Η Apple δήλωσε αυτή την εβδομάδα αρνήθηκε να εφαρμόσει 16 νέες τεχνολογίες web (Web API) στο Safari, επειδή αποτελούσαν απειλή για το απόρρητο των χρηστών ανοίγοντας νέους δρόμους για τη λήψη δακτυλικών αποτυπωμάτων από τους χρήστες.
Οι τεχνολογίες που η Apple αρνήθηκε να συμπεριλάβει στο Safari λόγω ανησυχιών για τα δακτυλικά αποτυπώματα του χρήστη είναι οι παρακάτω:
- Web Bluetooth – Επιτρέπει στους ιστότοπους τη σύνδεση σε κοντινές συσκευές Bluetooth LE.
- Web MIDI API – Επιτρέπει στους ιστότοπους να απαριθμούν, να χειρίζονται και να έχουν πρόσβαση σε συσκευές MIDI.
- Magnetometer API – Επιτρέπει στους ιστότοπους να έχουν πρόσβαση σε δεδομένα σχετικά με το τοπικό μαγνητικό πεδίο γύρω από έναν χρήστη, όπως εντοπίζονται από τον κύριο αισθητήρα μαγνητόμετρου της συσκευής.
- Web NFC API – Επιτρέπει στους ιστότοπους να επικοινωνούν με ετικέτες NFC μέσω της συσκευής ανάγνωσης NFC μιας συσκευής.
- Device Memory API – Επιτρέπει στους ιστότοπους να λαμβάνουν κατά προσέγγιση ποσότητα της μνήμης της συσκευής σε gigabyte.
- Network Information API – Παρέχει πληροφορίες σχετικά με τη σύνδεση που χρησιμοποιεί μια συσκευή για να επικοινωνήσει με το δίκτυο και παρέχει ένα μέσο για την ειδοποίηση των scripts εάν αλλάξει ο τύπος σύνδεσης.
- Battery Status API – Επιτρέπει στους ιστότοπους να λαμβάνουν πληροφορίες σχετικά με την κατάσταση της μπαταρίας της hosting συσκευής.
- Web Bluetooth Scanning – Επιτρέπει στους ιστότοπους τη σάρωση για κοντινές συσκευές Bluetooth LE.
- Ambient Light Sensor – Επιτρέπει στους ιστότοπους να λαμβάνουν το τρέχον επίπεδο φωτισμού ή τη φωτεινότητα του περιβάλλοντος γύρω από τη hosting συσκευή μέσω των εγγενών αισθητήρων της συσκευής.
- HDCP Policy Check extension for EME – Επιτρέπει στους ιστότοπους να ελέγχουν για πολιτικές HDCP, που χρησιμοποιούνται στη ροή / αναπαραγωγή πολυμέσων.
- Proximity Sensor – Επιτρέπει στους ιστότοπους να ανακτούν δεδομένα σχετικά με την απόσταση μεταξύ μιας συσκευής και ενός αντικειμένου, όπως μετράται από έναν αισθητήρα εγγύτητας.
- WebHID – Επιτρέπει στους ιστότοπους να ανακτούν πληροφορίες σχετικά με τοπικά συνδεδεμένες συσκευές Human Interface Device (HID).
- Serial API – Επιτρέπει στους ιστότοπους να γράφουν και να διαβάζουν δεδομένα από σειριακά interfaces, που χρησιμοποιούνται από συσκευές όπως μικροελεγκτές, εκτυπωτές 3D και άλλοι.
- Web USB – Επιτρέπει στους ιστότοπους να επικοινωνούν με συσκευές μέσω USB (Universal Serial Bus).
- Geolocation Sensor – Μια πιο σύγχρονη έκδοση του παλαιότερου API γεωγραφικής τοποθεσίας που επιτρέπει στους ιστότοπους να έχουν πρόσβαση σε δεδομένα γεωγραφικής τοποθεσίας.
- User Idle Detection – Ενημερώνει τον ιστότοπο πότε ένας χρήστης είναι αδρανής.
Η Apple ισχυρίζεται ότι τα 16 παραπάνω Web API θα επιτρέψουν στους online διαφημιζόμενους και τις εταιρείες ανάλυσης δεδομένων στο Safari να δημιουργήσουν scripts που θα χρησιμοποιούν οι χρήστες των δακτυλικών αποτυπωμάτων στις συσκευές τους.
Τα δακτυλικά αποτυπώματα χρήστη είναι μικρά scripts που ένας διαφημιζόμενος φορτώνει και τρέχει μέσα στο πρόγραμμα περιήγησης κάθε χρήστη. Τα scripts εκτελούν ένα σύνολο τυπικών λειτουργιών, συνήθως εναντίον ενός κοινού Web API ή μιας κοινής δυνατότητας προγράμματος περιήγησης ιστού και μετρούν την απόκριση.
Δεδομένου ότι κάθε χρήστης έχει διαφορετικό πρόγραμμα περιήγησης και διαμόρφωση λειτουργικού συστήματος, οι αποκρίσεις είναι μοναδικές ανά συσκευή χρήστη. Οι διαφημιζόμενοι χρησιμοποιούν αυτήν τη μοναδική απόκριση (δακτυλικό αποτύπωμα), σε συνδυασμό με άλλα δακτυλικά αποτυπώματα και data points, για να δημιουργήσουν μοναδικά αναγνωριστικά για κάθε χρήστη.
Τα τελευταία τρία χρόνια, το δαχτυλικό αποτύπωμα έχει γίνει η τυπική μέθοδος παρακολούθησης χρηστών στην τεχνολογική και διαφημιστική αγορά στο διαδίκτυο.
Η μετάβαση στο δακτυλικό αποτύπωμα του χρήστη έρχεται καθώς οι κατασκευαστές του προγράμματος περιήγησης έχουν αναπτύξει λειτουργίες κατά της παρακολούθησης που έχουν περιορίσει τις δυνατότητες και την εμβέλεια των cookies τρίτων (παρακολούθησης).
Ορισμένοι κατασκευαστές προγραμμάτων περιήγησης έχουν επίσης αναπτύξει αντίμετρα για την αποφυγή λειτουργιών δακτυλικών αποτυπωμάτων μέσω των πιο συνηθισμένων μεθόδων – όπως γραμματοσειρές, καμβάς της HTML5 και της WebGL.
Επιπλέον, δημιουργούνται συνεχώς νέα καθώς οι κατασκευαστές προγραμμάτων περιήγησης προσθέτουν νέα Web API στον κώδικα τους.
Προς το παρόν, η Apple έχει αναγνωρίσει τα παραπάνω 16 Web API ως μερικές από τις χειρότερες παραβάσεις. Ωστόσο, η Apple είπε ότι εάν κάποια από αυτές τις νέες τεχνολογίες “μειώσει την χρήση των δακτυλικών αποτυπωμάτων” θα επανεξετάσει την προσθήκη της στο Safari.
“Η πρώτη γραμμή άμυνας του WebKit ενάντια στο αποτύπωμα δακτυλικών αποτυπωμάτων είναι να μην εφαρμόσει λειτουργίες web που αυξάνουν τις δυνατότητες των δακτυλικών αποτυπωμάτων και δεν προσφέρουν ασφαλή τρόπο προστασίας στον χρήστη“, δήλωσε η Apple.
Για τα Web API που έχουν ήδη εφαρμοστεί στο Safari χρόνια πριν, η Apple λέει ότι εργάζεται για να περιορίσει το διάνυσμα των δακτυλικών αποτυπωμάτων τους. Μέχρι στιγμής, η Apple δήλωσε τα παρακάτω:
- Καταργήθηκε η υποστήριξη για προσαρμοσμένες γραμματοσειρές. Αυτό σημαίνει ότι συνεχίζεται η λειτουργία μόνο των ενσωματωμένων γραμματοσειρών που είναι ίδιες για όλους τους χρήστες με το ίδιο σύστημα.
- Καταργήθηκαν ελάχιστες πληροφορίες ενημέρωσης λογισμικού από τη συμβολοσειρά παράγοντα χρήστη. Η συμβολοσειρά αλλάζει μόνο με την marketing έκδοση της πλατφόρμας και του προγράμματος περιήγησης.
- Καταργήθηκε το flag Do Not Track, που χρησιμοποιήθηκε ειρωνικά ως διάνυσμα δακτυλικών αποτυπωμάτων, προσθέτοντας μοναδικότητα στους χρήστες που το είχαν ενεργοποιήσει.
- Καταργήθηκε η υποστήριξη για τυχόν προσθήκες σε macOS. Άλλες desktop θύρες ενδέχεται να διαφέρουν.
- Απαιτήστε άδεια χρήστη για ιστότοπους για πρόσβαση στα API προσανατολισμού συσκευής / κίνησης σε κινητές συσκευές, επειδή η φύση των αισθητήρων κίνησης ενδέχεται να επιτρέπει τη λήψη δακτυλικών αποτυπωμάτων από τη συσκευή.
- Αποφύγετε τη λήψη δακτυλικών αποτυπωμάτων συνδεδεμένων φωτογραφικών μηχανών και μικροφώνων μέσω του Web Real-Time Communication API (WebRTC).
 στο Safari, επειδή αποτελούσαν απειλή){kind=link}