铬开发人员 统一并冻结 User-Agent HTTP 标头内容的更改,该标头传达浏览器的名称和版本,并限制对 JavaScript 中的 navigator.userAgent 属性的访问。 暂时删除 User-Agent 标头 。 该倡议已得到开发商的支持 и ,并且也已经在 Safari 中实现。
按照目前计划,定于 81 月 17 日发布的 Chrome XNUMX 将弃用属性访问
navigator.userAgent、Chrome 81将停止更新浏览器版本并统一操作系统版本,并在
Chrome 85 将与操作系统标识符统一(只能确定桌面和移动操作系统,对于移动版本,可能会提供有关典型设备尺寸的信息。
统一 User-Agent 标头的主要原因之一是其用于被动识别用户(被动指纹识别),以及不太流行的浏览器伪造标头以确保各个站点功能的做法(例如,Vivaldi被迫以 Chrome 的身份出现在网站上)。 同时,谷歌本身也鼓励二线浏览器中的假User-Agent,因为根据User-Agent 登录您的服务。 统一还将使我们能够摆脱用户代理行中过时且无意义的属性,例如“Mozilla/5.0”、“like Gecko”和“like KHTML”。
提出了一种机制来替代 User-Agent ,意味着仅在服务器发出请求后才选择性地发布有关特定浏览器和系统参数(版本、平台等)的数据,并让用户有机会选择性地向网站所有者提供此类信息。 使用 User-Agent Client Hints 时,如果没有显式请求,默认情况下不会传输标识符,这使得被动识别无法实现(默认情况下,仅指示浏览器名称)。
对于主动识别,响应请求返回的附加信息取决于浏览器设置(例如,用户可能根本拒绝传输数据),并且传输的属性本身涵盖与 User-Agent 相同的信息量当前字符串。 传输的数据量受到限制 ,它确定了所提供的可能用于识别的数据量的限制 - 如果发布更多信息可能导致违反匿名性,那么对某些 API 的进一步访问将被阻止。 该技术正在先前提出的倡议框架内开发 ,旨在在用户维护隐私的需要与广告网络和网站跟踪访问者偏好的愿望之间实现折衷。
来源: opennet.ru