SugarCoat如何在API内修改代码以保护私有数据的高级说明。学分:加州大学圣地亚哥分校加州大学圣地亚哥分校和勇敢软件公司的一组计算机科学家开发了一种工具,可以在用户浏览网页时加强对他们私人数据的保护。该工具名为SugarCoat,针对损害用户隐私的脚本——例如,通过跟踪他们在网络上的浏览历史——但对嵌入他们的网站来说是必不可少的。SugarCoat用具有相同属性的脚本代替了这些脚本,去掉了损害隐私的特性。SugarCoat旨在集成到现有的专注于隐私的浏览器(如Brave、Firefox和Tor)和浏览器扩展(如uBlock Origin)中。SugarCoat是开源的,目前正在集成到Brave浏览器中。
“SugarCoat是一个实用的系统,旨在解决如今专注于隐私的工具面临的双输困境:阻止损害隐私的脚本,但破坏依赖它们的网站;或者让网站继续工作,但放弃隐私,”加州大学圣地亚哥分校计算机科学与工程系助理教授Deian Stefan说。SugarCoat通过允许脚本运行来消除这种折衷,从而保持兼容性,同时防止脚本访问用户私有数据
研究人员将在2021年11月14日至19日于韩国首尔举行的美国计算机学会计算机和通信安全会议上描述他们的工作。
“SugarCoat与现有的内容屏蔽工具(如广告拦截器)相集成,使用户能够在不放弃隐私的情况下浏览网络,”领导该项目的斯特凡研究小组的博士生迈克尔·史密斯说。
大多数现有的内容阻止工具都会做出非常粗粒度的决定:它们要么完全阻止脚本运行,要么完全允许脚本运行,这取决于脚本是否出现在损害隐私的公共脚本列表中。然而,在实践中,一些脚本既损害隐私,又是网站运行所必需的——大多数工具不可避免地选择破例允许这些scr ipts运行。今天,有6000多条例外规则通过这些损害隐私的脚本。
不过,还有一个更好的方法。内容阻止工具可以用另一种保护隐私的版本来替换其源代码,而不是完全阻止脚本或允许其运行。例如,内容拦截工具不是加载流行的网站分析脚本来跟踪用户,而是用看起来一样的假版本来替换这些脚本。这确保了内容阻止工具不会破坏嵌入这些脚本的网页,并且脚本不能访问私有数据(从而向分析公司报告)。迄今为止,即使对于隐私工程专家来说,制作这种保护隐私的替换脚本也是一项缓慢的手动任务。例如,uBlock Origin只维护27个脚本的替换,而异常规则超过6000个。
SugarCoat如何改变游戏
研究人员开发SugarCoat正是为了通过自动生成保护隐私的替换脚本来解决这一差距。该工具使用页面图跟踪框架——史密斯是开发该框架的关键——来跟踪整个浏览器引擎中损害隐私的脚本行为。
SugarCoat扫描这些数据,以确定脚本何时以及如何与暴露隐私敏感数据的网络平台应用编程接口进行对话。SugarCoat然后重写脚本的源代码,改为与假的“SugarCoat”API对话,这些API看起来像网络平台API,但实际上并没有暴露任何私有数据。
为了评估SugarCoat对Web功能和性能的影响,团队将重写的脚本集成到Brave浏览器中;他们发现SugarCoat有效地保护了用户的私人数据,而不会影响功能或页面加载性能。SugarCoat现已在Brave投入生产。
“Brave很兴奋能开始部署长达一年的SugarCoat研究项目的成果,”高级隐私研究员、Brave Software隐私总监Peter Snyder说。“SugarCoat为Brave和其他隐私项目提供了击败在线追踪器的强大新功能,并帮助用户保持对网络的控制。”
来源:由phyica.com整理转载自PH,转载请保留出处和链接!
