专门开发广告封锁与隐私保护机制的AdGuard,日前借由GitHub发布超过6,000款秘密定位器的名单,开放第三方利用该名单来阻止那些滥用CNAME(Canonical Name)记录的秘密定位器,同时宣称市场上超过9成的浏览器用户,都受到这些秘密定位器的跟踪。
CNAME为域名服务器中的资源记录,用来将域名名称的别名映射至标准名称,最常被应用在有多种服务的网站,例如它会把ftp.example. com与blog.example.com等子域名都指向example.com,一旦变更了IP地址,只要更改example.com的IP即可,此外,CNAME记录只会指向域名名称,而非IP地址,该特性造就了AdGuard所描述的秘密定位器。
AdGuard说明,为了创造无缝的交互能力,浏览器信任子域名就像信任主要域名一样,然而,有些第三方的关注服务器却伪装成可靠网站的子域名,在取得用户的Cookie上,扮演与主要域名同样的角色,浏览器无法侦测这些滥用CNAME记录的关注服务器,使得第三方关注服务器可取得第一方网站才能获得的用户Cookie,从用户名、联系资料到使用期间认证Cookie等。
一群研究人员也在今年2月出版了一份相关的研究报告,名为“大规模分析基于DNS的关注逃避”(Large-scale Analysis of DNS-based Tracking Evasion),指出有多达95%的网站都部署了这类的定位器而外泄用户Cookie。
AdGuard表示,浏览器本身无从避免CNAME伪装关注,但内容封锁器却可以,不管是AdGuard、AdGuard DNS或是Firefox上的扩展程序uBO,都能封锁这类的秘密定位器,然而,由于Chrome、Chromium与Safari等浏览器的限制,一般的扩展程序无法动态解析主机名称并删除定位器,它们被局限在过滤名单上,也难以想象有人会扫描整个网站以找出以CNAME遮掩的定位器。
于是,AdGuard提供了含有超过6,000个秘密定位器的列表,供其它第三方封锁程序得以将它们嵌入过滤名单中,也承诺未来将会持续更新该名单。
即便如此,由于Safari与Chrome浏览器在封锁规则数量上,各有5万及15万的限制,AdGuard认为,这些数量的限制迟早会不敷使用,而且可能会比想象中更早到来。