Safari i przeglądarki oparte na kodzie Chromium usunęły opcje wyłączania atrybutu „ping”, który umożliwia właścicielom witryn śledzenie kliknięć linków na ich stronach. Jeśli podążysz za linkiem, a w tagu „a href” znajduje się atrybut „ping=URL”, przeglądarka dodatkowo generuje żądanie POST na adres URL podany w atrybucie, przekazując informację o przejściu przez nagłówek HTTP_PING_TO.
Z jednej strony atrybut „ping” prowadzi do wycieku informacji o działaniach użytkownika na stronie, co może zostać odebrane jako naruszenie prywatności, gdyż w podpowiedzi wyświetlanej po najechaniu na link przeglądarka nie informuje użytkownik w jakikolwiek sposób o dodatkowym przesłaniu informacji, a użytkownik nie przegląda kodu strony, nie może określić, czy atrybut „ping” jest zastosowany, czy nie. Z drugiej strony, zamiast „pingować” do śledzenia przejść, z takim samym sukcesem można zastosować przekazywanie przez łącze tranzytowe lub przechwytywanie kliknięć za pomocą procedur obsługi JavaScript; „ping” jedynie upraszcza organizację śledzenia przejść. Ponadto „ping” jest wspomniany w specyfikacjach organizacji normalizacyjnej technologii HTML5 WHATWG.
W przeglądarce Firefox obsługa atrybutu „ping” jest dostępna, ale domyślnie wyłączona (browser.send_pings w about:config). W przeglądarce Chrome do wersji 73 atrybut „ping” był włączony, ale można było go wyłączyć za pomocą opcji „chrome://flags#disable-hyperlink-auditing”. W bieżących eksperymentalnych wersjach przeglądarki Chrome ta flaga została usunięta, a atrybut „ping” stał się funkcją, której nie można wyłączyć. W przeglądarce Safari 12.1 usunięto także możliwość wyłączenia polecenia ping, które było wcześniej dostępne za pośrednictwem opcji WebKit2HyperlinkAuditingEnabled.
Źródło: opennet.ru