Разработчики Chromium предложили унифицировать и объявить устаревшим заголовок User-Agent

Разработчики Chromium предложили унифицировать и заморозить от изменений содержимое HTTP-заголовка User-Agent, в котором передаётся название и версия браузера, а также ограничить доступ к свойству navigator.userAgent в JavaScript. Удалять заголовок User-Agent пока не планируют. Инициатива уже поддержана разработчиками Edge и Firefox, а также уже реализована в Safari.

В соответствии с текущим планом, в Chrome 81, намеченном на 17 марта, будет объявлен устаревшим доступ к свойству
navigator.userAgent, в Chrome 81 будет прекращено обновление версии браузера и унифицированы версии операционных систем, а в
Chrome 85 будет унифицирована строка с идентификатором операционной системы (можно будет лишь определить настольная и мобильная ОС, а для мобильных версий возможно будут приведена информация о типовых размерах устройства.

Среди основных причин унификации заголовка User-Agent упоминается применение его для пассивной идентификации пользователей (passive fingerprinting), а также практика подделки заголовка малопопулярными браузерами для обеспечения работоспособности отдельных сайтов (например, Vivaldi вынужден представляться сайтам как Chrome). При этом подделку User-Agent в браузерах второго эшелона в том числе стимулирует сам Google, так как по User-Agent блокирует вход на свои сервисы. Унификация также позволит избавиться от указания в строке User-Agent устаревших и потерявших смысл атрибутов, таких как «Mozilla/5.0», «like Gecko» и «like KHTML».

В качестве замены User-Agent предлагается механизм User-Agent Client Hints, подразумевающий выборочную отдачу данных о конкретных параметрах браузера и системы (версия, платформа и т.д.) только после запроса сервером и дающий пользователям возможность выборочно предоставлять подобную информацию владельцам сайтов. При использовании User-Agent Client Hints идентификатор не передаётся по умолчанию без явного запроса, что делает невозможным проведение пассивной идентификации (по умолчанию указывается только название браузера).

Что касается активной идентификации, то отдаваемые в ответ на запрос дополнительные сведения зависят от настроек браузера (например, пользователь вообще может отказаться от передачи данных), а сами передаваемые атрибуты охватывают тот же объём информации, что и строка User-Agent в настоящее время. Объём передаваемых данных подпадает под ограничение Privacy Budget, которое определяет лимит на объём отдаваемых данных, которые потенциально можно использовать для идентификации — если выдача дальнейшей информации может привести к нарушению анонимности, то дальнейший доступ к определённым API блокируется. Технология развивается в рамках ранее представленной инициативы Privacy Sandbox, нацеленной на достижение компромисса между потребностью пользователей сохранить конфиденциальность и желанием рекламных сетей и сайтов отслеживать предпочтения посетителей.

Источник: opennet.ru

Добавить комментарий