web-dev-qa-db-ja.com

サービスワーカーに関するプライバシーと追跡に関する懸念

TL; DR

私がアクセスしたサイトに懸念する必要がありますか?ブラウザーでサービスワーカーを開始し、たまたま "永久に"イベントをリッスンしていますか?

休止中のサービスワーカーが私を追跡できますか?

長い質問

私はいじったり遊んでいて、FirefoxでService WorkerのJavaScriptファイルをデバッグする方法を探しました。 about:debugging を開くと、サイトにログインしていなくても、リンクをたどるだけで1回でもアクセスできるサイトによってインストールされた多くのService Workerインスタンスが表示されました。

スクリーンショットの例 Firefox 64 shows my workers

現時点では、これらのサービスはfetchイベントを待機して停止していることがわかります。

質問:Cookieの使用を拒否した後でも、悪意のあるサービスワーカーが私の同意なしにオンライン/オフラインのアクティビティを追跡する可能性はありますか?

未解決の質問:プライバシーの観点から、ブラウザー開発者(Mozilla、Googleなど)がユーザーに特定のサイトのサービスワーカーを簡単にオプトアウトできるようにすることはお勧めできませんか?

脅威モデル:追跡について話すとき、私は主にワーカーのストレージ内に保存された一意のIDを生成し、それを使用してサービスワーカーの開発者に情報を提供することを意味しますこれらの情報は通常、広告をパーソナライズするために使用できます。 脅威モデルの一部プライバシー設定をバイパスし、複数のサービスワーカー/サイトからの情報を組み合わせてユーザーを特定したり、詳細なプロファイリング(主にマーケティング用)を構築したりすることを恐れています)。

私は知っていますService Workersはサンドボックスで実行されるので、それは私の理解ですそのofflineアクティビティは実際には追跡可能であってはなりません。

追加情報:サードパーティのCookieをブロックし、Mozillaアンチトラッキングモードを有効にします(たとえば、現在Security SEで動作しています)

番号! Service Workerも、通常のJavaScriptと同様に、Originコンテキストで実行されます。したがって、ドメインに登録されているService Workerは、別のドメインに登録されているService Workerと実際に対話することはできません。さらに、JavaScriptとは異なり、DOMにアクセスできません。

また、サイトにアクセスしている限り、そのサイト内でのアクティビティを追跡するためにSWは必要ありません(脅威モデルと比較して)。そのため、追跡よりも利点はありません。

また、未解決の問題については、パフォーマンスなどに多大な影響を与えるため、ソフトウェアを登録するだけでは害はありません。彼らはMITM攻撃で登録されたSWを回避するためにHTTPSに制限し、コメントで既に述べたように、SWはシークレットモードでは無効になっています。

2
1lastBr3ath