https://webkit.org/blog/8613/intelligent-tracking-prevention-2-1/

https://www.macrumors.com/2019/02/21/safari-ios-12-2-intelligent-tracking-prevention/

 Apple은 WebKit 블로그를 통해 지능형 추적 방지(ITP) 2.1에 대한 설명을 공개했습니다. ITP 2.1은 추후 릴리즈될 iOS 12.2와 macOS용 Safari 12.1에 포함되며 주요 변경 내역은 다음과 같습니다.

 분할된 쿠키(상위 사이트에서 입력된 추가 쿠키 집합)는 더이상 지원되지 않으며 이제 크로스 사이트 추적 기능으로 분류된 써드파티는 Storage Access API를 사용하여야 합니다.

 클라이언트 측 쿠키는 7일 후 만료됩니다. document.cookie API를 통해 만들어진 쿠키를 클라이언트 측 쿠키라고 합니다. 이러한 조치의 이유는 다음과 같습니다.

 - 교차 사이트 추적기는 지속적인 추적을 위해 자사 사이트의 자체 쿠키 항아리를 사용하기 시작했습니다. 퍼스트 파티 컨텍스트의 추적 스크립트는 서로 간의 데이터를 읽고 쓸 수 있기 때문에 프라이버시 문제에서 골칫거리입니다. 예를 들면 social.example은 사용자 추적 ID를 news.example 퍼스트 파티 쿠키로 쓴다고 가정합니다. 이제 analytics.example, adnetwork.example, video.example은 news.example의 스크립트를 통해 해당 사용자 추적 ID에 영향을 주거나 상호작용이 가능합니다.

 - document.cookie에서 사용 가능한 쿠키는 메모리의 추측적 실행 공격으로 도난 당할 수 있습니다. 따라서 자격 증명과 같은 중요한 정보를 전달해서는 안됩니다.

- document.cookie에서 사용할 수 있는 쿠키는 사이트 간 스크립팅 공격으로 도난 당할 수 있습니다. 따라서 자격 증명과 같은 민감한 정보를 전달해서는 안됩니다.

- 쿠키의 확산은 모든 해당 HTTP 요청에 쿠키가 추가되기 때문에 페이지와 리소스 로드가 느려집니다. 게다가 많은 쿠키들은 엔트로피 값이 높아서 효율적으로 압축될 수 없습니다. 우리는 모든 자원 요청에 수 킬로바이트의 쿠키를 보내는 사이트를 발견했습니다.

 - 성능 상의 이유로 발신 쿠키 헤더에 크기 제한이 있으며 사이트 간 추적기가 퍼스트 파티 쿠키를 추가할 때 웹사이트가 한계에 도달할 위험이 있습니다. 우리는 뉴스 사이트 구독자들이 터무니 없이 로그아웃 되는 것에 대한 보고를 조사했고 추적자들이 너무 많은 쿠키를 추가하여 뉴스 사이트의 합법적인 로그인 쿠키가 밀려난 것을 발견했습니다.

 이 변경으로 사용자가 로그아웃 되는가? : 인증 쿠키는 man in the middle 공격, 교차 사이트 스크립팅 공격, 추측 실행 공격으로 부터 보호하기 위해 Secure 및 HttpOnly여야 합니다. document.cookie를 통해 생성된 쿠키는 HttpOnly가 될 수 없습니다. 이는 인증 쿠키가 수명 캡의 영향을 받지 않음을 의미합니다. 그렇게 하기 위해서는 인증 쿠키를 HTTP 응답으로 설정하고 그들을 Secure 및 HttpOnly로 표시해야 합니다. 즉 적절한 인증 쿠키를 사용한 사이트는 영향을 받지 않으며 document.cookie를 통해 생성 된 쿠키만 영향을 받습니다.

 이외에도 추적을 목적으로 캐시를 남용하는 것을 막기 위해 검증된 파티션 캐시가 추가되었으며 사용자의 상호 작용을 수신하기 전에 사라지는 팝업에 대한 호환성 수정을 제거하였습니다.

 마지막으로 Do Not Track 프로젝트는 최근 표준의 발표 없이 끝났기 때문에 해당 기능에 대한 지원을 제거하여 추가적인 지문 엔트로피만 제공하는 잘못된 개인 정보 보호 제어가 나타나지 않도록 하였습니다.