Разработчики Chromium предложили заморозить и унифицировать строку User-Agent в HTTP-заголовках и в navigator.userAgent, чтобы усилить защиту конфиденциальности пользователей. Они также разработали новый механизм, который призван заменить User-Agent.
В настоящее время строка User-Agent является обильным источником информации о пользователях, которая может использоваться для фингерпринтинга.
По оценкам Google, около 90% сайтов в той или иной мере читают и используют строки User-Agents, передаваемые браузерами.
По умолчанию большинство браузеров, включая Chrome, блокируют многие из тех способов, которые сайты используют для идентификации пользователей с целью их отслеживания и таргетинга рекламы. Однако строка User-Agent во многих случаях может предоставлять более чем достаточно информации для идентификации устройства.
Согласно предложению разработчиков Chromium, первым шагом по изменению этой ситуации должно стать признание устаревшим доступа к «navigator.userAgent», начиная с Chrome 81 (март 2020 года).
Большинство пользователей не заметят этого изменения, а сайты продолжат работать в обычном режиме. При этом в консоли Chrome начнут выводиться предупреждения для тех страниц, которые читают строку User-Agent.
В июне, после выхода Chrome 83, Google начнёт «замораживать», т.е. перестанет обновлять строки User-Agent с каждым обновлением Chrome. В то же время Chrome будет унифицировать информацию, которая передаётся об операционной системе устройства. В результате два компьютера с немного разными версиями Windows 10 будут иметь один и тот же User Agent. Это исключит ещё один возможный метод фингерпринтинга.
Наконец, после выхода Chrome 85 в сентябре каждый браузер Chrome, работающий в десктопной операционной системе, такой как Windows, macOS или Linux, будет передавать одну и ту же строку User-Agent, устраняя все возможности для фингерпринтинга.
Chrome 85 также будет унифицировать User-Agents на мобильных устройствах, при этом устройства будут объединяться в несколько категорий в зависимости от размера экрана.
Во второй части предложения описано компромиссное решение, которое позволит веб-разработчикам получать нужную им информацию, но при этом не нарушать конфиденциальность пользователя. Для этого Chrome представит новую функцию под названием User Agent Client Hints или UA-CH.
UA-CH будет предоставлять всю ту же информацию, что и строка User-Agent, но каждую порцию данных нужно будет запрашивать отдельно.
На начальном этапе эта информация не будет защищена, но браузер сможет легко определять и блокировать любые ненужные UA-CH запросы.
Если предложение по поводу признания устаревшим заголовка User-Agent и ввода UA-CH будет принято в текущем виде, то первые плоды этой инициативы мы увидим в марте – после выхода Chrome 81.
Инициатива уже поддержана разработчиками Edge (полностью) и Firefox (только по части «заморозки»). Разработчики Safari реализовали «заморозку» строки User-Agent, но альтернативного решения не предоставили.
Что касается использования нового механизма UA-CH, то здесь общий консенсус пока не достигнут.
