В бета-версии Safari для iOS 12.2 и Safari 12.1 для macOS High Sierra и Mojave обновлена функция Intelligent Tracking Prevention (ITP), согласно деталям, опубликованным в блоге WebKit от Apple.

ITP 2.1, как называет ее Apple, ограничивает хранение клиентских файлов cookie семью днями. По истечении этого периода файлы cookie истекают. Как заявлено Apple, это обеспечивает улучшение конфиденциальности, безопасности и производительности. Из блога WebKit от Apple:

— Сторонние трекеры начали использовать собственные хранилища файлов cookie на первом сайте с целью постоянного отслеживания. Хранилище первого сайта особенно проблематично для конфиденциальности, поскольку все скрипты трекеров в контексте первого сайта могут читать и записывать данные друг друга. Например, social.example записывает идентификатор отслеживания пользователя как файл cookie первого сайта news.example. Теперь analytics.example, adnetwork.example и video.example могут использовать или перекрестно использовать этот идентификатор отслеживания пользователя через свои скрипты на news.example.

— Файлы cookie, доступные в document.cookie, могут быть украдены с помощью атак спекулятивного исполнения на память. Поэтому они не должны содержать конфиденциальную информацию, такую как учетные данные.

— Файлы cookie, доступные в document.cookie, могут быть украдены с помощью атак межсайтового скриптинга. Опять же, поэтому они не должны содержать конфиденциальную информацию, такую как учетные данные.

— Распространение файлов cookie замедляет загрузку страниц и ресурсов, поскольку файлы cookie добавляются к каждому применимому HTTP-запросу. Кроме того, многие файлы cookie имеют высокие значения энтропии, что означает, что их нельзя эффективно сжимать. Мы сталкивались с сайтами, отправляющими килобайты файлов cookie при каждом запросе ресурса.

— Существует ограничение размера заголовков исходящих файлов cookie по соображениям производительности, и веб-сайты рискуют достичь этого ограничения, когда сторонние трекеры добавляют файлы cookie первого сайта. Мы изучили сообщения о том, что подписчики новостных сайтов были ошибочно выведены из системы, и обнаружили, что трекеры добавляли так много файлов cookie, что законный файл cookie для входа в новостной сайт был вытеснен.

Ограничения на хранение файлов cookie не приведут к выходу пользователей из системы, если веб-сайты используют соответствующие файлы cookie для аутентификации, поскольку они влияют только на файлы cookie, созданные через document.cookie.

ITP 2.1 также позволяет использовать только один набор файлов cookie на сайт вместо нескольких, а сторонние инструменты с функциями межсайтового отслеживания должны использовать Storage Access API для доступа к файлам cookie.

Apple заявляет, что это изменение упрощает поведение файлов cookie для разработчиков, снижает потребление памяти Safari и делает Intelligent Tracking Prevention совместимой с большим количеством платформ.

Также включен проверенный раздел кэша для уменьшения злоупотреблений кэшем в целях отслеживания, и, как мы сообщали ранее в этом месяце, поддержка функции «Не отслеживать» была отключена.

Apple заявляет, что отказывается от функции «Не отслеживать», поскольку большинство веб-сайтов никогда не обращали на нее внимания, поскольку она была необязательной и ее можно было игнорировать.

Проект DNT недавно завершился без публикации стандарта, отчасти потому, что «не было достаточного внедрения этих расширений (как определено), чтобы оправдать дальнейшее развитие». Учитывая недостаточную распространенность DNT и встроенные в Safari средства защиты конфиденциальности по умолчанию, такие как ITP, Safari отказалась от поддержки DNT, чтобы пользователям не предлагался вводящий в заблуждение и неэффективный инструмент конфиденциальности, который, если уж на то пошло, только увеличивал энтропию отпечатков браузера.

Дополнительные сведения об обновлениях Intelligent Tracking Prevention доступны в полном посте в блоге WebKit от Apple.