adv

阻止网站调用不必要的你的浏览器 API

安全
pigsrollaroundinthem (39396)发表于 2018年01月27日 22时44分 星期六
来自跟踪用户事关金钱部门
就不鸟王朙睿 写道 "现代浏览器并未就保护在线用户个人隐私经过系统性设计,诸多新特性使用户得以体验新应用的同时也在遭到滥用。伊利诺伊大学 BITSLabs 的 Peter Snyder 等人提出一种量化某一项 Web 特性的“成本”(启用时所带来的安全风险,如相关的公开漏洞利用、潜在理论攻击)和“收益”(比如需要该特性才能正常运作的网站数量)的方法论,并据此构建了 WebAPI Manager。通过在 Alexa 排名前 10000 的最流行网站上对 74 个主要的 Web API 标准进行评估,研究人员发现以往默认允许网站访问大部分 Web API 的做法构成显著的安全与隐私风险,对用户却没有相应的好处。根据他们的的测算,禁止其中 15 项标准可以规避 52% 已存在的公开漏洞相关代码分支,而 50% 的实现代码并不影响 94.7% 受测网站的功能性。源代码托管在 Github。"