist das letzte Mittel, wenn eine Webseite wegen der Datenschutzmaßnahmen nicht nutzbar ist Unter iOS, iPadOS und visionOS kann unter Einstellungen > Apps > Safari > Erweitert > Erweiterter Schutz vor Tracking und Fingerprinting die Option "Gesamtes Surfen" aktiviert werden Unter macOS kann in Safari > Einstellungen > Erweitert die Option "Erweiterten Schutz vor Tracking und Fingerprinting für das gesamte Surfen verwenden" aktiviert werden Schutz vor Link-Tracking Safari entfernt Query-Parameter und Fragmente aus URLs, um das Tracking von Nutzeraktivitäten über Websites hinweg zu erschweren Query-Parameter, die für umfassendes Nutzer- bzw. Klick-Tracking verwendet werden, werden vor der Netzwerkübertragung entfernt Parameter für die Kampagnenzuordnung werden durchgelassen Drittanbieter-Skripte auf der Ziel-Website, die auf die vollständige URL zugreifen möchten, sehen nur eine URL ohne Query-Parameter oder Fragmente Web AdAttributionKit in Private Browsing Web AdAttributionKit ist eine Methode, mit der Werbetreibende, Websites und Apps Ad Attribution und Klickmessung datenschutzfreundlich umsetzen können In Private Browsing funktioniert es mit bestimmten Einschränkungen Es ist auf einzelne Private-Browsing-Tabs beschränkt und überträgt Attribution beim Anklicken von Links in neue Tabs Beim Schließen eines Tabs werden ausstehende Attributionsanfragen verworfen Blockierung von Netzwerkanfragen bekannter Tracker Mithilfe automatisch aktivierter Content Blocker werden Netzwerkanfragen zu bekannten Trackern blockiert Die Regeln werden aus DuckDuckGo-Daten und den EasyPrivacy-Filterregeln von EasyList kompiliert Die meisten Anzeigen dürfen absichtlich weiterhin geladen werden Private Browsing blockiert auch verschleierte Netzwerkanfragen an Tracking-Domains, die über CNAME-Verschleierung oder das Verschleiern von IP-Adressen Dritter zugeordnet werden Verbesserungen beim Netzwerk-Datenschutz Private Browsing fügt für alle Nutzer unter anderem folgende Schutzmaßnahmen hinzu: Schutz von DNS-Abfragen durch verschlüsseltes DNS Proxying unverschlüsselter HTTP-Ressourcen zum Schutz vor Angreifern im lokalen Netzwerk iCloud+-Abonnenten können durch Aktivieren von iCloud Private Relay zusätzlich Folgendes nutzen: Getrennte Sitzungen für jeden Private-Browsing-Tab Standardmäßigen Schutz der Standortprivatsphäre Eine Warnung, bevor die IP-Adresse offengelegt wird Erweiterungen in Private Browsing Erweiterungen, die auf Website-Daten und den Browserverlauf zugreifen können, sind standardmäßig deaktiviert Nutzer können weiterhin festlegen, dass Erweiterungen in Private Browsing ausgeführt werden dürfen Erweiterungen, die nicht auf Inhalte von Webseiten oder den Browserverlauf zugreifen, sind in Private Browsing standardmäßig aktiviert, sofern sie in Safari eingeschaltet sind Erweiterter Schutz vor Fingerprinting Da zustandsbehaftetes Tracking eingeschränkt wird, wechseln viele Tracker zu Fingerprinting Arten von Fingerprinting: Geräte-Fingerprinting: auf Basis von Geräteeigenschaften wie Hardware, Betriebssystem, Browser usw. Netzwerk- und Geolokalisierungs-Fingerprinting: auf Basis der Internetverbindung und Mitteln zur Erkennung des geografischen Standorts Fingerprinting von Nutzereinstellungen: auf Basis von Zuständen wie Dark-/Light-Mode, Locale, Schriftgrößenanpassung, Fenstergröße usw. Fingerprinting des Nutzerverhaltens: Erkennung von Verhaltensmustern wie Mauszeiger-Nutzung oder Tippgeschwindigkeit Fingerprinting von Nutzereigenschaften: Ermittlung von Eigenschaften wie Interessen, Alter oder Gesundheitszustand Die Stabilität eines Fingerprints wird durch Faktoren herausgefordert, die sich im Lauf der Zeit verändern Datenschutzprobleme durch Fingerprinting: Tracking über Websites hinweg Wiedererkennung von Nutzern auf einzelnen Websites Eindeutigkeit von Besuchern auf einzelnen Websites Tracking über Websites hinweg und die Wiedererkennung auf einzelnen Websites sind Datenschutzprobleme, die der Browser lösen muss Der Ansatz von Safari: Fingerprints pro Website eindeutig machen und nach jeder Datenlöschung einen neuen eindeutigen Fingerprint erzeugen IP-Adressen mithilfe eines Multi-Hop-Proxys verbergen Die Anzahl fingerprintbarer Web-APIs begrenzen Rauschen in Rückgabewerte von Web-APIs injizieren Durch das Injizieren von Rauschen in 2D Canvas, WebGL und Web Audio API sowie das Fixieren von API-Ergebnissen zu Fenster- und Bildschirmmetriken wird Fingerprinting erschwert Dem Web sollten keine fingerprintbaren APIs wie die Topics API hinzugefügt werden Bereits bestehende Web-APIs machen es schwer, Fingerprintability einzudämmen Wichtig ist, das Problem nicht durch neue fingerprintbare APIs weiter zu verschärfen Gründe für die Ablehnung der in Chrome eingeführten Topics API: Der Browser leitet die Interessen eines Nutzers ab und übermittelt sie an Werbetreibende Nutzer werden nicht im Voraus darüber informiert, welche Themen offengelegt werden Schon einfache Kombinationen von Interessen können für Profiling und Re-Identifizierung von Nutzern genutzt werden Datenschutzverbesserungen in zwei Surfmodi Schutz vor verschleierten IP-Adressen Dritter sowie die Partitionierung von SessionStorage und Blob-URLs sind sowohl im normalen Surfen als auch in Private Browsing standardmäßig aktiviert ITP begrenzt die Cookie-Lebensdauer aus Antworten verschleierter IP-Adressen Dritter auf 7 Tage Seit Safari 16.1 wird Session Storage über Websites hinweg nach First-Party-Websites partitioniert Seit Safari 17.2 werden websiteübergreifende Blob-URLs nach First-Party-Websites partitioniert, und Dritte können keine First-Party-Blob-URLs mehr verwenden Einen Industriestandard setzen Die Datenschutzfunktionen in Safari 17.0, 17.2 und 17.5 setzen einen neuen Maßstab für den Schutz von Nutzern Alle Safari-Nutzer und das Web insgesamt sollen von dieser Arbeit profitieren

(webkit.org)

6 Punkte von xguru 2024-07-17 | 1 Kommentare | Auf WhatsApp teilen

Als 2005 Private Browsing erfunden wurde, war das Ziel, das Surfverhalten der Nutzer vor anderen Personen zu schützen, die dasselbe Gerät gemeinsam verwenden
Es wurde ein Modus geschaffen, der keine dauerhaften lokalen Spuren des Surfens hinterlässt; schließlich boten auch alle anderen Browser dieselbe Funktion an. Dies wird auch als "ephemeral browsing" bezeichnet
Seit Safari 1.0 im Jahr 2003 wurde per Cookie-Richtlinie ein Schutz vor Cross-Site-Tracking auf das gesamte Safari-Surfverhalten angewendet, und in den vergangenen 20 Jahren wurden die Datenschutzmaßnahmen schrittweise verstärkt
Andere bekannte Browser folgten bei der Verhinderung von Tracking unserem Vorstoß nicht besonders schnell, aber es gibt Fortschritte
Apple ist der Ansicht, dass Nutzer nicht ohne ihr Wissen und ohne Zustimmung im Web verfolgt werden sollten
- Das Wechseln in Private Browsing ist ein starkes Signal dafür, dass Nutzer beim Schutz vor Eingriffen in ihre Privatsphäre den bestmöglichen Schutz möchten und das Web dennoch genießen und nutzen wollen
- Einen Datenschutzmodus wie den Inkognito-Modus von Chrome lediglich im Sinne der Definition von 2005 als nur temporär zu belassen, reicht nicht mehr aus
- Nutzer erwarten mehr und haben auch Anspruch darauf
Mit Safari 17.0 wurde Private Browsing um ein völlig neues Datenschutzniveau erweitert, das in 17.2 und 17.5 weiter verstärkt wurde
- Wenn Nutzer dies aktivieren, stehen alle neuen Schutzmechanismen auch beim normalen Safari-Surfen zur Verfügung
- Diese Arbeit hat den Datenschutz im Web erheblich verbessert, und wir hoffen, damit einen neuen Industriestandard dafür zu setzen, wie Private Browsing aussehen sollte

Zusammenfassung der Enhanced-Private-Browsing-Funktionen in Safari

Schutz- und Abwehrfunktionen in Safari 17.0
- Schutz vor Link-Tracking
- Blockierung von Netzwerkanfragen bekannter Tracker, einschließlich solcher, die per CNAME verschleiert werden
- Erweiterter Schutz vor Fingerprinting
- Erweiterungen, die auf Websites oder den Verlauf zugreifen, sind standardmäßig deaktiviert
Zusätzlich für alle Surfmodi hinzugefügte Schutz- und Abwehrfunktionen
- Begrenzte Lebensdauer von Cookies, die von verschleierten IP-Adressen Dritter gesetzt werden
- Partitioniertes SessionStorage
- Partitionierte Blob-URLs (ab Safari 17.2)
Außerdem wurde Web AdAttributionKit (früher Private Click Measurement) erweitert, um Tracking-Parameter in URLs zu ersetzen
Auch in Private Browsing hilft dies Entwicklern dabei, die Leistung von Marketingkampagnen zu verstehen

Das Risiko, Website-Kompatibilität zu beeinträchtigen, und Maßnahmen zur Abmilderung

Es gibt viele Ideen, um die Privatsphäre im Web zu schützen, aber leider können viele davon die Nutzererfahrung verschlechtern
Wie bei Sicherheitsmaßnahmen im realen Leben muss ein Gleichgewicht gefunden werden
Das neue Private Browsing geht bis an diese Grenze, während es zugleich versucht, Websites niemals zu beeinträchtigen
Dennoch besteht das Risiko, dass Teile mancher Websites nicht funktionieren
Um das zu lösen, erhalten Nutzer die Möglichkeit, den Datenschutz für einzelne Websites zu verringern
Diese Änderungen an den Datenschutzmaßnahmen werden nur während des Surfens auf der jeweiligen Website beibehalten
Diese Option ist das letzte Mittel, wenn eine Webseite wegen der Datenschutzmaßnahmen nicht nutzbar ist
Unter iOS, iPadOS und visionOS kann unter Einstellungen > Apps > Safari > Erweitert > Erweiterter Schutz vor Tracking und Fingerprinting die Option "Gesamtes Surfen" aktiviert werden
Unter macOS kann in Safari > Einstellungen > Erweitert die Option "Erweiterten Schutz vor Tracking und Fingerprinting für das gesamte Surfen verwenden" aktiviert werden

Schutz vor Link-Tracking

Safari entfernt Query-Parameter und Fragmente aus URLs, um das Tracking von Nutzeraktivitäten über Websites hinweg zu erschweren
Query-Parameter, die für umfassendes Nutzer- bzw. Klick-Tracking verwendet werden, werden vor der Netzwerkübertragung entfernt
Parameter für die Kampagnenzuordnung werden durchgelassen
Drittanbieter-Skripte auf der Ziel-Website, die auf die vollständige URL zugreifen möchten, sehen nur eine URL ohne Query-Parameter oder Fragmente

Web AdAttributionKit in Private Browsing

Web AdAttributionKit ist eine Methode, mit der Werbetreibende, Websites und Apps Ad Attribution und Klickmessung datenschutzfreundlich umsetzen können
In Private Browsing funktioniert es mit bestimmten Einschränkungen
- Es ist auf einzelne Private-Browsing-Tabs beschränkt und überträgt Attribution beim Anklicken von Links in neue Tabs
- Beim Schließen eines Tabs werden ausstehende Attributionsanfragen verworfen

Blockierung von Netzwerkanfragen bekannter Tracker

Mithilfe automatisch aktivierter Content Blocker werden Netzwerkanfragen zu bekannten Trackern blockiert
Die Regeln werden aus DuckDuckGo-Daten und den EasyPrivacy-Filterregeln von EasyList kompiliert
Die meisten Anzeigen dürfen absichtlich weiterhin geladen werden
Private Browsing blockiert auch verschleierte Netzwerkanfragen an Tracking-Domains, die über CNAME-Verschleierung oder das Verschleiern von IP-Adressen Dritter zugeordnet werden

Verbesserungen beim Netzwerk-Datenschutz

Private Browsing fügt für alle Nutzer unter anderem folgende Schutzmaßnahmen hinzu:
- Schutz von DNS-Abfragen durch verschlüsseltes DNS
- Proxying unverschlüsselter HTTP-Ressourcen zum Schutz vor Angreifern im lokalen Netzwerk
iCloud+-Abonnenten können durch Aktivieren von iCloud Private Relay zusätzlich Folgendes nutzen:
- Getrennte Sitzungen für jeden Private-Browsing-Tab
- Standardmäßigen Schutz der Standortprivatsphäre
- Eine Warnung, bevor die IP-Adresse offengelegt wird

Erweiterungen in Private Browsing

Erweiterungen, die auf Website-Daten und den Browserverlauf zugreifen können, sind standardmäßig deaktiviert
Nutzer können weiterhin festlegen, dass Erweiterungen in Private Browsing ausgeführt werden dürfen
Erweiterungen, die nicht auf Inhalte von Webseiten oder den Browserverlauf zugreifen, sind in Private Browsing standardmäßig aktiviert, sofern sie in Safari eingeschaltet sind

Erweiterter Schutz vor Fingerprinting

Da zustandsbehaftetes Tracking eingeschränkt wird, wechseln viele Tracker zu Fingerprinting
Arten von Fingerprinting:
- Geräte-Fingerprinting: auf Basis von Geräteeigenschaften wie Hardware, Betriebssystem, Browser usw.
- Netzwerk- und Geolokalisierungs-Fingerprinting: auf Basis der Internetverbindung und Mitteln zur Erkennung des geografischen Standorts
- Fingerprinting von Nutzereinstellungen: auf Basis von Zuständen wie Dark-/Light-Mode, Locale, Schriftgrößenanpassung, Fenstergröße usw.
- Fingerprinting des Nutzerverhaltens: Erkennung von Verhaltensmustern wie Mauszeiger-Nutzung oder Tippgeschwindigkeit
- Fingerprinting von Nutzereigenschaften: Ermittlung von Eigenschaften wie Interessen, Alter oder Gesundheitszustand
Die Stabilität eines Fingerprints wird durch Faktoren herausgefordert, die sich im Lauf der Zeit verändern
Datenschutzprobleme durch Fingerprinting:
1. Tracking über Websites hinweg
2. Wiedererkennung von Nutzern auf einzelnen Websites
3. Eindeutigkeit von Besuchern auf einzelnen Websites
Tracking über Websites hinweg und die Wiedererkennung auf einzelnen Websites sind Datenschutzprobleme, die der Browser lösen muss
Der Ansatz von Safari:
- Fingerprints pro Website eindeutig machen und nach jeder Datenlöschung einen neuen eindeutigen Fingerprint erzeugen
- IP-Adressen mithilfe eines Multi-Hop-Proxys verbergen
- Die Anzahl fingerprintbarer Web-APIs begrenzen
- Rauschen in Rückgabewerte von Web-APIs injizieren
Durch das Injizieren von Rauschen in 2D Canvas, WebGL und Web Audio API sowie das Fixieren von API-Ergebnissen zu Fenster- und Bildschirmmetriken wird Fingerprinting erschwert

Dem Web sollten keine fingerprintbaren APIs wie die Topics API hinzugefügt werden

Bereits bestehende Web-APIs machen es schwer, Fingerprintability einzudämmen
Wichtig ist, das Problem nicht durch neue fingerprintbare APIs weiter zu verschärfen
Gründe für die Ablehnung der in Chrome eingeführten Topics API:
- Der Browser leitet die Interessen eines Nutzers ab und übermittelt sie an Werbetreibende
- Nutzer werden nicht im Voraus darüber informiert, welche Themen offengelegt werden
- Schon einfache Kombinationen von Interessen können für Profiling und Re-Identifizierung von Nutzern genutzt werden

Datenschutzverbesserungen in zwei Surfmodi

Schutz vor verschleierten IP-Adressen Dritter sowie die Partitionierung von SessionStorage und Blob-URLs sind sowohl im normalen Surfen als auch in Private Browsing standardmäßig aktiviert
ITP begrenzt die Cookie-Lebensdauer aus Antworten verschleierter IP-Adressen Dritter auf 7 Tage
Seit Safari 16.1 wird Session Storage über Websites hinweg nach First-Party-Websites partitioniert
Seit Safari 17.2 werden websiteübergreifende Blob-URLs nach First-Party-Websites partitioniert, und Dritte können keine First-Party-Blob-URLs mehr verwenden

Einen Industriestandard setzen

Die Datenschutzfunktionen in Safari 17.0, 17.2 und 17.5 setzen einen neuen Maßstab für den Schutz von Nutzern
Alle Safari-Nutzer und das Web insgesamt sollen von dieser Arbeit profitieren

1 Kommentare

brainer 2024-07-17

https://youtu.be/0HjDpPnxcP0?si=x0JZN2Cxxy0j3XiT