Web Tracking 的資安攻擊與防禦策略:淺析當代瀏覽器的隱私議題 (iThome鐵人賽系列書)【軟精裝】

周楷翔(Allen Chou)

  • Web Tracking 的資安攻擊與防禦策略:淺析當代瀏覽器的隱私議題 (iThome鐵人賽系列書)【軟精裝】-preview-1
  • Web Tracking 的資安攻擊與防禦策略:淺析當代瀏覽器的隱私議題 (iThome鐵人賽系列書)【軟精裝】-preview-2
  • Web Tracking 的資安攻擊與防禦策略:淺析當代瀏覽器的隱私議題 (iThome鐵人賽系列書)【軟精裝】-preview-3
  • Web Tracking 的資安攻擊與防禦策略:淺析當代瀏覽器的隱私議題 (iThome鐵人賽系列書)【軟精裝】-preview-4
  • Web Tracking 的資安攻擊與防禦策略:淺析當代瀏覽器的隱私議題 (iThome鐵人賽系列書)【軟精裝】-preview-5
  • Web Tracking 的資安攻擊與防禦策略:淺析當代瀏覽器的隱私議題 (iThome鐵人賽系列書)【軟精裝】-preview-6
  • Web Tracking 的資安攻擊與防禦策略:淺析當代瀏覽器的隱私議題 (iThome鐵人賽系列書)【軟精裝】-preview-7
  • Web Tracking 的資安攻擊與防禦策略:淺析當代瀏覽器的隱私議題 (iThome鐵人賽系列書)【軟精裝】-preview-8
  • Web Tracking 的資安攻擊與防禦策略:淺析當代瀏覽器的隱私議題 (iThome鐵人賽系列書)【軟精裝】-preview-9
  • Web Tracking 的資安攻擊與防禦策略:淺析當代瀏覽器的隱私議題 (iThome鐵人賽系列書)【軟精裝】-preview-10
  • Web Tracking 的資安攻擊與防禦策略:淺析當代瀏覽器的隱私議題 (iThome鐵人賽系列書)【軟精裝】-preview-11
  • Web Tracking 的資安攻擊與防禦策略:淺析當代瀏覽器的隱私議題 (iThome鐵人賽系列書)【軟精裝】-preview-12
  • Web Tracking 的資安攻擊與防禦策略:淺析當代瀏覽器的隱私議題 (iThome鐵人賽系列書)【軟精裝】-preview-13
  • Web Tracking 的資安攻擊與防禦策略:淺析當代瀏覽器的隱私議題 (iThome鐵人賽系列書)【軟精裝】-preview-14
  • Web Tracking 的資安攻擊與防禦策略:淺析當代瀏覽器的隱私議題 (iThome鐵人賽系列書)【軟精裝】-preview-15
  • Web Tracking 的資安攻擊與防禦策略:淺析當代瀏覽器的隱私議題 (iThome鐵人賽系列書)【軟精裝】-preview-16
  • Web Tracking 的資安攻擊與防禦策略:淺析當代瀏覽器的隱私議題 (iThome鐵人賽系列書)【軟精裝】-preview-17
  • Web Tracking 的資安攻擊與防禦策略:淺析當代瀏覽器的隱私議題 (iThome鐵人賽系列書)【軟精裝】-preview-18
  • Web Tracking 的資安攻擊與防禦策略:淺析當代瀏覽器的隱私議題 (iThome鐵人賽系列書)【軟精裝】-preview-19
Web Tracking 的資安攻擊與防禦策略:淺析當代瀏覽器的隱私議題 (iThome鐵人賽系列書)【軟精裝】-preview-1

買這商品的人也買了...

相關主題

商品描述

隱匿卻無所不在的隱私威脅

 

從 Web Tracking 技術的攻擊、防禦、歷史發展,
探討當代瀏覽器最重要的隱私議題之一



本書內容改編自第14 屆 iThome 鐵人賽 Security 組冠軍系列文章《天羅地網:淺談 Web Tracking 的過去、現在、未來》。內容涵蓋 Web Tracking 相關技術的基礎、實際案例, 以及未來發展。Web Tracking 意指「在不同情境中重新識別使用者,而且技術上無須使用者的期待或同意」。常見的相關技術包含 Cookie 與 Browser Fingerprinting 等。藉由 Web Tracking,追蹤者可以暗中記錄使用者的行為,推斷其偏好及傾向,以預測或甚至操弄使用者的行為。Web Tracking 相關技術無疑是當今網路生態中最具有隱私侵犯性的技術。


正常功能如何濫用於隱私侵害,以及如何防禦

Web Tracking 技術的一大特色在於,其所使用的瀏覽器功能大多不是一開始便設計於追蹤使用者,然而因為一些設計上的缺陷或預料之外的利用方式,使得這些功能可以被濫用於追蹤使用者。當今存在兩種不同的反制徑路:第一,是對於 Web Tracking 技術的防禦,探討如何避免被追蹤;第二,是討論如何在保護隱私的前提下達成那些 Web Tracking 希望做到的目標。這個反制的過程有來自資安社群、瀏覽器開發商、廣告產業界、學界的輸入,雖然都打著保護隱私的稱呼,卻因各式問題而有不少爭議與衝突意見。


從基礎瞭解 Web Tracking 的技術發展

本書將從最基礎開始講起,討論過去與現在曾經出現的幾個經典 Web Tracking 技術以及其防禦。同時,也會探討幾個真實世界的案例。本書的最後一章則會討論隱私保護的次世代 Web Tracking 技術。讀者除了會學習到相關技術以外,也會對於一些看似正常、合理的功能可以如何被濫用有更多的了解,並認識到如何分析一個功能所具有的潛在資安與隱私威脅。


本書特色
從攻擊到防禦:同時探討追蹤技術的攻擊與防禦面向
PoC 程式解析:藉由範例程式碼與講解輔助概念理解
實際案例分析:由案例分析瞭解追蹤技術的實際應用
隱私保護技術:探究次世代追蹤技術將如何兼顧隱私


目標讀者
・對網頁安全、瀏覽器安全與隱私、網路隱私等議題感興趣者

作者簡介

周楷翔(Allen Chou)

目前在學術單位擔任研究助理,研究領域為資訊安全, 並著重在網頁安全、瀏覽器安全、加密通訊。參與的瀏覽器安全研究曾發表於國際研討會。

目錄大綱

前言

第一章  初探 Web Tracking
1-1 什麼是 Web Tracking
      Web Tracking 與 Security 的關係
      Web Tracking 與廣告投放
      Web Tracking 的用途
1-2 背景知識


第二章  Stateful Tracking
2-1 Cookie
      First-party & Third-party Cookie
      Third-party Cookie 如何做到 Cross-site Tracking
      SameSite Cookies
      Third-party Cookie 的輓歌⋯⋯嗎?
      Firefox 的防禦手段
      Safari 的防禦機制:ITP
      Storage Access API
      Chrome 的防禦機制:CHIPS
      Cookie Syncing
2-2 
典型與意料之外的儲存位置
      Local Storage
      IndexedDB
      Cache
      HSTS SuperCookie
      Favicon SuperCookie
2-3 
達成 Cross-Site Tracking 的其他方法
      CNAME Cloaking
      Bounce Trackers
      Link Decoration
2-4 Content Blocking

      Content Blocker 的不同阻擋樣態
      Content Blocker 如何阻擋請求
     如何偵測廣告與 tracker
     如何維持網站功能性
     如何繞過基於 Filter List 的 Content Blocking
2-5 案例分析:Facebook 的 Web Tracking

      FB Pixel 之前的追蹤
      FB Pixel 是什麼
      FBCLID 如何運作
     防禦

第三章  Stateless Tracking
3-1 Browser Fingerprinting 是什麼
      Browser Fingerprinting 範例
      Browser Fingerprinting 如何用於追蹤
      Browser Fingerprinting 特徵的理想性質
      Browser Fingerprinting 的特性
      Active 與 Passive Fingerprinting
      Browser Fingerprinting 的防禦策略
3-2 Information Theory

      Information
      Surprisal
      Entropy
      Anonymity Sets
3-3 Passive Fingerprinting

      IP Address
      HTTP Request Header
      TLS Fingerprinting
3-4 
螢幕與視窗資訊
     使用 JavaScript 獲得螢幕與視窗大小
     使用 CSS 獲得視窗大小
     解法
3-5 Fonts Fingerprinting

     篩選待測字型
     檢查字型是否存在
     防禦
3-6 Canvas Fingerprinting

     背景
     為何 Canvas Fingerprinting 存在
     如何產生 Canvas Fingerprint
     防禦
3-7 WebGL Fingerprinting

     背景:何謂 WebGL
      WebGL Report Fingerprinting
      WebGL Canvas Fingerprinting
     防禦
3-8 WebRTC Fingerprinting 與 Media Device Fingerprinting

      Fingerprinting
      WebRTC Fingerprinting
      Media Device Fingerprinting
3-9 Web Audio Fingerprinting

      Web Audio API
      Web Audio Fingerprinting
      Fingerprinting Vectors
     為何 Web Audio API 會產生不同結果
     解法
3-10 Browser Extensions Fingerprinting

      Browser Extension 簡介
     如何偵測 Browser Extension 是否存在
     防禦
3-11 Ad blocker Fingerprinting

     如何檢測 Filter List 啟用狀態
     優勢與限制
     防禦
3-12 Battery Status Fingerprinting

      Battery Status API
      Battery Status Fingerprinting
     防禦
3-13 JavaScript-less Fingerprinting

     選擇性執行 CSS Rules
      Fonts Fingerprinting by @font-face
      HSTS SuperCookie with CSS
     結語
3-14 Browser Fingerprinting 的防禦以及其如何失敗

     為何 Anti-Fingerprinting 這麼難?
      Browser Fingerprinting 的防禦手段
     為何偽造數值很困難?
      Privacy Paradox:失敗的 Anti-Fingerprinting
     技術會使Fingerprinting 更容易
3-15 Privacy Budget

      Privacy Budget 如何運作
      Privacy Budget 的批評
     結語
3-16 Fingerprint 的改變與連結

      Fingerprint 的穩定度
      Fingerprint 為何會更新?
     如何串連不同 Fingerprint

第四章  Privacy-preserving Web Tracking
4-1 Web Tracking 可能兼顧隱私嗎?
     何謂 Privacy-preserving
      Privacy-preserving Web Tracking
     瀏覽器的隱私革命
4-2 FLoC

      FLoC 是什麼?想解決什麼問題?
      FLoC 的運作方式
      FLoC 的批評
      FLoC 的攻擊
     結語
4-3 Topics API

      Topics API 如何運作
     隱私分析
     攻擊
     結語
4-4 Unified ID 2.0

      Unified ID 2.0 如何運作?
     安全分析
     隱私分析
     結語
4-5 Private Click Measurement

      PCM 要解決什麼?
      PCM 如何運作
     安全性分析
      PCM 的批評
     結語
4-6 Interoperable Private Attribution

      IPA 想解決什麼
      IPA 如何運作
      IPA 的優勢與限制
4-7 P3P、DNT、GPC

      Platform for Privacy Preferences(P3P)
      Do Not Track(DNT)
      Global Privacy Control(GPC)

結語

參考資料