Safari dalam Perlombaan Senjata Melawan Pengikut – Criteo Merasakan Panasnya
Criteo adalah biro iklan. Anda mungkin belum pernah mendengarnya, tetapi mereka melakukan penargetan ulang, jenis iklan yang mengejar pengguna di seluruh web, memohon mereka untuk membeli produk yang telah mereka lihat atau beli. Untuk mengidentifikasi pengguna di seluruh situs web, Criteo mengandalkan pelacakan lintas situs menggunakan cookie dan metode lain untuk melacak pengguna saat mereka menjelajah. Ini membuat mereka mencoba dan menghindari fitur keamanan di browser Safari Apple yang melindungi pengguna dari pelacakan.
Semua browser populer memberi pengguna kontrol atas siapa yang menyetel cookie, tetapi Safari adalah satu-satunya yang memblokir cookie pihak ketiga (yang disetel oleh domain yang berbeda dari situs web yang Anda kunjungi) akses) secara default. (Pilihan Safari penting karena hanya 5-10% pengguna yang pernah mengubah pengaturan default di perangkat lunak.) Criteo bergantung pada cookie pihak ketiga. Karena pengguna memiliki sedikit alasan untuk mengunjungi situs web Criteo sendiri, perusahaan memasukkan cookie ke dalam mesin pengguna melalui integrasi di beberapa situs ritel online. Pemblokiran cookie Safari adalah masalah besar bagi Criteo, terutama mengingat basis pengguna iPhone yang besar dan menguntungkan. Alih-alih menerima ini, Criteo telah berulang kali mencari cara untuk mengalahkan perlindungan privasi Safari.
Tampaknya respons Criteo adalah mengabaikan cookie untuk pengguna Safari dan membuat pengenal tetap dengan mengandalkan teknologi keamanan pengguna penting yang disebut HSTS. Saat browser terhubung ke situs web melalui HTTPS (yaitu situs web yang mendukung enkripsi), situs web tersebut mungkin merespons dengan kebijakan HTTP Transport Security (HSTS) yang ketat, menginstruksikan browser untuk hanya menghubunginya menggunakan HTTPS. Tanpa kebijakan HSTS, browser Anda dapat mencoba menyambung ke situs melalui HTTP lama biasa di masa mendatang — dan karenanya rentan terhadap serangan penurunan versi. Criteo menggunakan HSTS untuk menyelundupkan data ke dalam cache browser untuk menghasilkan pengenal yang dapat digunakan untuk mengidentifikasi browser individu dan membuat profilnya. Pendekatan ini didasarkan pada kenyataan bahwa sangat sulit untuk menghapus data HSTS di Safari, yang mengharuskan pengguna untuk menghapus cache sepenuhnya untuk menghapus pengidentifikasi. Adapun EFF, sangat mengkhawatirkan bahwa Criteo menggunakan teknik yang membantu melindungi privasi terhadap kepentingan keamanan pengguna dengan menargetkan HSTS. Penggunaan mekanisme ini didokumentasikan oleh Gotham City Research, sebuah perusahaan investasi yang bertaruh pada saham Criteo.
Pada awal Desember, Apple merilis pembaruan untuk iOS dan Safari yang menonaktifkan kemampuan Criteo untuk mengeksploitasi HSTS. Hal ini mengakibatkan Criteo harus merevisi perkiraan pendapatannya dan harga sahamnya anjlok.
Sumber: eff
