GitHub已经阻止了谷歌联合学习群组(FLoC)

作者:bzlx | 国际 2021/05/02 18:23:11 21
文章来源:https://www.4hou.com/posts/3EpA

所谓的联合学习群组(FLoC),就是将根据用户的兴趣和来自浏览历史的人口统计信息对使用者进行分组,从而无需第三方Cookie即可进行令人毛骨悚然的广告和其他内容定位。

现在谷歌已经于 2021 年 3 月 30 日在美国,加拿大,澳大利亚,巴西,日本和其他几个国家/地区为数百万用户推出了 Chrome 浏览器版本 89 中的 FLoC 试用版。FLoC 是 Chrome 浏览器源代码的一部分,它可以帮助他们进行无 Cookie 和无同意的广告定位。

三月份,电子前线基金会(Electronic Frontier Foundation,EFF)出面抨击Google最新发表的广告追踪技术FLoC,虽然FLoC消除了第三方Cookie,但是仍存在指纹识别(Fingerprinting)和跨上下文曝露用户信息的隐私问题,EFF认为,Google只是把旧追踪技术淘汰,换一个新的追踪技术,但真正的乱源是目标式广告(Aargeted Ad),他们呼吁Google应该停止FLoC计划。

谷歌强推 FLoC 广告技术,但被众多浏览器厂商反对

Brave 浏览器官方表示:

FLoC 最糟糕的方面是,它打着隐私友好的幌子,实质上损害了用户的隐私。

Vivaldi 浏览器表示:

我们不会支持 FLoC API,并计划禁用它,无论它如何实施。也不能保护隐私,只是在为了谷歌的经济利益,用户会不知不觉地泄露自己的隐私,这对用户来说肯定是不利的。

Opera 浏览器公司表示:

你可能知道,Opera 在引入有利于我们用户的隐私功能方面有着悠久的历史,它是第一个引入内置广告屏蔽、浏览器远程访问技术和其他以隐私为中心的功能的主流浏览器。现在的意义在于第三方 Cookie 的结束,这将减少网络上的跨网站跟踪。虽然我们和其他浏览器正在讨论包括 FloC 在内的新的、更好的隐私保护广告替代品,但我们目前还没有计划在 Opera 浏览器中以目前的形式启用这样的功能。不过,一般来说,我们认为现在就说市场会朝哪个方向发展或主要浏览器会怎么做还为时过早。

4月27日,GitHub也宣布在所有GitHub Pages网站上推出了一个神秘的HTTP标头。GitHub Pages使用户可以直接从他们的GitHub存储库创建网站。

事实证明,此标头(现在由GitHub网站返回)实际上是供网站所有者选择退出Google FLoC跟踪的。

BleepingComputer还注意到整个github.com域都设置了此标头,表明GitHub在访问任何GitHub页面时不希望其访问者包含在Google FLoC的“cohorts”中。

正如BleepingComputer之前报道的,Google FLoC是一种更新的技术,可以代替广告网络和分析平台用来跟踪网络用户的传统第三方Cookie跟踪。

另一方面,以隐私为中心的FLoC旨在用所谓的“cohorts”取代第三方cookie和本地存储等跟踪技术。

与服务器(或广告网络)通过互联网跟踪用户并记录他们的浏览历史不同,FLoC将这一责任交给用户的个人浏览器。

也就是说,在FLoC试用中选择的每个Google Chrome浏览器实例都将被归入特定的“cohorts”,即最能代表其近期网络浏览习惯的群组。

在本地存储的数千个具有相同浏览历史(属于同一个“cohorts”)的浏览器将被分配一个共享的 "cohort"标识符,该标识符将在某个网站请求时被共享。

正如Google解释的那样:

FLoC不会与Google或任何人分享你的浏览历史记录。不同于第三方Cookie,后者允许公司在不同网站上分别关注你。

Google在博客中解释说:

 FLoC可以在你的设备上运行,而不会共享你的浏览历史记录。重要的是,广告生态系统中的每个人,包括Google自己的广告产品,都将具有相同的FLoC访问权限。

但是,Google提出的用FLoC替换第三方跟踪Cookie的提议遭到了许多行业参与者的反对,但是,Google提出的用FLoC替换第三方跟踪Cookie的提议遭到了许多行业参与者的反对,其中包括EFF,Microsoft,Mozilla Firefox,Vivaldi,Brave和DuckDuckGo,它们反对任何类型的用户跟踪。

正如BleepingComputer先前报道的那样,不希望参加FLoC的网站所有者可以通过向访问者发出以下HTTP请求标头来阻止它:

Permissions-Policy: interest-cohort=()

此标头允许网站选择退出FLoC,从某种意义上说,当为用户生成同类数据时,Web浏览器将忽略返回此HTTP标头的网站的访问。

GitHub也弃用了Google FLoC

正如BleepingComputer所看到的,*.github.com域名和GitHub Pages网站托管在*. GitHub上。在写入时,io返回这个HTTP标头:

GitHub已经阻止了谷歌联合学习群组(FLoC)

GitHub Pages包含HTTP标头以选择退出Google FLoC跟踪

有趣的是,GitHub关于该主题的公告非常简洁,在其中的任何地方都没有提及Google FLoC。

从github.io域提供服务的所有GitHub Pages网站现在都将设置一个Permissions-Policy: interest-cohort=()标头。

GitHub昨天发布的博客总结说:

使用自定义域的页面网站将不会受到影响。

用户可以按照EFF的AmIFloced.org 提供的说明,检查是否已将其网络浏览器选择为FLoC试点实验的一部分。

本文翻译自:https://www.bleepingcomputer.com/news/security/github-blocks-google-floc-tracking/如若转载,请注明原文地址

指导单位
广东省公安厅网络警察总队 | 广东省信息安全等级保护协调小组办公室