Позиция Mozilla по поводу атрибута «ping» для аудита гиперссылок

Портал Bleeping Computer связался с компанией Mozilla и выяснил позицию по поводу механизма отслеживания кликов по гиперссылкам при помощи атрибута «ping«, поддержка которого в Firefox пока отключена по умолчанию. Интерес к атрибуту «ping» возник после удаления из Chrome и Safari опций по его отключению.

Представители Mozilla сообщили:

Мы согласны, что включение атрибута «ping», который обычно используется для аудита гиперссылок, является не вопросом приватности, а задачей улучшения опыта взаимодействия путём предоставления вебсайтам более оптимального решения для аудита гиперссылок, лишённого падения производительности, свойственного другим методам отслеживания переходов, перечисленным в публикации в блоге разработчиков WebKit. Фактически, мы уже поддерживаем API sendBeacon и причина, по который мы ещё не включаем аттрибут «ping» — то, что наша реализация этой функции ещё не готова.

Мы не считаем, что лишь предоставление опции для отключения атрибута ping даст какое-либо заметное улучшение в приватности пользователя, так как вебсайты могут (и часто уже делают) определять поддерживамые в каждом браузере различные механизмы для аудита гиперссылок и отключение более «дружественных пользователю» механизмов лишь приведёт к переходу (fall back) на менее «дружественные пользователю» механизмы, не приводя к отключению самого аудита гиперссылок.

При применении в теге «a href» атрибута «ping=URL» браузер формирует POST-запрос к указанному в атрибуте URL, передавая через заголовок HTTP_PING_TO сведения о состоявшемся переходе. Без атрибута ping сайты могут реализовать аудит гиперссылок через подмену реальной ссылки на промежуточную ссылку или через отправку сведений при помощи вызовов XMLHttpRequest или sendBeacon, что уже давно используется в поиске Google, при переходе по внешним ссылкам в социальной сети VK и в репозитории браузерных дополнений addons.mozilla.org. Так как подобная подмена может осуществляться со скрытием промежуточной ссылки при помощи JavaScript, то как и в случае с атрибутом ping без анализа кода невозможно понять применяется для текущей ссылки аудит или нет.

Источник: opennet.ru

Добавить комментарий