SharedWorker和用户隐私

论坛 期权论坛 编程之家     
选择匿名的用户   2021-6-2 15:58   1336   0
最近做实时聊天,用到SharedWorker。目前为止,IE和Safari一直没有支持SharedWorker。过去可以认为是微软人品有问题,不过现在IE10、IE11在支持标准方面做得其实也不差。那么为什么IE不支持SharedWorker?我查了一下,发现这个2011年的讨论:[url]http://lists.w3.org/Archives/Public/public-webapps/2011AprJun/thread.html#msg269[/url]。

简单说,微软的人认为SharedWorker存在隐私隐患。根据spec,如果两个不同域的网站都包含相同的第三方域在iframe中,这两个iframe可以发起SharedWorker来互相通讯(从而可能泄漏用户信息,如知道同一个用户访问了这两个域的网站)。

读了讨论两遍并大致思考后,总结如下:

1. 嵌入相同域的iframe,则iframe本来就可以干许多事情,比如连接服务器。但是光能连服务器是不够的。要获得用户信息,必须有标识client身份的方式。比如cookie、localStorage、IndexedDB等机制。

2. 浏览器厂商可以或已经对上述机制做了隐私增强。比如IE的禁止第三方cookie追踪。

3. SharedWorker的问题在于它提供了一种新的用户关联机制。

4. 一种可能的限制方式是,如果iframe的嵌套链路的origin有不匹配,就不允许连接到原先的SharedWorker,而是新建一个Worker。

5. SharedWorker本身应增加cross-origin的能力,这样不需要通过iframe来曲线救国。

6. iframe可能需要更多限制方式,比如限制iframe请求不发送referrer。

7. 微软还是比较扯淡,因为其实可以实现出来并加以限制,而不用一直不实现。


以上。
分享到 :
0 人收藏
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

积分:3875789
帖子:775174
精华:0
期权论坛 期权论坛
发布
内容

下载期权论坛手机APP