苹果完全屏蔽第三方 Cookie，七天清空本地存储
2020-03-27 05:29:11   来源：东方头条   

作者|小智

苹果WebKit博客分享了智能跟踪预防技术（ITP）的最新进展：完全屏蔽第三方Cookie，七天清空本地存储，简化开发人员工作。但也有开发者唱起了反调，觉得苹果只是说起来冠冕堂皇，实际上还是为了商业考虑。Why？

苹果完全禁止第三方Cookie

3月24日，苹果WebKit博客发表了一篇题为《FullThird-PartyCookieBlockingandMore》的文章，正式宣布它开始默认完全屏蔽第三方Cookie。苹果表示，"这是对隐私的一项重大改进，因为它消除了任何异常或允许进行一点跨站点跟踪的可能。"

此次更新涉及iOS，iPadOS13.4和macOS上的Safari13.1，这项名为智能跟踪预防的（ITP）的技术首次发布于2017年，从当时的禁止大部分第三方Cookie发展到今天的完全禁止第三方Cookie。

据了解，Safari是市面上第一个默认情况下完全禁止第三方Cookie的主流浏览器，除Safari之外只有Tor浏览器是相通的默认设置，而后者的市场份额很小。无独有偶，浏览器市场中绝对的霸主Chrome也在今年1月份宣布，未来2年内将逐步淘汰第三方Cookie。

2月全球浏览器市场份额

10大浏览器型号

苹果表示，将向W3C的隐私小组分享相关经验，以帮助其他浏览器取得飞跃。

完全屏蔽的好处是什么？

WebKit在博客中分享了完全屏蔽第三方Cookie的好处，具体而言有以下几个方面。

消除了CookieBlocking中的状态性；

使跨站点泄露用户信息（例如登录指纹）不再可行；

禁用通过第三方请求对网站的跨站点伪造攻击；

删除使用辅助第三方域标识用户的功能。否则，即使用户删除第一方的网站数据，此类设置也可能保留ID；

简化了开发人员的工作，如果需要使用Cookie，苹果建议通过StorageAccessAPI进行。

鉴于大部分第三方脚本已转移到类似LocalStorage的第一方存储方式，苹果同时宣布所有脚本可写入的存储都只保留7天，7天之后本地储存的数据将会被自动删除。受影响的存储格式包括IndexedDB、LocalStorage、Mediakeys、SessionStorage和ServiceWorkerregistrations。

开发人员可以根据OAuth2.0授权、StorageAccessAPI或临时兼容性修补程序的方式在过渡期解决此协议所带来的不便。

苹果的博文中提到，全球浏览器状态已成为Web社区隐私保护中的关键一环。自2018年欧盟最严数据保护法规《GDPR》生效以来，各大厂商纷纷在隐私保护的铁锤下吞下了巨额罚单：谷歌被处以5000万欧元罚款，英航、万豪等大企业也因数据泄露被处以数千万级别的罚款。

第三方Cookie由于其随着时间发展，收集大量用户信息的特点，成为了数据泄露的重灾区。专家表示，"在HTML5本地存储相关技术出现前，Cookie是在客户端保存用户数据的唯一手段，但Cookie本身有很多问题，比如大小限制、明文存储等。不过，其最大的问题还是安全性。很多的安全漏洞都是源于Cookie被窃取。"

在《GDPR》生效以后，很多网站开始添加Cookie通知，但这对于隐私保护并没有起到多好的效果，于是苹果、谷歌等企业开始决定从源头上禁止第三方Cookie以解决这个问题。

来自开发者的不同声音

一位名为AralBalkan的开发者在自己的博客上写下了一篇文章，标题名为《ApplejustkilledOfflineWebAppswhilepurportingtoprotectyourprivacy:whythat’sABadThingandwhyyoushouldcare》。从标题上就可以看出观点的激进，而内容事实上也同样如此。

在他看来，完全屏蔽第三方Cookie以保护隐私只是看起来很美，而7天清空本地存储的规则却完全阻止了未来任何去中心化应用程序使用浏览器(客户端)作为对等网络中可信复制节点的可能。

更进一步，他认为苹果公司表面上表现得很关注隐私，实际上是因为不少厂商的做法侵犯了它将隐私作为商业模式的核心宗旨。

"你几乎可以认为，他们会用AppStore来干点儿什么。"

Balkan的观点虽然激进，但也并不全无道理。事实上，苹果一直以来饱受诟病的地方正是如此。此前HackerNews上就曾有开发者广泛讨论苹果在自己的平台上对于Web技术的层层阻碍。

用来构建App的编程语言背后的软件技术，可以使开发者在开发支持Linux、Android、Windows和macOS等操作系统产品时，"复用"他们为Web程序所编写的代码。但是苹果并不喜欢这种Web技术的循环再利用方式，它希望MacAppStore中塞满你在其他任何地方都找不到的应用程序，不想让在各个平台上都能见到的应用充斥AppStore。

比如之前苹果MacAppStore对Electron的禁令：这些应用程序"试图隐藏私有API的使用"。苹果的理由是这些私有化API存在潜在风险，这个理由本身并没有问题，但考虑到Electron多年来一直使用私有化API的相安无事甚至大幅改善了功耗，以及苹果推荐的工具让用户体验变差的事实，不得不引人深思。

苹果公司还阻碍了渐进式Web应用程序（PWA）的落地，这项技术与Electron一样，允许开发人员为桌面和移动端构建效果类似原生的应用。苹果的做法是只实现该标准的一部分，结果让它与完整标准相距甚远，使开发者难以依靠。如果用户能在Chrome或Firefox中启动PWA应用就不会出现这些问题，但是iPhone和iPad用户无法安装第三方浏览器，苹果公司也关闭了用户使用基于PWA技术的途径。

而在国内，小程序与苹果的爱恨情仇就更为广大开发者所知，这里不再赘述，参考：小程序：越狱未遂。

就事论事而言，苹果此举值得称赞。但禁用第三方Cookie就能保护好用户隐私了吗？却也未必。有人说，互联网开始变得不安全，就是因为搞安全的人出来了。此言诚不我欺。

点个在看少个bug