Mozilla志愿者最近收到了来自在线商家和营销人员的大量请求,要求将他们的域添加到所谓的公共后缀列表(PSL)中。PSL是Mozilla在publicsuffix.org上创建的公共资源。它由两部分组成:一部分是ICANN(互联网名称与数字地址分配机构,InternetCorporationforAssignedNamesandNumbers)提供的TLD(TopLevelDomain,顶级域名)列表;另一部分是个人或机构列表提供的PRIVATE。可以从此地址获得完整的PSL。公共后缀列表(PSL)是Mozilla社区志愿者的一项倡议,旨在维护一份顶级域(TLD)列表,这些顶级域被视为一个域,以防止不同域之间混合cookie。这是因为在域级别设置的cookie可用于启用其所有子域,即使这些子域彼此不相关或属于同一组织。虽然由Mozilla的开源社区志愿者维护,但该列表受到各种应用程序和项目的青睐,并帮助他们区分单独的TLD/后缀和子域。然而,Apple最近推出的隐私增强功能导致在线营销人员大量请求Mozilla将其域添加到列表中,此前Facebook建议将其作为更新的隐私增强功能的补救措施。随着iOS14.5的正式发布,Facebook和苹果纷纷“封杀”上线。近日,苹果在14.5版本的iOS、iPadOS和tvOS中引入了一项新的隐私保护功能,要求用户联系跟踪他们的应用程序或SiteGrantsPermissions。通过收集特定数据来跟踪用户的应用程序和网站也需要遵守Apple的应用程序跟踪透明度(ATT)框架。系统会提示iOS14.5用户向通过cookie跟踪他们的应用或网站授予权限Apple的ATT框架引入了禁止数据收集和共享的政策,除非用户明确选择在运行iOS14.5的设备上启用跟踪(cookie)。但随着越来越多的用户选择退出对Apple设备的跟踪,在线广告网络和商店在投放广告或从用户那里收集个性化和分析数据的方式将受到限制,从而影响那些以广告为生的人。企业的利益。由于Facebook的分析平台FacebookPixel也受到苹果变化的影响,因此Facebook提出了一些在线企业可以使用的解决方法。对于有兴趣投放针对转化事件优化的广告的企业,Facebook建议企业验证其域。但Facebook补充说,他们也将尊重Mozilla的公共后缀列表(PSL)中包含的域。“如果托管域(eTLD)在公共后缀列表中注册,这将使企业能够验证其eTLD+1域。例如,如果myplatform.com是公共后缀列表中的注册域名,则子域jasper.myplatform.com广告商jasper将能够验证jasper.myplatform.com。”然而,根据Mozilla的说法,该页面的早期版本让Facebook错误地暗示PSL是一种潜在的补救措施。简单地说,PSL的存在是为了防止来自不同域的cookie混淆,或者被不应该访问的域访问访问它们。这是因为在Internet上没有权威的方法来知道什么是合适的顶级域(TLD)以及什么是子域。一个例子是.uk和.co.ukTLD扩展名。co.uk不是单独TLD的“.uk”(子)域。因此,*.co.uk域不应访问为*.uk域设置的cookie。而且,这是PSL的最初目的,以帮助应用程序、网络浏览器和服务解析PSL并区分什么是单独的TLD和什么只是子域。例如,网络浏览器不会接受服务器为PSL上的任何域设置的cookie,因为“域”现在被视为公共后缀或TLD。PSL最新副本的片段如下所示:来自th的片段eMozilla公共后缀列表(PSL)在Facebook宣布将在PSL中包含域作为其域验证过程的一部分后不久,Mozilla的PSL志愿者就忙于处理请求,在线商店的所有者蜂拥而至旧PSL的维护者请求添加域。GitHub上出现了多个问题线程,PSL维护者提出了他们的担忧,甚至拒绝了请求。在线广告商,例如那些使用Facebook基于像素的跟踪机制来衡量转化率的广告商,可能会发现他们的cookie因Apple的ATT框架而被阻止。在某些情况下,这会极大地影响(降低)广告定位和绩效衡量的有效性,主要针对允许每个店面有许多不同子域的电子商务平台。例如booksforcheap.shopnow.com、familypizza.shopnow.com、midnightcookies.shopnow.com等。Facebook工程师BenjaminSavage以Etsy及其商户为例,说明Facebook至今无法支持PCM:“我们不能支持这些商家使用'PrivateClickMeasurement'(私人点击测量)。按照目前的写法,所有在facebook.com上运行并直接链接到etsy.com任何部分的广告都将有资格获得转化来自etsy.com的任何部分。不幸的是,对于在etsy.com上销售的个体商家而言,这不是一个特别有用的统计数据。”在此示例中,将etsy.com添加到PSL将确保子域被视为单独的属性(来源)并允许不同的商店所有者分别收集指标,例如特定于他们的商店私人点击测量(PCM)。苹果在2021年2月推送了iOS14.5Beta版本,引入了一项名为PrivateClickMeasurement(私人点击测量)的新技术。这是一种为在线广告商提供衡量广告的私密方式的方法。然而,这并不是PSL的初衷。Mozilla代表告诉BleepingComputer:“公共后缀列表是Mozilla多年前创建的,用于识别实际上不是独立域的域,而是像co.uk或tokyo.jp这样的后缀。”今天,维护者只是来自在线社区的志愿者。Mozilla发言人告诉BleepingComputer:“依赖这个数据集的人数和项目数量惊人,错误地将域添加到列表中通常会导致意想不到的问题。“PSL志愿者和gTLD行业专家JothanFrakes告诉BleepingComputer,PSL是一群志愿者,他们正在帮助维护广泛使用的资源,并且不希望被一堆商业利益请求所淹没。首先:1.在PSL,志愿者通常是收到一个新committer的第一个pullrequest,然后是issue,最后需要修改之后再细化,所以每个pullrequest都会有一定的时间。2.验证过程也需要一些时间.如果有人不明白他们的要求是什么,那么他们可能会在第一次请求时无意中破坏他们预期的cookie行为——没有sla或任何相关的,除了确保一个人实际上是域名的运营商之外,他们检查DNS与pullrequest相关的特定记录。所有这些都会给PSL志愿者社区带来相当大的负担。争夺行业主导地位是隐私设置的最终目标。回到2020年6月,Cook在Apple开发者大会上宣布了一项计划。为保护用户隐私,iOS14系统修改广告平台IDFA码获取规则,明确要求用户在应用中选择是否允许广告追踪。Facebook随后表示,除了强烈不满之外,缺乏这些信息将对广告效果产生严重影响。然而,库克也认为,这些以利润为导向的业务导致了错误信息的泛滥、不信任感的增加,甚至激发了现实世界中的暴力行为。据Facebook称,根据谷歌的内部测试,从移动广告安装活动中去除个性化导致广告商的收入下降了50%以上。此后,两家公司不断相互“借力”。不过由于一段时间内开发者需要更新自己的技术和相关系统,所以苹果一直将更改IDFA规则的时间推迟到最近的iOS14.5测试中。iOS14.5正式版推出后,开发者或企业要想继续留在iOS系统,就必须适应新的IDFA规则并更新SDK。与AppleSKadnetwork合作进行技术对接。iOS14.5系统上线后,应用软件和运营商会接入用户的IDFA,手机会弹出提醒窗口,让用户选择是否允许追踪自己的信息和数据。如果用户选择禁止信息追踪,企业将无法获取手机的IDFA码,取而代之的是一串无意义的0。苹果在iOS上向开发者发出警告:不要试图绕过即将到来的应用追踪透明度隐私功能,否则该应用程序将被删除。在Facebook看来,用户隐私只是一个幌子,而苹果寻求的是行业霸主地位,争夺行业霸主地位才是隐私设置的最终目的。本文翻译自:https://www.bleepingcomputer.com/news/security/mozilla-flooded-with-requests-after-apple-privacy-changes-hit-facebook/如有转载请注明出处。
