Web Tracking 的資安攻擊與防禦策略:淺析當代瀏覽器的隱私議題 (iThome鐵人賽系列書)【軟精裝】
周楷翔(Allen Chou)
- 出版商: 博碩
- 出版日期: 2024-01-08
- 定價: $600
- 售價: 7.8 折 $468
- 語言: 繁體中文
- 頁數: 272
- ISBN: 6263337052
- ISBN-13: 9786263337053
-
相關分類:
Penetration-test
立即出貨 (庫存 > 10)
買這商品的人也買了...
-
WebSecurity 網站滲透測試:Burp Suite 完全學習指南 (iT邦幫忙鐵人賽系列書)$600$510 -
WebGL 建構網頁中的 3D遊戲 從基礎渲染原理、光影到應用$980$774 -
Kubernetes 建置與執行 : 邁向基礎設施的未來, 3/e (Kubernetes: Up and Running: Dive Into the Future of Infrastructure, 3/e)$580$458 -
遊戲設計 X 演算法 X TypeScript:出版社對我說「把祕笈通通交出來!」(iThome鐵人賽系列書)【軟精裝】$720$562 -
從異世界歸來發現只剩自己不會 Kubernetes:初心者進入雲端世界的實戰攻略!(iThome鐵人賽系列書)【軟精裝】$720$562 -
最強 AI 投資分析:打造自己的股市顧問機器人,股票趨勢分析×年報解讀×選股推薦×風險管理$750$593 -
從駭客的角度學攻擊 - 惡意程式碼逆向全破解$880$695 -
小型網路資訊安全|給網管人員的正經指南 (Cybersecurity for Small Networks)$520$390 -
Clean Architecture 實作篇:在整潔的架構上弄髒你的手 (第二版) (Get Your Hands Dirty on Clean Architecture, 2/e)$600$468 -
React 思維進化:一次打破常見的觀念誤解,躍升專業前端開發者(iThome鐵人賽系列書)【軟精裝】$790$616 -
團隊自省指南|打造敏捷團隊$500$395 -
Vue.js 3 前端開發不踩雷:Composition API × Vue Router × Pinia,帶你快速升級進階開發者!(iThome鐵人賽系列書)【軟精裝】$650$507 -
網頁視覺特效最強必殺技大全:用 Three.js 與 Shader 圖說核心原理 x 閃避踩雷 x 創作指南(iThome鐵人賽系列書)【軟精裝】(書況有些許瑕疵,不介意在下單)$800$624 -
你的網站非常危險 - Web安全攻防滲透駭客現場直播$880$748 -
前端開發資安入門|你不能忽視的漏洞對策必備知識$520$411 -
JavaScript 設計模式學習手冊, 2/e (Learning JavaScript Design Patterns: A JavaScript and React Developer's Guide, 2/e)$580$458 -
Staff 工程師之路|獻給個人貢獻者成長與改變的導航指南 (The Staff Engineer's Path)$580$458 -
26大企業紅藍隊攻防演練:從企業永續報告書精進資安網路攻防框架(iThome鐵人賽系列書)$650$507 -
資訊與網路安全概論, 7/e$650$618 -
CI/CD 安全防護大揭密:DevSecOps 最佳實踐指南$680$530 -
程式設計守則|如何寫出更好的程式碼 (The Rules of Programming: How to Write Better Code)$620$490 -
人手一本的資安健診實作課:不是專家也能自己動手做!(Win10 / Win11適用)【暢銷回饋版】$560$437 -
脆弱系統:從人性貪婪、網路詐騙到駭客入侵,探索資訊安全的歷史和未來$580$458 -
Raspberry Pi 樹莓派:AI × OpenCV × LLM × AIoT 創客聖經$880$695 -
資安鑑識分析:數位工具、情資安全、犯罪偵防與證據追蹤$560$437
商品描述
隱匿卻無所不在的隱私威脅
從 Web Tracking 技術的攻擊、防禦、歷史發展,
探討當代瀏覽器最重要的隱私議題之一
本書內容改編自第14 屆 iThome 鐵人賽 Security 組冠軍系列文章《天羅地網:淺談 Web Tracking 的過去、現在、未來》。內容涵蓋 Web Tracking 相關技術的基礎、實際案例, 以及未來發展。Web Tracking 意指「在不同情境中重新識別使用者,而且技術上無須使用者的期待或同意」。常見的相關技術包含 Cookie 與 Browser Fingerprinting 等。藉由 Web Tracking,追蹤者可以暗中記錄使用者的行為,推斷其偏好及傾向,以預測或甚至操弄使用者的行為。Web Tracking 相關技術無疑是當今網路生態中最具有隱私侵犯性的技術。
▇ 正常功能如何濫用於隱私侵害,以及如何防禦
Web Tracking 技術的一大特色在於,其所使用的瀏覽器功能大多不是一開始便設計於追蹤使用者,然而因為一些設計上的缺陷或預料之外的利用方式,使得這些功能可以被濫用於追蹤使用者。當今存在兩種不同的反制徑路:第一,是對於 Web Tracking 技術的防禦,探討如何避免被追蹤;第二,是討論如何在保護隱私的前提下達成那些 Web Tracking 希望做到的目標。這個反制的過程有來自資安社群、瀏覽器開發商、廣告產業界、學界的輸入,雖然都打著保護隱私的稱呼,卻因各式問題而有不少爭議與衝突意見。
▇ 從基礎瞭解 Web Tracking 的技術發展
本書將從最基礎開始講起,討論過去與現在曾經出現的幾個經典 Web Tracking 技術以及其防禦。同時,也會探討幾個真實世界的案例。本書的最後一章則會討論隱私保護的次世代 Web Tracking 技術。讀者除了會學習到相關技術以外,也會對於一些看似正常、合理的功能可以如何被濫用有更多的了解,並認識到如何分析一個功能所具有的潛在資安與隱私威脅。
本書特色
從攻擊到防禦:同時探討追蹤技術的攻擊與防禦面向
PoC 程式解析:藉由範例程式碼與講解輔助概念理解
實際案例分析:由案例分析瞭解追蹤技術的實際應用
隱私保護技術:探究次世代追蹤技術將如何兼顧隱私
目標讀者
・對網頁安全、瀏覽器安全與隱私、網路隱私等議題感興趣者
作者簡介
周楷翔(Allen Chou)
目前在學術單位擔任研究助理,研究領域為資訊安全, 並著重在網頁安全、瀏覽器安全、加密通訊。參與的瀏覽器安全研究曾發表於國際研討會。
目錄大綱
前言
第一章 初探 Web Tracking
1-1 什麼是 Web Tracking
Web Tracking 與 Security 的關係
Web Tracking 與廣告投放
Web Tracking 的用途
1-2 背景知識
第二章 Stateful Tracking
2-1 Cookie
First-party & Third-party Cookie
Third-party Cookie 如何做到 Cross-site Tracking
SameSite Cookies
Third-party Cookie 的輓歌⋯⋯嗎?
Firefox 的防禦手段
Safari 的防禦機制:ITP
Storage Access API
Chrome 的防禦機制:CHIPS
Cookie Syncing
2-2 典型與意料之外的儲存位置
Local Storage
IndexedDB
Cache
HSTS SuperCookie
Favicon SuperCookie
2-3 達成 Cross-Site Tracking 的其他方法
CNAME Cloaking
Bounce Trackers
Link Decoration
2-4 Content Blocking
Content Blocker 的不同阻擋樣態
Content Blocker 如何阻擋請求
如何偵測廣告與 tracker
如何維持網站功能性
如何繞過基於 Filter List 的 Content Blocking
2-5 案例分析:Facebook 的 Web Tracking
FB Pixel 之前的追蹤
FB Pixel 是什麼
FBCLID 如何運作
防禦
第三章 Stateless Tracking
3-1 Browser Fingerprinting 是什麼
Browser Fingerprinting 範例
Browser Fingerprinting 如何用於追蹤
Browser Fingerprinting 特徵的理想性質
Browser Fingerprinting 的特性
Active 與 Passive Fingerprinting
Browser Fingerprinting 的防禦策略
3-2 Information Theory
Information
Surprisal
Entropy
Anonymity Sets
3-3 Passive Fingerprinting
IP Address
HTTP Request Header
TLS Fingerprinting
3-4 螢幕與視窗資訊
使用 JavaScript 獲得螢幕與視窗大小
使用 CSS 獲得視窗大小
解法
3-5 Fonts Fingerprinting
篩選待測字型
檢查字型是否存在
防禦
3-6 Canvas Fingerprinting
背景
為何 Canvas Fingerprinting 存在
如何產生 Canvas Fingerprint
防禦
3-7 WebGL Fingerprinting
背景:何謂 WebGL
WebGL Report Fingerprinting
WebGL Canvas Fingerprinting
防禦
3-8 WebRTC Fingerprinting 與 Media Device Fingerprinting
Fingerprinting
WebRTC Fingerprinting
Media Device Fingerprinting
3-9 Web Audio Fingerprinting
Web Audio API
Web Audio Fingerprinting
Fingerprinting Vectors
為何 Web Audio API 會產生不同結果
解法
3-10 Browser Extensions Fingerprinting
Browser Extension 簡介
如何偵測 Browser Extension 是否存在
防禦
3-11 Ad blocker Fingerprinting
如何檢測 Filter List 啟用狀態
優勢與限制
防禦
3-12 Battery Status Fingerprinting
Battery Status API
Battery Status Fingerprinting
防禦
3-13 JavaScript-less Fingerprinting
選擇性執行 CSS Rules
Fonts Fingerprinting by @font-face
HSTS SuperCookie with CSS
結語
3-14 Browser Fingerprinting 的防禦以及其如何失敗
為何 Anti-Fingerprinting 這麼難?
Browser Fingerprinting 的防禦手段
為何偽造數值很困難?
Privacy Paradox:失敗的 Anti-Fingerprinting
技術會使Fingerprinting 更容易
3-15 Privacy Budget
Privacy Budget 如何運作
Privacy Budget 的批評
結語
3-16 Fingerprint 的改變與連結
Fingerprint 的穩定度
Fingerprint 為何會更新?
如何串連不同 Fingerprint
第四章 Privacy-preserving Web Tracking
4-1 Web Tracking 可能兼顧隱私嗎?
何謂 Privacy-preserving
Privacy-preserving Web Tracking?
瀏覽器的隱私革命
4-2 FLoC
FLoC 是什麼?想解決什麼問題?
FLoC 的運作方式
FLoC 的批評
FLoC 的攻擊
結語
4-3 Topics API
Topics API 如何運作
隱私分析
攻擊
結語
4-4 Unified ID 2.0
Unified ID 2.0 如何運作?
安全分析
隱私分析
結語
4-5 Private Click Measurement
PCM 要解決什麼?
PCM 如何運作
安全性分析
PCM 的批評
結語
4-6 Interoperable Private Attribution
IPA 想解決什麼
IPA 如何運作
IPA 的優勢與限制
4-7 P3P、DNT、GPC
Platform for Privacy Preferences(P3P)
Do Not Track(DNT)
Global Privacy Control(GPC)
結語
參考資料
