什么是微软 Edge 浏览器 Tracking Prevention 的 Org Relationship Mitigation 策略
用户使用微软 Edge 浏览器在 Strict 模式下访问网站时,可以选择地址栏左侧的页面信息弹出图标来找出特定页面上哪些跟踪器被阻止:
如下图所示,提示用户,访问的 Website 检测到了一个 Tracker,其发出的请求已经被 Track Prevention 机制 block 了:
URL:edge://settings/privacy/trackers/detail?tracker=SAP
点击上图的 SAP,看到下列提示消息:
This organization has 10 trackers seen on 14 sites. The same tracker may be seen across multiple sites.
Mitigation
为了确保尽可能地保留 Web 兼容性,Microsoft Edge 提供了三种缓解措施来帮助平衡特定情况下的强制执行。 这些是:
组织关系缓解(Org Relationship mitigation)
组织参与缓解(Org Engagement mitigation)
CompatExceptions 列表
在深入研究缓解措施之前,值得定义“组织”或简称“组织”的概念。Disconnect 还维护一个名为 entity.json 的列表,该列表定义了由同一父组织/公司拥有的 URL 组。
Microsoft Edge 中的跟踪预防功能在组织关系缓解和组织参与缓解中使用此列表,以最大限度地减少由影响跨组织请求的跟踪预防引起的兼容性问题的发生。
Org Relationship Mitigation
一些流行的网站同时维护网站和内容交付网络 (CDN),为这些网站提供静态资源和内容。 为确保这些类型的方案不受跟踪防护的影响,当站点向同一父组织拥有的其他站点发出第三方请求时,Microsoft Edge 会免除站点的跟踪防护(如 Disconnect entity.json 中所定义) 列表)。
entity.json 的网址:https://github.com/disconnectme/disconnect-tracking-protection/blob/master/entities.json
可以看到里面有 SAP 对应的 entry:
名为 Org1 的组织拥有域 org1.test 和 org1-cdn.test,如 Disconnect entity.json 列表中所定义。想象一下,org1-cdn.test 被归类为跟踪器,通常会对其应用跟踪预防强制措施。如果用户访问 https://org1.test 并且站点尝试从 https://org1-cdn.test 加载资源,Microsoft Edge 不会对向 org1-cdn.test 发出的请求采取任何强制措施,即使它不是第一方 URL。但是,如果不属于 Org1 组织的另一个 URL 尝试加载相同的资源,则该请求将受到强制执行,因为它不属于同一组织。
尽管这放宽了对属于同一组织的站点的跟踪预防执行,但这不太可能引入大量的隐私风险,因为这些组织能够确定您在 https://org1 上访问了哪些站点/资源。使用内部后端数据测试 https://org1-cdn.test。
版权声明: 本文为 InfoQ 作者【Jerry Wang】的原创文章。
原文链接:【http://xie.infoq.cn/article/4e2de6bd28023cb445394b1a0】。文章转载请联系作者。
评论