发布日期 2021-04-15

原创渐进式网络应用:可以忽略的黑暗面

原标题:渐进式Web应用:可能被忽略的黑暗面

全文2755字,预计学习时间7分钟

来源:谷歌

就像苹果落到牛顿头上,改变了人们对引力的认识一样,增强型web应用通过以web的形式提供类似应用的体验,正在改变人们对应用的认识。

增强型web应用是Google最初提出的技术之一。2015年,弗朗西丝贝里曼和亚历克斯罗素首次提出了渐进式网络应用。

这是一种描述应用程序的方法,它利用了现代浏览器支持的新功能,如服务人员和网络应用程序列表。无论本机操作系统如何,用户都可以将网络应用程序升级到增强的网络应用程序。

PWAs也可以联网,Google说它有以下特点:

可靠性:加载快,即使在不确定的网络条件下,霸王龙(Chrome disconnected interface)也不会显示。

快速:快速响应用户交互,动画流畅如丝不卡。

强参与性:就像设备上的自然应用一样,它具有沉浸式的用户体验。

你可能看过PWA,大家都觉得未来可以期待。但你可能没有意识到,它也有不常被提及的阴暗面。隐患很多,但本文将主要关注一项:指纹识别。

什么是指纹识别?

"没有两个人有相同的指纹,包括同卵双胞胎."指纹让人类独一无二,彼此分离。同样,指纹技术也可以应用于其他实体,以识别独特的个人。浏览器指纹就是一个例子。

浏览器指纹是网站通过配置设置或其他显著属性德粱金融网识别或重新识别访问者、用户代理或设备的能力。浏览器指纹可以作为一种安全措施,如用户认证。在某些情况下,指纹识别可用于:

识别用户

跟踪和关联会话内和会话间的用户浏览活动

收集信息,对用户进行推论等。

可能造成什么样的伤害?

指纹识别最大的威胁是可能威胁到用户的隐私。

用户标识

用户可能因为不同的原因需要匿名上网,比如害怕被监控,人身安全等。浏览器的指纹识别可以与个人识别信息相关联,并且应用程序或服务提供商可以容易地识别匿名用户。

浏览活动的意外关联

即使没有个人信息识别,浏览也会被检测到。网络平台可以根据浏览器指纹保存个人数据,所以这种情况是完全可能的。这可能会导致在没有用户授权或内容的情况下跟踪用户,清除cookie等操作不会阻止或重置已经通过浏览器指纹获得的关联。

关于用户的推论

即使没有这样的需求,用户也会仅仅基于几个浏览器指纹相关的特征被识别或分类。操作系统版本和设备细节可以用来推断用户的购买力。如果用户是匿名的,肯定不想用这种扣分方式。因为指纹识别技术,出现了一些相关的案例,比如,Mac用户会被定向到更贵的酒店。

PWA如何辅助指纹识别?

PWAs需要一个清单文件,这是一个JSON格式的文件,包含描述应用程序各种特性的键。清单文件中的一个值是start_url。该值确定当用户启动网络应用程序时(例如,当用户从应用程序菜单或设备的主屏幕单击网络应用程序的图标时)应该加载的首选URL。

W3C团队认为,这种机制包括设备或浏览器的指纹识别以及与浏览器活动相关的潜在威胁。他们认为这将导致一种类似于cookie的新的本地机制。

可能start_url是用来表示应用程序是从浏览器外部启动的(比如“start _ URL”:“index . html?启动程序=主屏幕).这对于分析或其他定制可能很有用。但是,开发人员也可以将字符串编码成唯一标识用户的start_url(例如,服务器分配的UUID)。这是用户可能不知道的指纹/隐私敏感信息。

甚至在撰写本文的时候,这个问题还有待探讨,还没有提出合适的解决方案。而且正如W3C团队提到的,它甚至达到了Github问题已经解决的地步。

“我们同意我在承认这个问题的同时已经解决了这个问题,但是这个问题是无法解决的,因为它是网址固有的。我们让实现者知道这是一个问题,并通过UI提供缓解的可能性。”

安全研究员Lukasz Olejnik对排名前10000的网页进行了一项研究,以检查网页指纹的使用情况。他的研究发现:

第1672页包括manifest.json

828使用专用的start_url

274个使用的参数

没有网页使用随机生成的标识符

他还指出,虽然他确实看到了明显的唯一标识符(例如51606102_9527_7259_7770),但它们似乎不是为每个新用户随机生成的。这个适度的测试结果相当谨慎:技术上可能的跟踪目前似乎没有使用。

虽然这种情况暂时得到缓解,但在目前的公共部门会计准则中,跟踪方法尚未实施。但它是一颗定时炸弹,因为我们知道,它可能很快会成为针对用户隐私的无声杀手。

苹果会如何反击?

资料来源:unsplash

苹果以其安全的设备生态系统而闻名,这主要是因为比任何其他设备制造商都更严格的规则和政策。一方面失去了产品的定制,但另一方面增加了系统的安全性。苹果更喜欢代表用户做出决定,而不是用户自己。

当普华永道试图像本地应用程序一样执行操作时,他们需要访问设备的硬件功能,如蓝牙、NFC、磁场等。可以通过引入一些Web API来提供这些功能,比如Web蓝牙API、Web NFC API、磁强计API等。

然而,苹果公司最近拒绝在基于safari的浏览器中使用16个Web API,这表明它们提供了一种指纹识别的方法,并对用户隐私构成了威胁。这些API已经在Chromium系统中实现,部分已经在Mozilla系统中实现。

苹果还声称,在线广告商和数据分析公司可以操纵这些API来对用户及其设备进行指纹识别。

以上情况给PWAs带来了麻烦,这将成为开发者尝试构建利用原生特性的应用的障碍。WebKit对抗指纹的第一道防线是它不执行增加指纹可操作性的Web功能,也不使用安全的方法保护用户。

苹果还表示,如果这些新技术中有任何一项“未来降低指纹识别能力”,将重新考虑将其加入Safari。但PWAs是一项极具发展潜力的技术,上述隐私问题不应该让客户远离可以根据喜好提供F.I.R.E的PWAs。

请留言,如注意

我们一起分享人工智能学习和开发的干货

如转载请在后台留言,遵照转载规范,返回搜狐看更多

负责编辑:

聚合阅读