Criteo är en reklambyrå. Du kanske inte har hört talas om dem, men de gör retargeting, den typ av reklam som förföljer användare över hela webben och ber dem att köpa en produkt som de redan har sett eller köpt. För att identifiera användare på olika webbplatser förlitar Criteo sig på spårning över flera webbplatser med hjälp av cookies och andra metoder för att spåra användare när de surfar. Detta ledde till att de försökte kringgå säkerhetsfunktioner i Apples webbläsare Safari som skyddar användare från spårning.
Alla populära webbläsare ger användarna kontroll över vem som ställer in cookies, men Safari är den enda som blockerar tredjepartscookies (de som är inställda av en annan domän än webbplatsen du besöker) som standard. (Safaris val är viktigt eftersom endast 5-10% av användarna någonsin ändrar standardinställningar i programvaran.) Criteo förlitar sig på tredjepartscookies. Eftersom användarna inte har någon anledning att besöka Criteos egen webbplats, får företaget in sina cookies i användarnas maskiner genom integrationer över flera onlinebutiker. Safaris blockering av kakor är en stor sak för Criteo, särskilt med tanke på den stora och lukrativa karaktären hos iPhone-användarbasen. Istället för att acceptera detta har Criteo upprepade gånger utarbetat sätt att besegra Safaris integritetsskydd.
Det verkar som att Criteos svar är att avstå från cookies för Safari-användare och skapa en beständig identifierare genom att förlita sig på en viktig användarsäkerhetsteknik som kallas HSTS. När en webbläsare ansluter till en webbplats via HTTPS (dvs. en webbplats som stöder kryptering), kan den webbplatsen svara med en strikt HTTP Transport Security-policy (HSTS) som instruerar webbläsaren att endast kontakta den med HTTPS. Utan en HSTS-policy kan din webbläsare försöka ansluta till webbplatsen via vanlig vanlig HTTP i framtiden – och därmed vara sårbar för en nedgraderingsattack. Criteo använde HSTS för att smyga in data i webbläsarens cache för att generera en identifierare som den kunde använda för att identifiera individers webbläsare och profilera dem. Detta tillvägagångssätt är baserat på det faktum att det är mycket svårt att rensa HSTS-data i Safari, vilket kräver att användaren rensar cacheminnet helt för att ta bort identifieraren. När det gäller EFF är det särskilt oroande att Criteo använde en teknik som hjälper till att skydda integriteten mot användarnas säkerhetsintressen genom att rikta in sig på HSTS. Användningen av denna mekanism dokumenterades av Gotham City Research, ett värdepappersföretag som satsade på aktier i Criteo.
I början av december släppte Apple en uppdatering för iOS och Safari som inaktiverade Criteos förmåga att utnyttja HSTS. Detta resulterade i att Criteo fick revidera sin intäktsprognos och att aktiekursen rasade.
Källa: eff
