Today s class How to configure your browser to protect - - PowerPoint PPT Presentation

today s class
SMART_READER_LITE
LIVE PREVIEW

Today s class How to configure your browser to protect - - PowerPoint PPT Presentation

Sep 17, 2023 44 likes •375 views

05. Protection from Web Tracking Nataliia Bielova @nataliabielova September 17 th -21 st , 2018 Web Privacy course University of Trento Today s class How to configure

slide-1
SLIDE 1
  • 05. ¡Protection ¡from ¡Web ¡Tracking

Nataliia ¡Bielova ¡ @nataliabielova September ¡17th-­‑21st, ¡2018 Web ¡Privacy ¡course University ¡of ¡Trento

slide-2
SLIDE 2

Today’s class

  • How ¡to ¡configure ¡your ¡browser ¡to ¡protect ¡

yourself ¡from ¡Web ¡tracking?

  • Private ¡mode ¡and ¡Safari ¡intelligent ¡tracking ¡

protection

  • Protection ¡via ¡browser ¡extensions: ¡ad ¡blockers ¡

and ¡tracking ¡blockers

  • Protection ¡from ¡browser ¡fingerprinting

2

slide-3
SLIDE 3

User protection from Web Tracking: Web browser configuration

slide-4
SLIDE 4

Business model of the Web

4

USERS TRACKING/AD AGENCIES free websites

  • bserve/gather

user data WEB DEVELOPER include third-party content

slide-5
SLIDE 5

Research Challenges

5

USERS TRACKING/AD AGENCIES free websites

  • bserve/gather

user data WEB DEVELOPER include third-party content

Detection ¡and ¡Measurement

slide-6
SLIDE 6

Research Challenges

6

USERS TRACKING/AD AGENCIES free websites

  • bserve/gather

user data WEB DEVELOPER include third-party content

Detection ¡and ¡Measurement Raising ¡Awareness ¡& ¡Configuration

slide-7
SLIDE 7

First-party cookie setting

7

slide-8
SLIDE 8

Do browser settings protect from within-site tracking?

  • Browser ¡setting: ¡block ¡first-­‑party ¡cookies

§ blocks ¡setting ¡cookies ¡upon ¡HTTP ¡responses § blocks ¡setting ¡cookies ¡via ¡JavaScript § blocks ¡reading ¡cookies ¡via ¡JavaScript § doesn’t ¡block ¡sending ¡cookies ¡via ¡HTTP ¡request ¡if ¡ cookies ¡are ¡already ¡in ¡the ¡browser ¡(in ¡Internet ¡ Explorer)

8

slide-9
SLIDE 9

Third-party cookies blocking

9

slide-10
SLIDE 10

Protection from stateful tracking

  • Browser ¡setting: ¡block ¡third-­‑party ¡cookies

§ Protects ¡from ¡tracking ¡(purely) ¡via ¡cookies § Does ¡not ¡protect ¡from ¡cookie ¡respawning § Does ¡not ¡protect ¡from ¡tracking ¡via ¡HTTP ¡headers

  • In ¡some ¡browsers, ¡as ¡Internet ¡Exporer

10

slide-11
SLIDE 11

History browser settings

  • Pros: ¡protects ¡from ¡history ¡stealing ¡attacks
  • Cons: ¡doesn’t ¡protect ¡from ¡tracking

11

slide-12
SLIDE 12

Delete cookies upon exiting

  • Pros: ¡protects ¡from ¡basic ¡cookie ¡tracking
  • Cons: ¡cookies ¡can ¡be ¡restored ¡via ¡other ¡

storages, ¡when ¡logging ¡in, ¡via ¡fingerprinting

12

slide-13
SLIDE 13

Safari’s Intelligent Tracking Protection

  • affects ¡whether ¡a ¡company ¡can ¡access ¡

first-­‑party ¡cookies ¡in ¡a third-­‑party ¡context

13

slide-14
SLIDE 14

14

slide-15
SLIDE 15

What about Private browsing mode?

15

slide-16
SLIDE 16

How Private mode works?

  • browsing ¡history
  • cookies
  • searches

are ¡stored ¡only ¡in ¡the ¡current ¡separate ¡“session” ¡

16

slide-17
SLIDE 17

Private mode is not so private…

  • Doesn’t ¡protect ¡from ¡Web ¡tracking ¡across ¡

websites

  • Doesn’t ¡block ¡third-­‑party ¡cookies ¡

§ neither ¡in ¡Firefox ¡with ¡Tracking ¡protection ¡ON § nor ¡in ¡Chrome

  • Browsing ¡history ¡can ¡be ¡merged with ¡other ¡

sessions

§ if ¡the ¡user ¡logs ¡in ¡ § via ¡browser ¡fingerprinting

17

slide-18
SLIDE 18

(SEE ¡SLIDES ¡“EXTENSIONS”)

Protection from Web tracking via browser extensions

18

slide-19
SLIDE 19

(SEE ¡SLIDES ¡“FINGERPRINTING”)

Protection from browser fingerprinting

19

slide-20
SLIDE 20

GDPR and ePrivacy Regulations Tools for Web developers

slide-21
SLIDE 21

Research Challenges

21

USERS TRACKING/AD AGENCIES free websites

  • bserve/gather

user data WEB DEVELOPER include third-party content

Detection ¡and ¡Measurement Raising ¡Awareness ¡& ¡Configuration

slide-22
SLIDE 22

EU Data Protection Regulations

22

GDPR ¡

(applies ¡to ¡personal ¡ data)

ePrivacy Regulation

(information ¡stored ¡

  • n/retrieved ¡from ¡

devices)

Applies ¡to ¡any ¡information, ¡ not ¡only ¡personal ¡data Regulation ¡= ¡applies ¡directly ¡ to ¡all ¡member ¡states Applies ¡to ¡all ¡people ¡physically ¡ located ¡in ¡the ¡EU

slide-23
SLIDE 23

Business model of the Web

23

USERS TRACKING/AD AGENCIES free websites

  • bserve/gather

user data WEB DEVELOPER include third-party content

GDPR ¡in ¡force ¡since ¡May ¡25, ¡2018 ePrivacy Regulation ¡under ¡discussion

slide-24
SLIDE 24

Research Challenges

24

USERS TRACKING/AD AGENCIES free websites

  • bserve/gather

user data WEB DEVELOPER include third-party content

Detection ¡and ¡Measurement User ¡Protection Raising ¡Awareness ¡& ¡Configuration

slide-25
SLIDE 25

Why should web developers care about user protection?

  • Current ¡law:

§ ePrivacy directive ¡2009 ¡(known ¡as ¡“cookie ¡law”)

25

slide-26
SLIDE 26

26 thanks ¡to ¡ePrivacy directive ¡2009

Why should web developers care about user protection?

slide-27
SLIDE 27

Why should web developers care about user protection?

  • EU ¡privacy ¡regulations ¡updated

§ GDPR ¡(General ¡Data ¡Protection ¡Regulation) ¡05/2018 § ePrivacy Regulation ¡??/2020

  • Companies ¡will ¡have ¡to ¡implement ¡a ¡proper ¡user ¡

consent for ¡information ¡stored ¡or ¡accessed ¡on ¡ user’s ¡browser

  • Fines: ¡up ¡to ¡20M ¡euro ¡or ¡4% ¡global ¡annual ¡

turnover (whatever ¡is ¡bigger) ¡per ¡violation

27

slide-28
SLIDE 28

Want to include social buttons but not to track users?

http://panzi.github.io/SocialSharePrivacy/

28

slide-29
SLIDE 29

Third party content on websites

Today

  • up ¡to ¡34 ¡distinct ¡third ¡parties ¡on ¡a ¡single ¡website ¡[Lerner-­‑

etal-­‑USENIX’16]

  • 90% ¡of ¡content ¡is ¡tracking ¡users ¡[Roesner-­‑etal-­‑NSDI’12]
  • Common ¡protection: ¡client-­‑side ¡browser ¡extensions

§ Ghostery, ¡Disconnect, ¡AdBlockPlus, ¡etc.

Tomorrow

  • ePrivacy Regulation: ¡website ¡owners ¡are ¡responsible ¡if ¡

third ¡parties ¡track ¡their ¡users

  • Website ¡owners ¡want ¡to ¡control ¡third-­‑party ¡content ¡they ¡

include

29

slide-30
SLIDE 30

How ¡to ¡provide automatic tools for ¡web ¡applications ¡developers to ¡include third party ¡content ¡ without third party ¡tracking?

30

  • D. ¡F. ¡Some, ¡N. ¡Bielova ¡and ¡T. ¡Rezk. ¡Control ¡What ¡You ¡Include! ¡Server-­‑Side ¡Protection ¡against ¡Third ¡

Party ¡Web ¡Tracking. ¡EssoS 2017

slide-31
SLIDE 31

Control What You Include!

31

site1.com

  • D. ¡F. ¡Some, ¡N. ¡Bielova ¡and ¡T. ¡Rezk. ¡Control ¡What ¡You ¡Include! ¡Server-­‑Side ¡Protection ¡against ¡Third ¡

Party ¡Web ¡Tracking. ¡EssoS 2017

tracker.com Cookie ¡Database http://site1.com

<iframe src=tracker.com/ ad.html> </iframe> <iframe src=middle.com/ ad.html> </iframe>

rewrite.com

  • First ¡prototype ¡that helps Web ¡developersto ¡include ¡

third-­‑party ¡content ¡without ¡Web ¡tracking

middle.com

  • 1. ¡Redirect ¡third ¡parties ¡to ¡

middle.com

  • 2. ¡Intercept ¡dynamically ¡

created ¡content

  • 3. ¡Add ¡CSP ¡(to ¡avoid ¡

bypassing) http://tracker.com/smiley.gif à http://middle.com/?url=http://tracker.com/smiley.gif

slide-32
SLIDE 32

Control What You Include!

32

site1.com Cookie ¡Database http://site1.com

<iframe src=middle.com/ ad.html> </iframe>

ad tracker.com rewrite.com middle.com

  • First ¡prototype ¡that helps Web ¡developersto ¡include ¡

third-­‑party ¡content ¡without ¡Web ¡tracking

  • D. ¡F. ¡Some, ¡N. ¡Bielova ¡and ¡T. ¡Rezk. ¡Control ¡What ¡You ¡Include! ¡Server-­‑Side ¡Protection ¡against ¡Third ¡

Party ¡Web ¡Tracking. ¡EssoS 2017

  • 1. ¡Removes ¡cookies, ¡

Etag, ¡Referer

  • 2. ¡Rewrites ¡an ¡iframe ¡as ¡

a ¡new ¡iframe ¡from ¡ middle.com

slide-33
SLIDE 33

Case Study

  • Demo website: ¡

§ Youtube videos § Google ¡Map § Images, ¡stylesheets § Videos, ¡audios… The ¡Middle ¡Party ¡Server ¡successfully removes tracking

33

  • D. ¡F. ¡Some, ¡N. ¡Bielova ¡and ¡T. ¡Rezk. ¡Control ¡What ¡You ¡Include! ¡Server-­‑Side ¡Protection ¡against ¡Third ¡

Party ¡Web ¡Tracking. ¡EssoS 2017