In een summier bericht wees het WebKit-team vorige week op zijn nieuwe Tracking Prevention Policy, een document dat de plannen in groter detail uit de doeken doet, inclusief welke soort tracking wordt gedaan en hoe er wordt omgegaan met de neveneffecten daarvan.

Tracking uitgebreid

"We hebben beveiliging tegen alle tracking die in dit document worden genoemd geïmplementeerd of gaan die implementeren", staat er te lezen. "Als we aanvullende tracking-technieken ontdekken, kunnen we dit beleid uitbreiden om deze nieuwe technieken daarin op te nemen en implementeren we mogelijk technische maatregelen om deze technieken te voorkomen."

Het beleidsdocument benoemt enkele soorten tracking die WebKit zal blokkeren of al blokkeert, inclusief fingerprinting en cross-site tracking. Safari zette al stappen in deze richting en blokkeerde wat cross-site tracking onder zijn Intelligent Tracking Protection, dat in 2017 startte en vorig jaar werd verbeterd met de browsers die meekwamen met macOS Mojave en iOS 12.

Geïnspireerd door Mozilla

Deze browsers zijn voorzichtiger met welke informatie aan websites wordt aangeboden, specifiek informatie die kan worden gebruikt voor fingerprinting van een gebruiker, bijvoorbeeld de geïnstalleerde lettertypes en plug-ins. Het WebKit-team bedankt Mozilla voor de motivatie om de plannen op papier te zetten. "Ons beleid is geïnspireerd door en gehaald uit Mozilla's anti-tracking-beleid", schrijven de ontwikkelaars, verwijzend naar de richtlijnen van de maker van browser Firefox.

Sinds cookies meer worden geblokkeerd, zijn adverteerders en andere diensten overgestapt op fingerprinting van browsers. We schreven hier meer over in ons eerdere artikel: Zo verberg je je voor browser-fingerprinting.

Firefox zet de laatste tijd nog harder in op privacy. Vanwege zijn hoge releasetempo - Mozilla geeft ongeveer om de zes weken een nieuwe versie uit, terwijl Apple Safari eens per jaar bijwerkt - krijgen nieuwe features en functies veel meer tijd in besprekingen online.

Zo schakelde Mozilla in juni Enhanced Tracking Protection bij Firefox in voor nieuwe gebruikers en konden oudere gebruikers dit zelf inschakelen. Aan deze technologie werd vier jaar gewerkt en het frustreert cookies en tracking via url-parameters over verschillende sites. Het blokkeren van fingerprinting is, vanwege de eventueel negatieve effecten op de UX, optioneel in te schakelen.

Anti-tracking is het nieuwe onderscheid

Door het navolgen van Mozilla wordt WebKit - en daarmee Apple - wellicht een nog privacyvriendelijkere optie gevonden. De timing is wellicht geen toeval omdat beide browsers marktaandeel hebben verloren het afgelopen half jaar: de ontwikkelaars zien waarschijnlijk privacy als een uniek voordeel tegenover Google's Chrome en op termijn een kans om zieltjes te winnen als gebruikers zich meer tegen het trackingmodel van deze browser beginnen te keren.

Hoe de privacy van gebruikers wordt beschermd, is zelfs voor een groot deel het nieuwe onderscheidende element, in plaats van bijvoorbeeld de renderingssnelheid. Om die trend te benadrukken heeft ook Microsoft zijn nieuwe op Blink gebouwde Edge gepositioneerd als een schild tussen de gebruiker en slecht gedrag van websites en hun adverteerders. Van de vier grootste browsers zet alleen Google's Chrome niet in op anti-tracking.

Harder vechten tegen tracking

WebKit volgde niet alleen Mozilla's voorbeeld, maar doet er een schepje bovenop: "We behandelen het omzeilen van anti-tracking maatregelen net zo serieus als het misbruiken van een beveiligingskwetsbaarheid", schrijft het WebKit-team. "Als een partij trackingbescherming probeert te pareren, kunnen we aanvullende beperkingen toevoegen zonder melding vooraf. Deze kunnen universeel worden toegepast of algoritmisch op specifieke doelen, of bepaalde partijen die zich bezighouden met omzeiling."

Met andere woorden: WebKit pakt schenders terug en kan wellicht iedereen verantwoordelijk houden voor de acties van bepaalde partijen of door enkele specifieke eruit te pakken die de privacyvriendelijke methodes proberen te ontwijken.

In een tweet zegt beveiligingsonderzoeker Lukasz Olejnik dat dit een heel nieuwe manier is om tegen anti-tracking aan te kijken. "Het gelijkstellen van de omzeiling van anti-tracking en het benutten van beveiligingsgaten heeft geen precedent." In een andere tweet zei hij: "Het openlijk behandelen van privacy als eersterangs burger (net als beveiliging) is de enige weg vooruit (het is jullie zet Microsoft, Google, de rest)."

Het WebKit-document specificeert geen tijdspad voor het toevoegen van nieuwe beveiligingsmaatregelen of het uitbreiden van bestaande methodes in WebKit, noch op welke termijn ze migreren naar Safari.