L'empremta digital del navegador: què és, com funciona, si infringeix la llei i com protegir-se. Part 2

De Selectel: aquesta és la segona part de la traducció de l'article sobre les empremtes dactilars del navegador (podeu llegir el primer aquí). Avui parlarem de la legalitat dels serveis i llocs web de tercers que recullen empremtes dactilars del navegador de diferents usuaris i de com podeu protegir-vos de la recollida d'informació.

Aleshores, què passa amb la legalitat de la recollida d'empremtes dactilars del navegador?

Hem estudiat aquest tema amb detall, però no hem pogut trobar lleis específiques (estem parlant de legislació nord-americana - nota de l'editor). Si podeu identificar alguna llei que regeix la recollida d'empremtes digitals del navegador al vostre país, feu-nos-ho saber.

Però a la Unió Europea hi ha lleis i directives (en particular, GDPR i ePrivacy Directive) que regulen l'ús de les empremtes digitals del navegador. Això és completament legal, però només si l'organització pot demostrar la necessitat de realitzar aquest treball.

A més, es requereix el consentiment de l'usuari per utilitzar la informació. És cert, hi ha dues excepcions d'aquesta regla:

• Quan es requereix una empremta digital del navegador amb "l'únic propòsit d'efectuar la transmissió d'un missatge a través d'una xarxa de comunicacions electròniques".
• Quan es recullen empremtes dactilars del navegador, cal adaptar la interfície d'usuari d'un dispositiu específic. Per exemple, quan navegueu per la web des d'un dispositiu mòbil, la tecnologia s'utilitza per recollir i analitzar l'empremta digital del navegador per oferir-vos una versió personalitzada.

El més probable és que en altres països s'apliquen lleis similars. Per tant, el punt clau aquí és que el servei o lloc necessita el consentiment de l'usuari per treballar amb l'empremta digital del navegador.

Però hi ha un problema: la pregunta no sempre és explícita. Molt sovint, a l'usuari només se li mostra el bàner "Accepto les condicions d'ús". Sí, el bàner sempre conté un enllaç als mateixos termes. Però qui els llegeix?

Per tant, normalment el mateix usuari dóna permís per recollir empremtes dactilars del navegador i analitzar aquesta informació quan fa clic al botó "d'acord".

Prova l'empremta digital del teu navegador

D'acord, més amunt hem comentat quines dades es poden recollir. Però, què passa amb la situació específica: el vostre propi navegador?

Per entendre quina informació es pot recollir amb la seva ajuda, la manera més senzilla és utilitzar el recurs Informació del dispositiu. Us mostrarà què pot obtenir un estranger del vostre navegador.

Veus aquesta llista a l'esquerra? Això no és tot, la resta de la llista apareixerà a mesura que us desplaceu per la pàgina. La ciutat i la regió no es mostren a la pantalla a causa de l'ús d'una VPN per part dels autors.

Hi ha diversos altres llocs que us ajuden a realitzar una prova d'empremta digital del navegador. Això Panopticlick de l'EFF i AmIUnique, lloc de codi obert.

Què és l'entropia de l'empremta dactilar del navegador?

Aquesta és una avaluació de la singularitat de l'empremta digital del vostre navegador. Com més alt sigui el valor d'entropia, més gran serà la singularitat del navegador.

L'entropia de l'empremta digital del navegador es mesura en bits. Podeu consultar aquest indicador al lloc web de Panopticlick.

Quina precisió són aquestes proves?

En general, es pot confiar en ells perquè recullen exactament les mateixes dades que els recursos de tercers. Això si avaluem punt per punt la recollida d'informació.

Si parlem d'avaluar la singularitat, no tot és tan bo aquí, i aquí teniu el perquè:

• Els llocs de proves no tenen en compte les empremtes dactilars aleatòries, que es poden obtenir, per exemple, amb Brave Nightly.
• Llocs com Panopticlick i AmIUnique tenen grans arxius de dades que contenen informació sobre navegadors antics i obsolets els usuaris dels quals han estat verificats. Per tant, si feu una prova amb un navegador nou, és probable que obtingueu una puntuació alta per a la singularitat de la vostra empremta digital, malgrat que centenars d'altres usuaris fan servir la mateixa versió del mateix navegador que vosaltres.
• Finalment, no tenen en compte la resolució de la pantalla ni el canvi de mida de la finestra del navegador. Per exemple, la font pot ser massa gran o petita, o el color pot dificultar la lectura del text. Sigui quin sigui el motiu, les proves no ho tenen en compte.

En general, les proves d'unicitat d'empremtes dactilars no són inútils. Val la pena provar-los per esbrinar el vostre nivell d'entropia. Però el millor és simplement avaluar quina informació esteu donant "fora".

Com protegir-se de les empremtes digitals del navegador (mètodes senzills)

Val la pena dir de seguida que no serà possible bloquejar completament la formació i la recollida d'empremtes digitals del navegador: aquesta és una tecnologia bàsica. Si voleu protegir-vos al 100%, només cal que no utilitzeu Internet.

Però la quantitat d'informació recollida per serveis i recursos de tercers es pot reduir. Aquí és on aquestes eines ajudaran.

Navegador Firefox amb configuració modificada

Aquest navegador és bastant bo per protegir les dades dels usuaris. Recentment, els desenvolupadors van protegir els usuaris de Firefox de les empremtes digitals de tercers.

Però el nivell de protecció es pot augmentar. Per fer-ho, heu d'anar a la configuració del vostre navegador introduint "about:config" a la barra d'adreces. A continuació, seleccioneu i canvieu les opcions següents:

• webgl.disabled - Seleccioneu "true".
• geo.enabled - seleccioneu "fals".
• privadesa.resistFingerprinting - Seleccioneu "true". Aquesta opció proporciona un nivell bàsic de protecció contra les empremtes digitals del navegador. Però és més eficaç quan seleccioneu altres opcions de la llista.
• privadesa.primerapart.aïllar - Canviar a "vertader". Aquesta opció us permet bloquejar les galetes de dominis propis.
• media.peerconnection.enabled - una opció opcional, però si treballeu amb una VPN, val la pena seleccionar-la. Permet evitar filtracions de WebRTC i la demostració de la vostra IP.

Navegador valent

Un altre navegador fàcil d'utilitzar i que ofereix una protecció seriosa per a les dades personals. El navegador bloqueja diversos tipus de rastrejadors, utilitza HTTPS sempre que sigui possible i bloqueja scripts.

A més, Brave us ofereix la possibilitat de bloquejar la majoria de les eines d'empremtes dactilars del navegador.

Hem utilitzat Panopticlick per estimar el nivell d'entropia. En comparació amb Opera, va resultar ser de 16.31 bits en lloc de 17.89. La diferència no és gran, però encara hi és.

Els usuaris valents han suggerit diverses maneres de protegir-se de les empremtes digitals del navegador. Hi ha tants detalls que és impossible enumerar-los en un article. Tots els detalls disponible al Github del projecte.

Extensions de navegador especialitzades

Les extensions són un tema sensible perquè de vegades augmenten la singularitat de l'empremta digital d'un navegador. Si utilitzar-los o no és l'opció de l'usuari.

Això és el que podem recomanar:

• Chameleon — modificació dels valors de l'agent d'usuari. Podeu configurar la freqüència a "un cop cada 10 minuts", per exemple.
• Traça — protecció contra diferents tipus de recollida d'empremtes dactilars.
• User-Agent Switcher - fa aproximadament el mateix que Camaleó.
• Bloquejador de tela — protecció contra la recollida d'empremtes digitals del llenç.

És millor utilitzar una extensió en lloc de totes alhora.

Navegador Tor sense Tor Xarxa

No cal explicar a Habré què és un navegador Tor. Per defecte, ofereix una sèrie d'eines per protegir les dades personals:

• HTTPS a qualsevol lloc i a tot arreu.
• NoScript.
• Bloqueig de WebGl.
• Bloqueig de l'extracció d'imatges de llenç.
• Canviant la versió del sistema operatiu.
• Bloqueig de la informació sobre la configuració de la zona horària i l'idioma.
• Totes les altres funcions per bloquejar les eines de vigilància.

Però la xarxa Tor no és tan impressionant com el propi navegador. Aixo es perqué:

• Funciona lentament. Això és perquè hi ha uns 6 mil servidors, però uns 2 milions d'usuaris.
• Molts llocs bloquegen el trànsit Tor, com ara Netflix.
• Hi ha filtracions d'informació personal, una de les més greus va passar el 2017.
• Tor té una relació estranya amb el govern dels EUA: es pot anomenar una col·laboració estreta. A més, el govern és econòmicament suporta Tor.
• Podeu connectar-vos a node de l'atacant.

En general, és possible utilitzar el navegador Tor sense la xarxa Tor. Això no és tan fàcil de fer, però el mètode és bastant accessible. La tasca és crear dos fitxers que desactivaran la xarxa Tor.

La millor manera de fer-ho és a Notepad++. Obriu-lo i afegiu les línies següents a la primera pestanya:

pref('general.config.filename', 'firefox.cfg');
pref('general.config.obscure_value', 0);

A continuació, aneu a Edita - Conversió EOL, seleccioneu Unix (LF) i deseu el fitxer com a autoconfig.js al directori Tor Browser/defaults/pref.

A continuació, obriu una pestanya nova i copieu aquestes línies:

//
lockPref('network.proxy.type', 0);
lockPref('network.proxy.socks_remote_dns', false);
lockPref('extensions.torlauncher.start_tor', false);

El nom del fitxer és firefox.cfg, cal desar-lo al navegador/navegador Tor.

Ara tot està llest. Després de l'inici, el navegador mostrarà un error, però podeu ignorar-lo.

I sí, apagar la xarxa no afectarà de cap manera l'empremta digital del navegador. Panopticlick mostra un nivell d'entropia de 10.3 bits, que és molt menor que amb el navegador Brave (era de 16,31 bits).

Els fitxers esmentats anteriorment es poden descarregar per tant.

A la tercera i última part, parlarem de mètodes més durs per desactivar la vigilància. També parlarem del tema de la protecció de dades personals i altra informació mitjançant una VPN.

Font: www.habr.com