首页 > 业界 > 关键词 > 网站最新资讯 > 正文

Firefox 88加大对window.name跨站隐私滥用的斗争力度

2021-04-20 14:57 · 稿源:cnbeta

Mozilla 刚刚在一篇官方博客中宣布,他们很高兴地为 Firefox 88 引入了一项新的保护措施,以进一步防止 Web 上的隐私泄露。据悉,自 1990 年代末期以来,Web 浏览器已广泛使用 window.name 属性来存储网页数据。但在更新到 Firefox 88 之后,追踪器将无法再通过滥用 window.name 属性来跨网站追踪用户(比如识别用户或窥探其浏览历史记录)。

为了封堵这方面的漏洞,Firefox 现针对创建 window.name 属性的网站而施加了特定的限制。

此前,网页窗口的 window.name 属性允许以超链接或表单为目标,让用户访问的任何网站都能够调用 window.name 属性,以作为存放任何数据的一口大锅。

但从历史上来看,window.name 中存储的数据,已不受浏览器强制执行的同源策略的禁止,导致网站之间仍可借此进行某种形式的数据共享。

window.name 持续状态下的跨源导航

举个例子,假设位于 https://example.com/ 的页面将 window.name 属性设置为“my-identity@email.com”。

那就算用户点击链接并导航到了 https://malicious.com/ 恶意站点 ,该信息也会得到保留。

相当于在用户不知情或未同意的情况下,恶意站点上的页面仍能够读取相关信息。

Firefox 88 清理了 window.name 后的跨源导航

此前多年,追踪公司一直在滥用这方面的泄露细细,并将之有效地转变为跨网站的数据传输渠道。更糟糕的是,恶意站点也能够一窥 window.name 属性中的内容,导致用户在无意间泄露了隐私数据。

庆幸的是,在升级到 Firefox 88 之后,浏览器将尝试识别 window.name 的潜在有害使用,并在此种情况下竭力清除、以避免它被滥用。举个例子,若点击的链接未打开弹出窗口,则 Firefox 就只会清除 window.name 。

此外为了避免不必要的体验破坏,若用户导航回到了之前的站点,Firefox 会自动将 window.name 属性恢复为该站点的先前值。

在这套双重规则的制约下,Firefox 88 得以有效地将数据限制在原站点范围内(有些类似于 Firefox 的 Cookie 全面防护功能),对防止网站滥用 window.name 来收集用户的个人数据至关重要。

这篇文章对你有价值吗?

  • 相关推荐
  • 大家在看
  • 自Chrome 90开始 访问非完整URL默认启用HTTPS连接

    当前,我们在 Chrome 地址栏上输入不完整的 URL 地址(例如 cnbeta.com)之后,默认会通过 HTTP 方式加载该域名。不过在今天推出的 Chrome90版本更新开始,谷歌宣布将默认启用更安全的 HTTPS。新的默认设置将适用于浏览器的桌面版和 Android 版,而 iOS 端 Chrome 浏览器也会随后跟进。

  • 免费图库网站 Unsplash 被 Getty Images 收购

    总部位于加拿大的 Unsplash 是有名的免费图库网站,网站中的图片来自用户上传,提供所有人免费下载,并用于商业及非商业用途,无需任何许可。过去,Unsplash 一直通过捐款和广告收益维持营运,但最终仍未摆脱被商业公司收购的命运。

  • 三星推出iTest网站:让iPhone用户体验Galaxy手机

    三星今天上线了一个名为“iTest”的交互式网站,皆在于让 iPhone 用户在模拟 Galaxy 设备上体验 Android 系统。据外媒 MacRumors 读者透露,iTest 网站已经在新西兰进行推广。在 iPhone 上访问 iTest 网站,会提示用户在主屏幕上安装一个网络应用。点击该应用之后会启动一个模拟的 Galaxy 智能手机屏幕,完成一系列的应用程序和设置选项。你可以打开 Galaxy 商店,应用主题,甚至访问信息和电话应用。你会接到模拟电话,告诉你关于

  • 数据隐私安全升级:Mintegral 获欧洲隐私权威认证 ePrivacyseal

    近日,程序化移动广告平台 Mintegral 宣布,已获得欧洲第三方隐私认证权威机构 ePrivacy 颁发的隐私保护认证,并在欧盟范围内被授予 ePrivacyseal 证书,证明其产品符合 GDPR (General Data Protection Regulation,通用数据保护条例) 的要求,能够有效地保护用户的数字隐私安全。ePrivacyseal:全球权威数据隐私认证ePrivacy 是全球最具公信力的数据安全与隐私保护认证机构之一,专注于数字产品与移动领域,在全球具有广泛影响?

  • 三星推出新网站 iTest:让 iPhone 手机变身 Galaxy 设备

    据9to5mac报道,日前三星新西兰正式推出名为 iTest 的新网站,通过该网站 iPhone 用户可以使用 Safari 浏览器来模拟操作 Android。

  • Firefox 87 将默认移除 HTTP 反向链接

    Mozilla 宣布,为了保护用户隐私,即将发布的 Firefox87将默认从反向链接头文件中移除路径和字符串信息,以防止用户敏感信息泄露。反向链接提供了用户跳到另一个网站的源地址,网站利用反向链接可以收集用户信息和进行分析优化。

  • Nativex完成GDPR合规升级,获得欧洲隐私保护认证ePrivacyseal

    日前,全球效果导向移动营销平台 Nativex 正式通过欧洲知名第三方认证机构 ePrivacy 隐私保护认证,在欧盟范围内被授予 ePrivacyseal 证书。这意味着 Nativex 符合GDPR(欧盟“通用数据保护条例”,General Data Protection Regulation)的各方面要求,有效保护用户数字隐私安全。ePrivacyseal:全球权威数据隐私认证ePrivacy 是全球数据安全与隐私保护最具权威性的认证机构之一,提供透明的认证流程和可靠的认证标准,在欧洲乃至?

  • B投资TapTap母公司

    今日,哔哩哔哩宣布以约9.6亿港元战略投资心动公司,B站将以42.38港元/股的价格认购心动公司发行的普通股22,660,000股,交易完成后,B站将持有心动公司约4.72%股权。<br/> <br/>

  • 汇量科技Mobvista完成GDPR合规升级,获得欧洲隐私保护认证ePrivacyseal

    日前,汇量科技 Mobvista 正式通过欧洲知名第三方认证机构 ePrivacy 隐私保护认证,旗下子品牌 Mintegral 和 Nativex 在欧盟范围内被授予 ePrivacyseal 证书,这充分体现世界权威认证机构对 Mobvista 保护用户隐私的认可。ePrivacy 是全球数据安全与隐私保护最具权威性的认证机构之一,提供透明的认证流程和可靠的认证标准,在欧洲乃至全球都有广泛的影响力。ePrivacyseal 证书由 ePrivacy 颁发,该认证涵盖 GDPR(General Data Pr

  • 戴尔SafeShutter智能安全摄像头 兼顾便利与隐私安全

    近一年来,人们已经习惯了使用线上视频会议进行工作。视频会议为我们的日常工作生活提供了方便,但同时也不可避免地埋了“地雷”:一些搞笑综艺节目中曾经出现过由于忘记关闭摄像头导致的尴尬场面,比如最近疯转的一段视频,一位男士在视频会议结束后忘记关闭摄像头,被其他线上的同事看到他只穿了一条内裤在屋子里走来走去,这些案例都说明我们需要更简单便捷的技术。无论是在开视频会议时担心有人从身后走过,亦或是为了防止尴尬

  • Facebook 正在开发全新社交网站「Hotline(热线)」

    Hotline来自Facebook内部一个名为新产品实验(NPE)团队的小组,该小组的任务是从头开始打造小型社交媒体应用程序。Facebook的一位发言人说,Hotline的目标是让「知识专家」们可以分享来自金融或健康等不同领域的信息。她说,研究小组正在探索用户的问题是如何被「投票」的。目前,Hotline没有任何访问群体大小限制,主持人可以删除问题,Facebook表示,目前处于早期测试中,还正在调整不适当的内容。

  • 新的WhatsApp账户管理漏洞会让用户无限期地被拒绝登录

    WhatsApp目前正面临着可能存在的最严重的漏洞之一。据安全研究人员称,WhatsApp中存在一个安全问题,可能会导致更多用户被动地永远离开WhatsApp。恶意攻击者可以轻易地利用这个漏洞,将受害者的WhatsApp账户锁定,并且时间还是无限期的。根据研究人员Luis Márquez Carpintero和Ernesto Canales Pere?a谈到,攻击者甚至不需要任何特定的软件或培训,他们可以利用这个问题,而这一切只需要找到受害人的电话号码就可以。那么,这一漏

  • 9.6亿港元,BTapTap出手了

    对缺少爆款游戏的B站而言,加深与心动网络的合作或许能给其游戏业务带来更多全新的可能性。B站投资又有新动作。

  • 同性交友网站Manhunt遭遇黑客入侵 超10%用户受到影响

    Manhunt 是一款宣称拥有 600 万用户的同性交友应用,但该公司已于近日证实其服务器曾在今年 2 月份遭到黑客入侵,并且被攻击者拿到了用户账户数据库的访问权限。在向华盛顿州检察长办公室提交的通告中,Manhunt 透露黑客下载了部分用户的 ID、电子邮件和密码等信息。Google Play 截图虽然文中没有明确提及用户密码的加密方式(如果有的话),但若加密算法显然很容易被攻击者给破解为纯文本,进而导致用户账户被黑客入侵。事件发生?

  • HUAWEI AppGallery Connect获得SOC国际权威认证,多举措保护信息和隐私安全

    近日,华为应用市场AppGallery Connect(简称AGC)一次性成功通过国际权威标准组织“美国注册会计师协会(AICPA)”认定的SOC1 Type2、SOC2 Type1、SOC2 Type2和SOC3四项权威认证,表明AGC平台的信息安全管理能力已达到国际公认的最高标准,为开发者提供世界一流的安全隐私保障及服务。SOC审计报告是由专业的第三方会计师事务所依据美国注册会计师协会(AICPA)的相关准则出具的服务机构内部控制相关的系列报告,已成为全球公认的数据安全审?

  • 海外爆火的「成人网站」,凭什么威胁Pornhub?

    最近,国外有一个新的“学习”网站火了,甚至已经威胁到了 Pornhub 的地位:就连 P站上的「学习视频」,也有很多都带着“观看完整影片请到 OnlyFans ”的标签。

  • 谷歌Project Zero团队调整漏洞披露指南:增加30天缓冲期

    谷歌 Project Zero 安全团队今天对漏洞披露指南进行了调整,为每次安全漏洞披露增加了 30 天的缓冲期,这样终端用户就有足够的时间来修补软件,防止这些漏洞被攻击者利用。今天的这项调整对于安全领域来说非常重要,因为目前网络安全社区的很多人都已采用 Project Zero 的规则作为向软件供应商、向公众披露安全漏洞的非官方方法。在今天之前,谷歌 Project Zero 的研究人员会给软件厂商 90 天的时间来修复一个安全漏洞。当 bug 被?

  • Valve仍未修复基于Steam游戏邀请的《CS:GO》严重漏洞

    一位安全研究人员在 Valve 的游戏引擎中发现了一个“严重”漏洞,当前热门的《反恐精英》线上游戏也受到了波及。尽管早在 2019 年 6 月就发出了警告,但遗憾的是,作为 Source Engine 和《CS:Go》、《Team Fortress 2》等游戏的制造商,该公司的修复速度实在太慢。视频截图(来自:Secret Club / YouTube)Motherboard 报道称,黑客已能够通过诱骗不知情的玩家点击 Steam 游戏邀请,实现对受害者计算机的控制。安全研究人员 Flori

  • 安全研究人员在Twitter上分享了Chromium零日漏洞的概念验证代码

    印度安全研究人员 Rajvardhan Agarwal,刚刚在 Twitter 上分享了影响基于 Chromium 内核的诸多浏览器的零日漏洞。可知 Google Chrome、Microsoft Edge、Opera 和 Brave 等均受到影响,且 @r4j0x00 附上了 GitHub 的概念验证代码传送门。Rajvardhan Agarwal 在接受 The Record 采访时称,该漏洞源于一个 Chromium 中的 Bug,且有在上周举办的 Pwn2Own 黑客大赛中被使用。当时 Dataflow Security 安全研究人员 Bruno Keith(@bkth_)

  • 微软确认已修复NTFS格式磁盘拒绝服务致系统崩溃的漏洞

    在1月中旬,我们报道了Windows 10中的一个漏洞,它可以被用来破坏NTFS格式化驱动器的内容。只需要一个特别制作的文件夹名称,就可以导致卷被标记为dirty状态,然后系统需要使用Chkdsk实用程序进行修复。但Chkdsk并不总是能做到这一点,反而让受害者无法启动系统。几个月前,微软开始在Windows Insiders社区测试修复补丁,现在补丁正在提供给所有用户,微软标记其为解决了被追踪为CVE-2021-28312(Windows NTFS拒绝服务漏洞)的问题

  • 热门标签

热文

  • 3 天
  • 7天