（iThome鐵人賽系列書）

Web Tracking 的資安攻擊與防禦策略：淺析當代瀏覽器的隱私議題

Author 周楷翔（Allen Chou）

Publisher 博碩文化

Save Saved

Released

2024/01/06

Language

Traditional Chinese

File format

PDF (13MB), fit in large screen and Pubook

Pages

268

423544

ISBN

9786263337848

Provide Adobe DRM

Provide PDF

Offer DRM free license

Series iThome鐵人賽系列書

Buy products firstAnd download app to watch

Details

（iThome鐵人賽系列書）

Web Tracking 的資安攻擊與防禦策略：淺析當代瀏覽器的隱私議題 (iThome鐵人賽系列書)【軟精裝】

Author 周楷翔

Publisher 博碩文化

Released

2024/01/10

Language

Traditional Chinese

Pages

272

500433

ISBN

9786263337053

eBook

NT$430

Standard NT$600

Get NT$65 off

查看適用禮券

Buy

Preview

Buy for others

隱匿卻無所不在的隱私威脅

從 Web Tracking 技術的攻擊、防禦、歷史發展，
探討當代瀏覽器最重要的隱私議題之一

本書內容改編自第14 屆 iThome 鐵人賽 Security 組冠軍系列文章《天羅地網：淺談 Web Tracking 的過去、現在、未來》。內容涵蓋 Web Tracking 相關技術的基礎、實際案例，以及未來發展。Web Tracking 意指「在不同情境中重新識別使用者，而且技術上無須使用者的期待或同意」。常見的相關技術包含 Cookie 與 Browser Fingerprinting 等。藉由 Web Tracking，追蹤者可以暗中記錄使用者的行為，推斷其偏好及傾向，以預測或甚至操弄使用者的行為。Web Tracking 相關技術無疑是當今網路生態中最具有隱私侵犯性的技術。

▇ 正常功能如何濫用於隱私侵害，以及如何防禦

Web Tracking 技術的一大特色在於，其所使用的瀏覽器功能大多不是一開始便設計於追蹤使用者，然而因為一些設計上的缺陷或預料之外的利用方式，使得這些功能可以被濫用於追蹤使用者。當今存在兩種不同的反制徑路：第一，是對於 Web Tracking 技術的防禦，探討如何避免被追蹤；第二，是討論如何在保護隱私的前提下達成那些 Web Tracking 希望做到的目標。這個反制的過程有來自資安社群、瀏覽器開發商、廣告產業界、學界的輸入，雖然都打著保護隱私的稱呼，卻因各式問題而有不少爭議與衝突意見。

▇ 從基礎瞭解 Web Tracking 的技術發展

本書將從最基礎開始講起，討論過去與現在曾經出現的幾個經典 Web Tracking 技術以及其防禦。同時，也會探討幾個真實世界的案例。本書的最後一章則會討論隱私保護的次世代 Web Tracking 技術。讀者除了會學習到相關技術以外，也會對於一些看似正常、合理的功能可以如何被濫用有更多的了解，並認識到如何分析一個功能所具有的潛在資安與隱私威脅。

本書特色：
從攻擊到防禦：同時探討追蹤技術的攻擊與防禦面向
PoC 程式解析：藉由範例程式碼與講解輔助概念理解
實際案例分析：由案例分析瞭解追蹤技術的實際應用
隱私保護技術：探究次世代追蹤技術將如何兼顧隱私

目標讀者：
・對網頁安全、瀏覽器安全與隱私、網路隱私等議題感興趣者。

第一章初探Web Tracking
1-1 什麼是Web Tracking
1-2 背景知識

第二章 Stateful Tracking
2-1 Cookie
2-2 典型與意料之外的儲存位置
2-3 達成Cross-Site Tracking的其他方法
2-4 Content Blocking
2-5 案例分析：Facebook的Web Tracking

第三章 Stateless Tracking
3-1 Browser Fingerprinting是什麼
3-2 Information Theory
3-3 Passive Fingerprinting
3-4 螢幕與視窗資訊
3-5 Fonts Fingerprinting
3-6 Canvas Fingerprinting
3-7 WebGL Fingerprinting
3-8 WebRTC Fingerprinting與Media Device Fingerprinting
3-9 Web Audio Fingerprinting
3-10 Browser Extensions Fingerprinting
3-11 Ad blocker Fingerprinting
3-12 Battery Status Fingerprinting
3-13 JavaScript-less Fingerprinting
3-14 Browser Fingerprinting的防禦以及其如何失敗
3-15 Privacy Budget
3-16 Fingerprint的改變與連結

第四章 Privacy-preserving Web Tracking
4-1 Web Tracking可能兼顧隱私嗎？
4-2 FLoC
4-3 Topics API
4-4 Unified ID 2.0
4-5 Private Click Measurement
4-6 Interoperable Private Attribution
4-7 P3P、DNT、GPC

周楷翔（Allen Chou）

目前在學術單位擔任研究助理，研究領域為資訊安全，並著重在網頁安全、瀏覽器安全、加密通訊。參與的瀏覽器安全研究曾發表於國際研討會。

隱匿卻無所不在的隱私威脅

從 Web Tracking 技術的攻擊、防禦、歷史發展，
探討當代瀏覽器最重要的隱私議題之一

本書內容改編自第14 屆 iThome 鐵人賽 Security 組冠軍系列文章《天羅地網：淺談 Web Tracking 的過去、現在、未來》。內容涵蓋 Web Tracking 相關技術的基礎、實際案例，以及未來發展。Web Tracking 意指「在不同情境中重新識別使用者，而且技術上無須使用者的期待或同意」。常見的相關技術包含 Cookie 與 Browser Fingerprinting 等。藉由 Web Tracking，追蹤者可以暗中記錄使用者的行為，推斷其偏好及傾向，以預測或甚至操弄使用者的行為。Web Tracking 相關技術無疑是當今網路生態中最具有隱私侵犯性的技術。

▇ 正常功能如何濫用於隱私侵害，以及如何防禦
Web Tracking 技術的一大特色在於，其所使用的瀏覽器功能大多不是一開始便設計於追蹤使用者，然而因為一些設計上的缺陷或預料之外的利用方式，使得這些功能可以被濫用於追蹤使用者。當今存在兩種不同的反制徑路：第一，是對於 Web Tracking 技術的防禦，探討如何避免被追蹤；第二，是討論如何在保護隱私的前提下達成那些 Web Tracking 希望做到的目標。這個反制的過程有來自資安社群、瀏覽器開發商、廣告產業界、學界的輸入，雖然都打著保護隱私的稱呼，卻因各式問題而有不少爭議與衝突意見。

▇ 從基礎瞭解 Web Tracking 的技術發展
本書將從最基礎開始講起，討論過去與現在曾經出現的幾個經典 Web Tracking 技術以及其防禦。同時，也會探討幾個真實世界的案例。本書的最後一章則會討論隱私保護的次世代 Web Tracking 技術。讀者除了會學習到相關技術以外，也會對於一些看似正常、合理的功能可以如何被濫用有更多的了解，並認識到如何分析一個功能所具有的潛在資安與隱私威脅。

本書特色

從攻擊到防禦：同時探討追蹤技術的攻擊與防禦面向
PoC 程式解析：藉由範例程式碼與講解輔助概念理解
實際案例分析：由案例分析瞭解追蹤技術的實際應用
隱私保護技術：探究次世代追蹤技術將如何兼顧隱私

目標讀者
・對網頁安全、瀏覽器安全與隱私、網路隱私等議題感興趣者

前言

第一章初探 Web Tracking
1-1 什麼是 Web Tracking
Web Tracking 與 Security 的關係
Web Tracking 與廣告投放
Web Tracking 的用途
1-2 背景知識

第二章 Stateful Tracking
2-1 Cookie
First-party & Third-party Cookie
Third-party Cookie 如何做到 Cross-site Tracking
SameSite Cookies
Third-party Cookie 的輓歌⋯⋯嗎？
Firefox 的防禦手段
Safari 的防禦機制：ITP
Storage Access API
Chrome 的防禦機制：CHIPS
Cookie Syncing
2-2 典型與意料之外的儲存位置
Local Storage
IndexedDB
Cache
HSTS SuperCookie
Favicon SuperCookie
2-3 達成 Cross-Site Tracking 的其他方法
CNAME Cloaking
Bounce Trackers
Link Decoration
2-4 Content Blocking
Content Blocker 的不同阻擋樣態
Content Blocker 如何阻擋請求
如何偵測廣告與 tracker
如何維持網站功能性
如何繞過基於 Filter List 的 Content Blocking
2-5 案例分析：Facebook 的 Web Tracking
FB Pixel 之前的追蹤
FB Pixel 是什麼
FBCLID 如何運作
防禦

第三章 Stateless Tracking
3-1 Browser Fingerprinting 是什麼
Browser Fingerprinting 範例
Browser Fingerprinting 如何用於追蹤
Browser Fingerprinting 特徵的理想性質
Browser Fingerprinting 的特性
Active 與 Passive Fingerprinting
Browser Fingerprinting 的防禦策略
3-2 Information Theory
Information
Surprisal
Entropy
Anonymity Sets
3-3 Passive Fingerprinting
IP Address
HTTP Request Header
TLS Fingerprinting
3-4 螢幕與視窗資訊
使用 JavaScript 獲得螢幕與視窗大小
使用 CSS 獲得視窗大小
解法
3-5 Fonts Fingerprinting
篩選待測字型
檢查字型是否存在
防禦
3-6 Canvas Fingerprinting
背景
為何 Canvas Fingerprinting 存在
如何產生 Canvas Fingerprint
防禦
3-7 WebGL Fingerprinting
背景：何謂 WebGL
WebGL Report Fingerprinting
WebGL Canvas Fingerprinting
防禦
3-8 WebRTC Fingerprinting 與 Media Device Fingerprinting
Fingerprinting
WebRTC Fingerprinting
Media Device Fingerprinting
3-9 Web Audio Fingerprinting
Web Audio API
Web Audio Fingerprinting
Fingerprinting Vectors
為何 Web Audio API 會產生不同結果
解法
3-10 Browser Extensions Fingerprinting
Browser Extension 簡介
如何偵測 Browser Extension 是否存在
防禦
3-11 Ad blocker Fingerprinting
如何檢測 Filter List 啟用狀態
優勢與限制
防禦
3-12 Battery Status Fingerprinting
Battery Status API
Battery Status Fingerprinting
防禦
3-13 JavaScript-less Fingerprinting
選擇性執行 CSS Rules
Fonts Fingerprinting by @font-face
HSTS SuperCookie with CSS
結語
3-14 Browser Fingerprinting 的防禦以及其如何失敗
為何 Anti-Fingerprinting 這麼難？
Browser Fingerprinting 的防禦手段
為何偽造數值很困難？
Privacy Paradox：失敗的 Anti-Fingerprinting
技術會使Fingerprinting 更容易
3-15 Privacy Budget
Privacy Budget 如何運作
Privacy Budget 的批評
結語
3-16 Fingerprint 的改變與連結
Fingerprint 的穩定度
Fingerprint 為何會更新？
如何串連不同 Fingerprint

第四章 Privacy-preserving Web Tracking
4-1 Web Tracking 可能兼顧隱私嗎？
何謂 Privacy-preserving
Privacy-preserving Web Tracking？
瀏覽器的隱私革命
4-2 FLoC
FLoC 是什麼？想解決什麼問題？
FLoC 的運作方式
FLoC 的批評
FLoC 的攻擊
結語
4-3 Topics API
Topics API 如何運作
隱私分析
攻擊
結語
4-4 Unified ID 2.0
Unified ID 2.0 如何運作？
安全分析
隱私分析
結語
4-5 Private Click Measurement
PCM 要解決什麼？
PCM 如何運作
安全性分析
PCM 的批評
結語
4-6 Interoperable Private Attribution
IPA 想解決什麼
IPA 如何運作
IPA 的優勢與限制
4-7 P3P、DNT、GPC
Platform for Privacy Preferences（P3P）
Do Not Track（DNT）
Global Privacy Control（GPC）

結語

參考資料

asnd

askw

Details

Released

2024/01/06

Language

Traditional Chinese

File format

PDF: Fit in large screen

Provide Adobe DRM

Provide PDF

Offer DRM free license

423544

ISBN

9786263337848

Buy products firstAnd download app to watch

Details

All

Management

Investing

Marketing

All

LGBTQ

Literature

Fiction

Romantic Fiction

All

Recreation

Illustrated Book

Fortune Telling

Travel

Eating Habits

Fitness

All

History/Geography

Law

Politics/Military

Applied Sciences

Natural Sciences

Philosophy

Biographies

Sociology

All

Computers/Technology

Language

All

Motivational

Health/Nutrition

Christianity

Buddhism

Taoism

Islam

Other Religions

Relationships

All

Comics

Illustrations

Fan Works

Romance Mangas for Teens

Teenage Mangas

High School Mangas

Romance Mangas

Yaoi Mangas

GL Mangas

TL Mangas

Gay Mangas

Others

All

Performance Art

Art

Design

Photography

All

Education

Kids/Teenagers

Pregnancy/Childbirth

All

Study

Government Exams

Financial Licenses

Teacher Exams

Professional Exams

TOEFL/TOEIC

Learning Skills

Official Publications

Job Hunting Exams

All

Female Photo Books

Male Photo Books

All

Business Management

Investing

Direct Marketing

Advertising

Law

All

News Analysis