隐私和安全是macOS Mojave和Safari 12的第一要务

安全 苹果 macOS

摘要

在年度开发者大会WWDC上，苹果预览了其桌面操作系统的最新版本macOS Mojave和经过升级的Web浏览器Safari 12。苹果表示，增强隐私和安全是这些版本的第一要务。

正文

在年度开发者大会WWDC上，苹果预览了其桌面操作系统的最新版本macOS Mojave和经过升级的Web浏览器Safari 12。苹果表示，增强隐私和安全是这些版本的第一要务。

Safari 12提供了额外的“智能跟踪预防”和强密码的自动创建与存储。macOS Mojave（和iOS 12）会限制第三方使用设备配置，从而减少设备“指纹”被用于跟踪目的，而且，应用在使用Mac相机、扬声器或者访问类似邮件历史和消息数据库这样的私人数据时要获得用户授权。

网站可以从其域名之外获取类似图像和脚本这样的资源，这称之为跨域或跨站加载，这是一个强大的Web特性。不过，这类获取也会导致用户被跨站跟踪。从2017年6月开始，Safari（及macOS、iOS和Linux上的其他许多App）使用的开源Web浏览器引擎WebKit就提供了智能跟踪预防（ITP）。ITP的起始版本1.0就通过限制以及定期清除浏览器Cookie及其他网站跟踪数据来减少跨站跟踪。例如，在和网站交互的最初24小时内，相关的Cookie不能用于第三方环境，据说是被“分隔（partitioned）”。30天后，Cookie被删除。

2018年3月发布的ITP 1.1版本进一步增强了跟踪预防，它禁止被“分隔”的Cookies持久化到磁盘，如果被确定为立即清理的候选对象，则会完全冻结。该版本还引入了Storage Access API，它允许“经过身份认证的内容嵌套”，而同时又能默认保护客户的隐私。Storage Access API的核心是提供了一种机制，使嵌套的第三方内容可以通过用户交互避开Cookie分隔。

Safari 12推出了ITP 2.0，删除了第三方Cookie重用的24小时窗口，而是立即针对确定有跟踪功能的域分隔Cookie。ITP 2.0还会提示WebKit的Storage Access API实现。如果用户允许访问，那么他们的选择就会永久保存。如果用户拒绝，那么他们的选择不会永久保存，如果他们以后要利用一个类似的、调用Storage Access API的嵌入式部件，他们就可以改变主意。这项功能会阻止第三方的“评论区”或“喜欢按钮”嵌入Web页面，因为它们能够访问Cookie数据，而不经过显式的用户交互和确认。

正如InfoQ之前的报道，Firefox也发布了一个扩展，号称是提供了和ITP类似的功能，可以阻止企业未经同意侦听用户的非Facebook Web流量。

Safari 12还有其他的特性。当用户创建新的线上账户时，该浏览器现在可以自动创建、自动填写和存储强密码。它会标记重用的密码，以便用户可以修改。

在WWDC大会上，微软还宣布了macOS Mojave和iOS 12中几项新增的数据保护特性。这些特性要求App在使用Mac相机和扬声器，或者访问类似邮件历史和消息数据库这样的私人数据，或者访问文件系统的敏感部分时要获得用户授权。

macOS Mojave使跟踪者更难创建独一无二、可以用于在现有Cookie之外唯一标识一个设备的“指纹”以及基于内容的跟踪特性。Software Engineering高级副总裁Craig Federighi在主题演讲中探讨了这个问题：

你的设备可以一组独一无二的特性标识，如它的配置、安装的字体、设备上可能有的插件。在Mojave中，我们增加了跟踪者创建唯一指纹的难度。

要降低指纹的有效性就需要个体设备混入人群。其实现可以通过只给外部查看者展示简化的系统配置、仅显示内置字体、移除对遗留插件的支持（Safari扩展库之外），这样，就不能用它们生成指纹了。Federighi表示，“最终，你的Mac将和其他人的Mac看上去非常像。”

macOS Mojave将在今年晚些时候全面公开发布。适用于macOS High Sierra的Safari技术预览版58现在已经提供下载，而随着这次发布，Safari预览版可以在macOS Mojave Beta版上使用了。

查看英文原文：Privacy and Security a Top Priority in macOS Mojave and Safari 12