苹果 WebKit 博客分享了智能跟踪预防手艺（ITP）的最新进展：完全屏障第三方 Cookie，七天清空内陆存储，简化开发人员事情。但也有开发者唱起了反调，以为苹果只是说起来堂而皇之，实际上照样为了商业思量。Why？

本文来自微信民众号：InfoQ（ID：infoqchina），作者：小智

苹果完全克制第三方 Cookie

3 月 24 日，苹果 WebKit 博客揭晓了一篇题为《Full Third-Party Cookie Blocking and More》的文章，正式宣布它最先默认完全屏障第三方 Cookie。苹果示意，“这是对隐私的一项重大改善，由于它消除了任何异常或允许举行一点跨站点跟踪的可能。”

此次更新涉及 iOS，iPad OS 13.4 和 macOS 上的 Safari 13.1，这项名为智能跟踪预防的（ITP）的手艺首次公布于 2017 年，从那时的克制大部分第三方 Cookie 生长到今天的完全克制第三方 Cookie。

据了解，Safari 是市面上第一个默认情况下完全克制第三方 Cookie 的主流浏览器，除 Safari 之外只有 Tor 浏览器是相通的默认设置，而后者的市场份额很小。无独有偶，浏览器市场中绝对的霸主 Chrome 也在今年 1 月份宣布，未来 2 年内将逐步镌汰第三方 Cookie。

2 月全球浏览器市场份额

10 大浏览器型号

苹果示意，将向 W3C 的隐私小组分享相关履历，以辅助其他浏览器取得飞跃。

完全屏障的利益是什么？

WebKit 在博客中分享了完全屏障第三方 Cookie 的利益，详细而言有以下几个方面。

• 消除了 Cookie Blocking 中的状态性；

• 使跨站点泄露用户信息（例如登录指纹）不再可行；

• 禁用通过第三方请求对网站的跨站点伪造攻击；

• 删除使用辅助第三方域标识用户的功效。否则，纵然用户删除第一方的网站数据，此类设置也可能保留 ID；

• 简化了开发人员的事情，若是需要使用 Cookie，苹果建议通过 Storage Access API 举行。

鉴于大部分第三方剧本已转移到类似 LocalStorage 的第一方存储方式，苹果同时宣布所有剧本可写入的存储都只保留 7 天，7 天之后内陆储存的数据将会被自动删除。受影响的存储花样包罗 Indexed DB、LocalStorage、Media keys、SessionStorage 和 Service Worker registrations。

开发人员可以凭据 OAuth 2.0 授权、Storage Access API 或暂且兼容性修补程序的方式在过渡期解决此协议所带来的未便。

苹果的博文中提到，全球浏览器状态已成为 Web 社区隐私珍爱中的要害一环。自 2018 年欧盟最严数据珍爱律例《GDPR》生效以来，各大厂商纷纷在隐私珍爱的铁锤下吞下了巨额罚单：谷歌被处以 5000 万欧元罚款，英航、万豪等大企业也因数据泄露被处以数千万级别的罚款。

第三方 Cookie 由于其随着时间生长，网络大量用户信息的特点，成为了数据泄露的重灾区。专家示意，“在 HTML5 内陆存储相关手艺泛起前，Cookie 是在客户端保留用户数据的唯一手段，但 Cookie 自己有许多问题，好比巨细限制、明文存储等。不外，其最大的问题照样平安性。许多的平安漏洞都是源于 Cookie 被窃取。”

在《GDPR》生效以后，许多网站最先添加 Cookie 通知，但这对于隐私珍爱并没有起到多好的效果，于是苹果、谷歌等企业最先决议从源头上克制第三方 Cookie 以解决这个问题。

来自开发者的差别声音

一位名为 Aral Balkan 的开发者在自己的博客上写下了一篇文章，题目名为《Apple just killed Offline Web Apps while purporting to protect your privacy: why that’s A Bad Thing and why you should care》。从题目上就可以看出看法的激进，而内容事实上也同样云云。

在他看来，完全屏障第三方 Cookie 以珍爱隐私只是看起来很美，而 7 天清空内陆存储的规则却完全阻止了未来任何去中央化应用程序使用浏览器（客户端）作为对等网络中可信复制节点的可能。

更进一步，他以为苹果公司表面上显示得很关注隐私，实际上是由于不少厂商的做法侵犯了它将隐私作为商业模式的焦点宗旨。

“你险些可以以为，他们会用 App Store 来干点儿什么。”

Balkan 的看法虽然激进，但也并不全无原理。事实上，苹果一直以来饱受诟病的地方正是云云。此前 Hacker News 上就曾有开发者普遍讨论苹果在自己的平台上对于 Web 手艺的层层阻碍。

用来构建 App 的编程语言背后的软件手艺，可以使开发者在开发支持 Linux、Android、Windows 和 macOS 等操作系统产物时，“复用”他们为 Web 程序所编写的代码。然则苹果并不喜欢这种 Web 手艺的循环再利用方式，它希望 Mac App Store 中塞满你在其他任何地方都找不到的应用程序，不想让在各个平台上都能见到的应用充斥 App Store。

好比之前苹果 Mac App Store 对 Electron 的禁令：这些应用程序“试图隐藏私有 API 的使用”。苹果的理由是这些私有化 API 存在潜在风险，这个理由自己并没有问题，但思量到 Electron 多年来一直使用私有化 API 的相安无事甚至大幅改善了功耗，以及苹果推荐的工具让用户体验变差的事实，不得不引人深思。

苹果公司还阻碍了渐进式 Web 应用程序（PWA）的落地，这项手艺与 Electron 一样，允许开发人员为桌面和移动端构建效果类似原生的应用。苹果的做法是只实现该尺度的一部分，效果让它与完整尺度相距甚远，使开发者难以依赖。若是用户能在 Chrome 或 Firefox 中启动 PWA 应用就不会泛起这些问题，然则 iPhone 和 iPad 用户无法安装第三方浏览器，苹果公司也关闭了用户使用基于 PWA 手艺的途径。

而在海内，小程序与苹果的爱恨情仇就更为宽大开发者所知，这里不再赘述。

就事论事而言，苹果此举值得称赞。但禁用第三方 Cookie 就能珍爱好用户隐私了吗？却也未必。有人说，互联网最先变得不平安，就是由于搞平安的人出来了。此言诚不我欺。

本文来自微信民众号：InfoQ（ID：infoqchina），作者：小智