control what you include
play

Control What You Include! Server-Side Protec7on against - PowerPoint PPT Presentation

Feb 23, 2024 •380 likes •567 views

Control What You Include! Server-Side Protec7on against Third Party Web Tracking Dolire Francis Som, Nataliia Bielova, Tamara Rezk Privaski 2017

  1. Control ¡What ¡You ¡Include! ¡ Server-­‑Side ¡Protec7on ¡against ¡Third ¡Party ¡Web ¡Tracking ¡ ¡ ¡ Dolière ¡Francis ¡Somé, ¡Nataliia ¡Bielova, ¡Tamara ¡Rezk ¡ Privaski ¡2017 ¡

  2. thanks ¡to ¡ePrivacy ¡direc7ve ¡2009 ¡ bcc.co.uk ¡ emp.bcci.co.uk ¡ googleads.g.doubleclick.net ¡ effec6vemeasure.net ¡ pagead2.googlesyndica6on.com ¡ b.voicefive.com ¡ js.revsci.net ¡ googletagservices.com ¡ b.scorecardresearch.com ¡ Nataliia ¡Bielova ¡ 2 ¡

  3. Third ¡party ¡content ¡on ¡websites ¡ Today ¡ • up ¡to ¡34 ¡dis7nct ¡third ¡par7es ¡on ¡a ¡single ¡website ¡ • 90% ¡of ¡content ¡is ¡tracking ¡users ¡ • Users ¡protect ¡themselves ¡with ¡browser ¡extensions ¡ § Ghostery, ¡Disconnect, ¡etc. ¡ Tomorrow ¡ • ePrivacy ¡update ¡[1]: ¡website ¡owners ¡are ¡liable ¡if ¡third ¡ par7es ¡track ¡their ¡users ¡ ¡ => ¡Website ¡owners ¡want ¡to ¡control ¡third ¡party ¡ ¡ ¡content ¡they ¡include ¡ Nataliia ¡Bielova ¡ 3 ¡

  4. Mechanisms ¡Required ¡By ¡Trackers ¡ • Ability ¡to ¡store/create ¡user ¡iden7ty ¡in ¡the ¡ browser ¡and ¡communicate ¡it ¡back ¡to ¡tracker ¡ § HTTP ¡cookies, ¡browser ¡cache, ¡local ¡Storage ¡ § device ¡fingerprin7ng ¡ • Ability ¡to ¡communicate ¡website ¡visited ¡back ¡to ¡ the ¡tracker ¡ ¡ § HTTP ¡Referer ¡header ¡ § document.referrer Nataliia ¡Bielova ¡ 4 ¡

  5. Third ¡party ¡tracking ¡via ¡cookies ¡ tracker.com ¡ Referer: Re : mys ysite.co com h`p://news.com ¡ h`p://mysite.com ¡ co cookie: i Re Referer: id=789 : news.co com processing ¡engine ¡ <img src=tracker.com/ smiley.gif> 9:30am: user 789 visited Cookie ¡Database ¡ co cookie: i id=789 news.com tracker.co com: id=789 9:31am: user 789 visited logs ¡ mysite.com </img> Based ¡on ¡slides ¡of ¡Franziska ¡Roesner ¡ 5 ¡ Nataliia ¡Bielova ¡

  6. Why ¡web ¡developers ¡include ¡so ¡ many ¡third ¡party ¡contents? ¡ Nataliia ¡Bielova ¡ 6 ¡

  7. Func7onality ¡ J ¡ ¡Privacy ¡ L ¡ Nataliia ¡Bielova ¡ 7 ¡

  8. Privacy ¡ J ¡ ¡ duckduckgo.com ¡ duckduckgo.com ¡ duckduckgo.com ¡ duckduckgo.com ¡ duckduckgo.com ¡ duckduckgo.com ¡ duckduckgo.com ¡ duckduckgo.com ¡ duckduckgo.com ¡ Nataliia ¡Bielova ¡ 8 ¡

  9. How ¡can ¡developers ¡include ¡third ¡party ¡ content ¡and ¡guarantee ¡privacy? ¡ Nataliia ¡Bielova ¡ 9 ¡

  10. Same ¡Origin ¡Policy ¡(SOP) ¡ • SOP ¡implemented ¡in ¡all ¡web ¡browsers: ¡ § “Scripts ¡can ¡only ¡access ¡proper6es ¡associated ¡ with ¡documents ¡from ¡the ¡same ¡origin” ¡ ¡ • Origin ¡= ¡[scheme, ¡host, ¡port] ¡ h`p://www.example.com:81/dir/page.html ¡ scheme ¡ host ¡ port ¡ Nataliia ¡Bielova ¡ 10 ¡

  11. In ¡what ¡origin ¡each ¡script ¡is ¡running? ¡ a.com ¡ b.com ¡ a.com <script src=b.com/script.js> JavaScript ¡1 ¡ c.com ¡ <iframe src=b.com/main.html> Html ¡page ¡+ ¡ ¡ <script src=c.com/script.js> JavaScript ¡2 ¡ </iframe> ¡ Nataliia ¡Bielova ¡ 11 ¡

  12. In ¡what ¡origin ¡each ¡script ¡is ¡running? ¡ a.com ¡ b.com ¡ a.com <script src=b.com/script.js> JavaScript ¡1 ¡ JavaScript ¡1 ¡ c.com ¡ <iframe src=b.com/main.html> Html ¡page ¡+ ¡ ¡ <script src=c.com/script.js> JavaScript ¡2 ¡ JavaScript ¡2 ¡ </iframe> ¡ Nataliia ¡Bielova ¡ 12 ¡

  13. Which ¡third ¡party ¡content ¡is ¡ controllable? ¡ controllable ¡ not ¡controllable ¡ Nataliia ¡Bielova ¡ 13 ¡

  14. Privacy-­‑preserving ¡web ¡architecture ¡ Goal ¡ § Remove ¡tracking ¡from ¡func7onal ¡third-­‑party ¡ content ¡ Idea ¡ § Rewrite ¡sta7c ¡third-­‑party ¡content ¡ § Redirect ¡dynamic ¡third-­‑party ¡content ¡ § Restrict ¡communica7on ¡between ¡third-­‑par7es ¡ within ¡the ¡applica7on ¡ Nataliia ¡Bielova ¡ 14 ¡

  15. Current ¡architecture ¡ tracker.com ¡ h`p://mysite.com ¡ m m o o c c . . e e t t i i s s y y m m : : r r e e r r e e f f e e R R Web ¡browser ¡ mysite.com ¡ Nataliia ¡Bielova ¡ 15 ¡

  16. Our ¡architecture ¡ tracker.com ¡ ¡ middle.com ¡ Redirect ¡third ¡par7es ¡to ¡middle.com ¡ h`p://mysite.com ¡ Intercept ¡dynamically ¡created ¡in-­‑ context ¡content ¡ Add ¡CSP ¡(to ¡avoid ¡bypassing) ¡ Web ¡browser ¡ mysite.com ¡ rewrite.com ¡ http://tracker.com/smiley.gif à http://middle.com/?src=http://tracker.com/smiley.gif Content-­‑Security-­‑Policy: ¡ ¡ default-­‑src ¡’self’ ¡’middle.com’; ¡object-­‑src ¡’self’; ¡ Nataliia ¡Bielova ¡ 16 ¡

  17. Our ¡architecture ¡ tracker.com ¡ ¡ middle.com ¡ ❌ ¡ m m o o c c . . e e t t s s i i y y m m : : r r e e r r e e f f e e R R m m o o c c e e . . t t s s i i y y Web ¡browser ¡ m m : : r r e e r r e e e e f f R R ❌ ¡ mysite.com ¡ rewrite.com ¡ Removes ¡cookies, ¡Etag, ¡Referer ¡ Rewrites ¡an ¡iframe ¡as ¡a ¡new ¡ iframe ¡from ¡middle.com ¡ Nataliia ¡Bielova ¡ 17 ¡

  18. Case ¡study ¡& ¡conclusions ¡ • All ¡websites ¡work ¡properly ¡ § Demo ¡website ¡with ¡youtube ¡videos ¡ § News: ¡www.bbc.com ¡ § Movies: ¡www.imdb.com ¡ § Shopping: ¡h`p://vertbaudet.fr ¡ • Our ¡architecture ¡ § for ¡website ¡developers ¡ ¡ § allows ¡to ¡embed ¡third ¡party ¡contents ¡ ¡ § while ¡preserving ¡users ¡privacy ¡ ¡ Nataliia ¡Bielova ¡ 18 ¡

Recommend

CONTROL AREA MORATORIUM Voluntary Agreement Framework Redefine Control Area Boundaries Define

CONTROL AREA MORATORIUM Voluntary Agreement Framework Redefine Control Area Boundaries Define

CONTROL AREA MORATORIUM Voluntary Agreement Framework Redefine Control Area Boundaries Define by hydrogeologic constraints Expand westward to include Cheyenne- and eastern slope of Laramie Range Include users in all impacted areas

252 views • 9 slides
EMA Concerns With Draft Off-Cycle GTR Effective Off-Cycle Control Should Include: a. A set of

EMA Concerns With Draft Off-Cycle GTR Effective Off-Cycle Control Should Include: a. A set of

OCE Informal Document No. 18 Ninth Plenary Meeting of the Working Group On Off-Cycle Emissions 11&amp;12 January 2005 Palais des Nations, Geneva EMA Concerns With Draft Off-Cycle GTR Effective Off-Cycle Control Should Include: a. A set of

594 views • 18 slides
Revision Control with GIT Eric McCreath Revision Control Systems There are a large number of

Revision Control with GIT Eric McCreath Revision Control Systems There are a large number of

Revision Control with GIT Eric McCreath Revision Control Systems There are a large number of revision control systems that help manage code. Some common and free ones include: svn - subversion git hg - mercurial These are critical tools for

380 views • 20 slides
Control of Noise at Work - Employee training [ABC] Version 01 October 2011. Control of Noise

Control of Noise at Work - Employee training [ABC] Version 01 October 2011. Control of Noise

Meeting the Training Requirements of the 2007 General Apps Regulations - Control of Noise at Work This programme is designed to comply with the requirements of Regulation 130. You should preview the slides and include your specific

582 views • 29 slides
INCLUDE INTERDISCIPLINARY NETWORK OF SPECIAL &amp; INTERCULTURAL EDUCATION About INCLUDE is a

INCLUDE INTERDISCIPLINARY NETWORK OF SPECIAL &amp; INTERCULTURAL EDUCATION About INCLUDE is a

INCLUDE INTERDISCIPLINARY NETWORK OF SPECIAL &amp; INTERCULTURAL EDUCATION About INCLUDE is a Scientific Association. Year of foundation: 2011 INCLUDE is working towards an INCLUSIVE COMMUNITY. Investigates, implements and evaluates

808 views • 27 slides
#include &lt;ctype.h&gt; // tolower #include &lt;string.h&gt; // strcmp sfp main() #include

#include &lt;ctype.h&gt; // tolower #include &lt;string.h&gt; // strcmp sfp main() #include

#include &lt;ctype.h&gt; // tolower #include &lt;string.h&gt; // strcmp sfp main() #include &lt;stdio.h&gt; // fgets, fputs void reveal_secret() login { fputs(&quot;SUPER SECRET = 42\n&quot;, stdout); } login int verify(const char*

438 views • 17 slides
#include &lt;ctype.h&gt; // tolower #include &lt;string.h&gt; // strcmp sfp main() #include

#include &lt;ctype.h&gt; // tolower #include &lt;string.h&gt; // strcmp sfp main() #include

#include &lt;ctype.h&gt; // tolower #include &lt;string.h&gt; // strcmp sfp main() #include &lt;stdio.h&gt; // fgets, fputs void reveal_secret() login { fputs(&quot;SUPER SECRET = 42\n&quot;, stdout); } login int verify(const char*

641 views • 15 slides
PHP include file 1 CS380 PHP Include File 2 Insert the content of one PHP file into another

PHP include file 1 CS380 PHP Include File 2 Insert the content of one PHP file into another

PHP include file 1 CS380 PHP Include File 2 Insert the content of one PHP file into another PHP file before the server executes it Use the include() generates a warning, but the script will continue execution require()

354 views • 31 slides
SQL with C Test Program 1: Select a row with one column #include &lt;stdio.h&gt; #include

SQL with C Test Program 1: Select a row with one column #include &lt;stdio.h&gt; #include

SQL with C Test Program 1: Select a row with one column #include &lt;stdio.h&gt; #include &lt;string.h&gt; #include &lt;stdlib.h&gt; EXEC SQL BEGIN DECLARE SECTION; VARCHAR userid[20]; VARCHAR passwd[20]; int value; EXEC SQL END DECLARE

550 views • 6 slides
Argument Example #include &lt;stdio.h&gt; #include &lt;stdlib.h&gt; Computer Programming: Skills

Argument Example #include &lt;stdio.h&gt; #include &lt;stdlib.h&gt; Computer Programming: Skills

Argument Example #include &lt;stdio.h&gt; #include &lt;stdlib.h&gt; Computer Programming: Skills &amp; Concepts (CP) Giving Arguments to Programs; int main(int argc, char *argv[]) { What is there still to C? int i; printf(&quot;There are %d

383 views • 4 slides
CONTROL-M Presentation Introducing CONTROL-M CONTROL-M is an interoperable solution for the

CONTROL-M Presentation Introducing CONTROL-M CONTROL-M is an interoperable solution for the

1 Control-M Presenation CONTROL-M Presentation Introducing CONTROL-M CONTROL-M is an interoperable solution for the integration of production control from a focal point of management across diverse environments Challenges Managing

559 views • 38 slides
Control Expressions and Statements Control Control is the study of the semantics of

Control Expressions and Statements Control Control is the study of the semantics of

Control Expressions and Statements Control Control is the study of the semantics of execution paths through code. What gets executed, When, and In what order? 2 Control Control is achieved by two major ways: The use of

461 views • 45 slides
Digital Social Innovation INCLUDE INTERDISCIPLINARY NETWORK OF SPECIAL &amp; INTERCULTURAL

Digital Social Innovation INCLUDE INTERDISCIPLINARY NETWORK OF SPECIAL &amp; INTERCULTURAL

Digital Social Innovation INCLUDE INTERDISCIPLINARY NETWORK OF SPECIAL &amp; INTERCULTURAL EDUCATION About INCLUDE is a Scientific Association. Year of foundation: 2011 INCLUDE is working towards an INCLUSIVE COMMUNITY. Investigates,

399 views • 25 slides
Rtosc Realtime Open Sound Control Mark McCurry 2018 Rtosc Realtime Open Sound Control

Rtosc Realtime Open Sound Control Mark McCurry 2018 Rtosc Realtime Open Sound Control

Rtosc Realtime Open Sound Control Rtosc Realtime Open Sound Control Mark McCurry 2018 Rtosc Realtime Open Sound Control Motivation What is OSC? Path + argument types + argument data Types include: i : int32 , s : string , b :

704 views • 35 slides
Industrial Robots Industrial Robots Control Control Part 2 Control Control Part 2 Part 2

Industrial Robots Industrial Robots Control Control Part 2 Control Control Part 2 Part 2

Industrial Robots Industrial Robots Control Control Part 2 Control Control Part 2 Part 2 Part 2 Introduction to centralized control Independent joint decentralized control may prove inadequate when the user requires high task

673 views • 36 slides
Pesticide Safety: Labels, Toxicology &amp; PPE What is a Pesticide? Pesticides are chemicals

Pesticide Safety: Labels, Toxicology &amp; PPE What is a Pesticide? Pesticides are chemicals

Pesticide Safety: Labels, Toxicology &amp; PPE What is a Pesticide? Pesticides are chemicals used to destroy, prevent or control pests. Pests include weeds, diseases, and insects. Pesticides also include chemicals used to regulate plant

753 views • 73 slides
Reimagine Your World Access and Excellence Financial Sustainability Control Expenses Grow

Reimagine Your World Access and Excellence Financial Sustainability Control Expenses Grow

OPERATING PRINCIPLES Reimagine Your World Access and Excellence Financial Sustainability Control Expenses Grow Revenues Improve Resource Allocation We include and excel, together We simplify We are accountable We imagine and innovate to

643 views • 9 slides
Access Control Access Control 1 Access Control Access control : ensures that all direct

Access Control Access Control 1 Access Control Access control : ensures that all direct

Access Control Access Control 1 Access Control Access control : ensures that all direct accesses to object are authorized a scheme for mapping users to allowed actions Protection objects : system resources for which protection is

576 views • 21 slides
1 Why Why flow flow control? control? sender

1 Why Why flow flow control? control? sender

Lecture 7. Lecture 7. TCP mechanisms for: TCP mechanisms for: data transfer control / flow control error control congestion control Graphical examples (applet java) of several algorithms at:

589 views • 13 slides
Access Control and Protection Overview Access control: What and Why Abstract Models of

Access Control and Protection Overview Access control: What and Why Abstract Models of

Access Control and Protection Overview Access control: What and Why Abstract Models of Access Control Discretionary acces control Mandatory access control Real systems: Unix Access Control Model Access control Access

817 views • 47 slides
From process control to business control: How the philosophy and methods of process control can be

From process control to business control: How the philosophy and methods of process control can be

1 From process control to business control: How the philosophy and methods of process control can be applied to businesses: key performance indicators, logistics, markets, management and other? Trial Lecture Deeptanshu Dwivedi 18 th Jan,

434 views • 39 slides
CS 356: Computer Network Architectures Lecture 20: Congestion Avoidance Chap. 6.4 and related

CS 356: Computer Network Architectures Lecture 20: Congestion Avoidance Chap. 6.4 and related

CS 356: Computer Network Architectures Lecture 20: Congestion Avoidance Chap. 6.4 and related papers Xiaowei Yang xwy@cs.duke.edu TCP Congestion Control History The original TCP/IP design did not include congestion control and avoidance

685 views • 33 slides
Direct Inverse Control &amp; Internal Model Control Modelling and Control of Dynamic Systems 17

Direct Inverse Control &amp; Internal Model Control Modelling and Control of Dynamic Systems 17

Direct Inverse Control &amp; Internal Model Control Modelling and Control of Dynamic Systems 17 Nov 2008 Jrgen Jnes and Andres Tiko Talk Outline Introduction to Control Direct Inverse Control General Training Specialized Training Demo

460 views • 41 slides
Feedforward Control So far, most of the focus of this course has been on feedback control. In

Feedforward Control So far, most of the focus of this course has been on feedback control. In

Feedforward Control So far, most of the focus of this course has been on feedback control. In certain situations, the performance of control systems can be enhanced greatly by the application of feedforward control. What you need to look for are

626 views • 19 slides

More recommend