web-dev-qa-db-fra.com

Confidentialité et préoccupations de suivi concernant les travailleurs du service

Tl; dr

Devrais-je être concerné sur les sites que j'ai visités démarrer un ouvrier de service dans mon navigateur qui se reproduise d'écouter des événements "pour toujours"?

Un travailleur de service dormant peut-il suivre?

Question plus longue

Je jouais/jouais et je cherchais un moyen de déboguer des fichiers JavaScript de travailleur de service à Firefox. Ouverture à propos de: Débogage m'a montré des emplois d'instances de travailleurs de service installés par des sites que j'aurais visité une seule fois en suivant simplement un lien, même si je ne suis pas connecté à ce site.

Exemple d'écran Firefox 64 shows my workers

Je peux voir que ces services sont arrêtés, pour le moment, en attente de fetch événements.

Question: Est-il possible qu'un travailleur de service malveillant suit l'activité en ligne/hors ligne sans mon consentement, même après avoir nié l'utilisation de cookies?

Question ouverte: ne devrait-il pas être souhaitée, d'un point de vue de la confidentialité, pour le développeur de navigateur (par exemple Mozilla, Google) afin de permettre à l'utilisateur de se retirer des ouvriers de certains sites?

Menace Modèle : Lorsque je parle de suivi, je veux généralement générer une carte d'identité unique stockée dans le stockage du travailleur et en utilisant cela pour fournir au développeur du service de service avec des informations sur les pages visitées, etc. Ces informations peuvent normalement être utilisées pour personnaliser la publicité. Une partie du modèle de menace J'ai peur de contourner les paramètres de confidentialité et de combiner des informations à partir de plusieurs travailleurs de service/sites pour identifier l'utilisateur et/ou construire un profilage détaillé (principalement pour le marketing).

je sais que les travailleurs de service fonctionnent dans des bacs à sable, donc c'est mon compréhension que l'activité hors ligne devrait 't être réellement suivable.

Info supplémentaire: Je bloque les cookies tiers et activez le mode anti-suivi Mozilla (il fonctionne maintenant sur la sécurité SE par exemple)

7

Non! Les ouvriers de service fonctionnent également dans le contexte d'origine, tout comme JavaScript normal. Ainsi, pour un travailleur de service enregistré pour un domaine ne peut pas vraiment interagir avec le travailleur de service enregistré pour un autre domaine. En outre, ils n'ont pas accès au DOM, contrairement à JavaScript.

Et, tant que vous visitez un site, il n'a pas besoin de SW pour suivre vos activités sur ce site (par rapport à votre modèle de menace). Ainsi, cela ne fournit vraiment aucun avantage sur le suivi.

Et à propos de la question ouverte, il ne fait pas de mal à enregistrer simplement un SB car il a un impact considérable sur la performance et de tels. Ils se limitent à HTTPS pour éviter que SW enregistré sur des attaques MITM, et comme déjà mentionné dans le commentaire, SW est désactivé en mode Incognito.

3
1lastBr3ath