從 Mozilla 官網下載的 Firefox 帶有追蹤用的標籤
source link: https://blog.gslin.org/archives/2022/03/20/10609/%e5%be%9e-mozilla-%e5%ae%98%e7%b6%b2%e4%b8%8b%e8%bc%89%e7%9a%84-firefox-%e5%b8%b6%e6%9c%89%e8%bf%bd%e8%b9%a4%e7%94%a8%e7%9a%84%e6%a8%99%e7%b1%a4/
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
從 Mozilla 官網下載的 Firefox 帶有追蹤用的標籤
前天看到「Each Firefox download has a unique identifier」這篇報導,就順手貼到 Hacker News 上面了:「Each Firefox download has a unique identifier (ghacks.net)」。
簡單的說就是 Mozilla 在 Firefox 的 binary 裡面加上 download token,後續就可以追蹤使用者:「[meta] Support download token」。
依照報導所提到的,每次下載 binary 都會有不同的 token:
在「Attached file dltoken_data_review.md — Details」裡面有回答更多細節,像是跟 Google Analytics 綁定:
5) List all proposed measurements and indicate the category of data collection for each measurement, using the [Firefox data collection categories](https://wiki.mozilla.org/Firefox/Data_Collection) found on the Mozilla wiki.
<table>
<tr>
<td>Measurement Description</td>
<td>Data Collection Category</td>
<td>Tracking Bug #</td>
</tr>
<tr>
<td>A download token that uniquely corresponds to a Google Analytics ID</td>
<td>Category 4 "Highly sensitive or clearly identifiable personal data"</td>
<td>Bug 1677497</td>
</tr>
</table>
我自己重製不出來 (都是被導去 CloudFront),但留言區裡面的 Yuliya 透過 Tor 有重製出來:
I have tried some TOR exit nodes:
Name: Firefox Setup 98.0.1_germany.exe
Size: 55528896 bytes (52 MiB)
SHA256: 2d8164d547d8a0b02f2677c05e21a027dc625c0c1375fd34667b7d039746d400
SHA1: 71302acbee6895b84cf0dfae99050926f2db59efName: Firefox Setup 98.0.1_austria.exe
Size: 55528896 bytes (52 MiB)
SHA256: a139a45dd5737ab981068ca2596b7fdfde15e5d4bc8541e0a2f07a65defd3e4e
SHA1: 28630a0aababa162ca9e7cbca51e50b76b9c3cffI have labeled the file for the corresponding country of the exit node.
如果不願意換到 Chromium-based 的方案,目前在討論裡看到的替代方案是 LibreWolf,昨天裝起來後發現還行,應該也可以測試看看...
Related
Firefox 的兩三事...
這幾天跟 Firefox 有關的事情不少: Mozilla 宣佈 Firefox 3.0 的下載次數已經列入金氏世界紀錄了,次數是 8002530 人次:We’re official!。 Firefox 3.0.1 已經在測試,而 Firefox 2.0.0.15 已經釋出,應該都是為了安全性問題而修正:Firefox 2.0.0.15 security and stability update now available for download。 Javascript 的問題。假設 obj.fn 裡有一個 foo 變數,在 Firefox 上可以使用 var a; eval('a = foo', obj.fn) 把 foo 變數抓到 a 裡面,所以你如果有使用這種方法來放與安全性有關的東西,就得重新檢查一次程式碼:Module Pattern Provides No Privacy...at least…
July 5, 2008In "Browser"
Google Analytics 會愈來愈不準的問題
在 Hacker News Daily 上看到在討論 Google Analytics 會愈來愈不準的問題:「58% of Hacker News, Reddit and tech-savvy audiences block Google Analytics」,先大概知道 Plausible 也是一個分析工具,宣稱重視隱私以及相關法規 (...),所以網站裡面提到的推論可以看看就好,這次我主要是看數字而已。另外當然,Hacker News 上對這篇文章的討論「Tech-savvy audiences block Google Analytics (plausible.io)」也可以翻翻。 作者先前注意到愈一般性的網站,阻擋率就愈低,但科技相關的網站就會高到失真: In a previous study, I’ve found that less than 10% of visitors block Google Analytics on foodie and lifestyle sites but…
September 1, 2021In "Computer"
Firefox 試著透過預載 Intermediate CA 降低連線錯誤發生的機率?
在「Preloading Intermediate CA Certificates into Firefox」這邊看到 Mozilla 的人打算在 Firefox 上預載所有的 Intermediate CA,以降低 HTTPS 連線發生錯誤的作法。這點在 Mozilla 的 Wiki 上也有記錄:「Security/CryptoEngineering/Intermediate Preloading」。 的確如文章裡說的,沒有正確放入 Intermediate CA 是個 server 設定上很常見的錯誤。像是前幾天看到「【茶包射手日記】網站憑證無效案例分析」這篇講的摩斯 https://www.mos.com.tw/ 其實就是這個案例,用 SSL Labs 的工具就可以掃出來問題:「SSL Report: www.mos.com.tw (210.59.225.242)」。 問題出在於沒有送出正確的 Intermediate CA(s),所以在 Android 上找不到一條完整的 trust chain: 不過在 Windows 系統內的 CA store 是可以建立出一條完整的 trust chain,所以 Windows 上的…
November 14, 2020In "Browser"
Leave a Reply
Your email address will not be published. Required fields are marked *
Comment *
Name *
Email *
Website
Notify me of follow-up comments by email.
Notify me of new posts by email.
To respond on your own website, enter the URL of your response which should contain a link to this post's permalink URL. Your response will then appear (possibly after moderation) on this page. Want to update or remove your response? Update or delete your post and re-enter your post's URL again. (Learn More)
Post navigation
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK