Browser fingerprint: wat it is, hoe't it wurket, of it yn striid is mei de wet en hoe jo josels te beskermjen. Diel 2

Fan Selectel: dit is it twadde diel fan 'e oersetting fan it artikel oer browser fingerprints (hjir kinne jo de earste lêze). Hjoed sille wy prate oer de wettichheid fan tsjinsten fan tredden en websiden dy't browserfingerprinten fan ferskate brûkers sammelje en hoe't jo josels kinne beskermje tsjin it sammeljen fan ynformaasje.

Dus wat oer de wettichheid fan it sammeljen fan browserfingerprinten?

Wy studearre dit ûnderwerp yn detail, mar koe net fine spesifike wetten (wy prate oer Amerikaanske wetjouwing - redaksje notysje). As jo ​​​​wetten kinne identifisearje dy't de kolleksje fan browserfingerprinten yn jo lân regelje, lit it ús dan witte.

Mar yn 'e Jeropeeske Uny binne d'r wetten en rjochtlinen (benammen GDPR en ePrivacy-rjochtline) dy't it gebrûk fan browserfingerprinten regelje. Dit is folslein legaal, mar allinich as de organisaasje de needsaak bewize kin om sa'n wurk út te fieren.

Derneist is de tastimming fan 'e brûker nedich om de ynformaasje te brûken. Is it wier, der binne twa útsûnderings út dizze regel:

• As in browserfingerprint fereaske is foar "it iennichste doel om de oerdracht fan in berjocht oer in elektroanysk kommunikaasjenetwurk út te fieren."
• By it sammeljen fan browserfingerprinten is nedich om de brûkersynterface fan in spesifyk apparaat oan te passen. As jo ​​bygelyks op it web surfe fan in mobyl apparaat, wurdt technology brûkt om de browserfingerprint te sammeljen en te analysearjen om jo in oanpaste ferzje te jaan.

Meast wierskynlik jilde ferlykbere wetten yn oare lannen. Dat it wichtichste punt hjir is dat de tsjinst of side de tastimming fan de brûker nedich hat om te wurkjen mei browser fingerprinting.

Mar d'r is in probleem - de fraach is net altyd eksplisyt. Meastentiids wurdt de brûker allinich de banner "Ik gean akkoard mei de gebrûksbetingsten" te sjen. Ja, de banner befettet altyd in keppeling nei de betingsten sels. Mar wa lêst se?

Dus meastentiids jout de brûker sels tastimming om browserfingerprinten te sammeljen en dizze ynformaasje te analysearjen as hy klikt op de knop "akkoard".

Testje jo browser fingerprint

Okee, hjirboppe hawwe wy besprutsen hokker gegevens kinne wurde sammele. Mar hoe sit it mei de spesifike situaasje - jo eigen browser?

Om te begripen hokker ynformaasje kin wurde sammele mei har help, is de maklikste manier om de boarne te brûken Apparaatynfo. It sil jo sjen litte wat in bûtensteander kin krije fan jo browser.

Sjoch dizze list oan de linkerkant? Dat is net alles, de rest fan 'e list sil ferskine as jo de side nei ûnderen rôlje. De stêd en regio wurde net werjûn op it skerm fanwege it gebrûk fan in VPN troch de auteurs.

D'r binne ferskate oare siden dy't jo helpe om in browserfingerprinttest út te fieren. Dit Panopticlick fan de EFF en AmIUnique, iepen boarne side.

Wat is browser fingerprint entropy?

Dit is in beoardieling fan 'e unykheid fan jo browserfingerprint. Hoe heger de entropywearde, hoe heger de eigenheid fan 'e browser.

De entropy fan 'e fingerprint fan' e browser wurdt metten yn bits. Jo kinne dizze yndikator kontrolearje op 'e Panopticlick-webside.

Hoe akkuraat binne dizze tests?

Yn 't algemien kinne se fertroud wurde om't se krekt deselde gegevens sammelje as boarnen fan tredden. Dit is as wy de kolleksje fan ynformaasje punt foar punt evaluearje.

As wy prate oer it beoardieljen fan unykheid, dan is net alles hjir sa goed, en hjir is wêrom:

• Testsites nimme gjin rekken mei willekeurige fingerprinten, dy't bygelyks kinne wurde krigen mei Brave Nightly.
• Siden lykas Panopticlick en AmIUnique hawwe enoarme gegevensargiven mei ynformaasje oer âlde en ferâldere browsers wêrfan de brûkers binne ferifiearre. Dus as jo in test nimme mei in nije browser, sille jo wierskynlik in hege skoare krije foar de unykheid fan jo fingerprint, nettsjinsteande it feit dat hûnderten oare brûkers deselde ferzje fan deselde browser as jo hawwe.
• Uteinlik nimme se gjin rekken mei skermresolúsje of feroarje fan grutte fan browserfinster. It lettertype kin bygelyks te grut of lyts wêze, of de kleur kin de tekst lestich meitsje. Wat de reden ek is, de tests nimme dêr gjin rekken mei.

Yn 't algemien binne testen foar unykens fan fingerprint net nutteloos. It is it wurdich om se te besykjen om jo entropynivo út te finen. Mar it is it bêste om gewoan te evaluearjen hokker ynformaasje jo "út" jouwe.

Hoe jo josels te beskermjen tsjin browserfingerprinting (ienfâldige metoaden)

It is it wurdich te sizzen dat it net mooglik is om de formaasje en kolleksje fan in browserfingerprint folslein te blokkearjen - dit is in basistechnology. As jo ​​​​josels 100% wolle beskermje, moatte jo gewoan it ynternet net brûke.

Mar de hoemannichte ynformaasje sammele troch tsjinsten en boarnen fan tredden kin wurde fermindere. Dit is wêr't dizze ark sille helpe.

Firefox-blêder mei wizige ynstellings

Dizze browser is frij goed yn it beskermjen fan brûkersgegevens. Koartlyn hawwe ûntwikkelders Firefox-brûkers beskerme tsjin fingerprinting fan tredden.

Mar it nivo fan beskerming kin wurde ferhege. Om dit te dwaan, moatte jo nei jo blêderynstellingen gean troch "about: config" yn 'e adresbalke yn te fieren. Selektearje en feroarje dan de folgjende opsjes:

• webgl.útskeakele - selektearje "wier".
• geo.enabled - selektearje "falsk".
• privacy.resistFingerprinting - selektearje "wier". Dizze opsje biedt in basisnivo fan beskerming tsjin browser fingerprinting. Mar it is it meast effektyf by it selektearjen fan oare opsjes út 'e list.
• privacy.firstparty.isolate - feroarje nei "wier". Dizze opsje lit jo cookies blokkearje fan domeinen fan earste partijen.
• media.peerconnection.enabled - in opsjonele opsje, mar as jo wurkje mei in VPN, is it wurdich te selektearjen. It makket it mooglik om WebRTC-lekken en demonstraasje fan jo IP te foarkommen.

Brave Browser

In oare browser dy't brûkerfreonlik is en serieuze beskerming biedt foar persoanlike gegevens. De browser blokkeart ferskate soarten trackers, brûkt HTTPS wêr mooglik en blokkearret skripts.

Derneist jout Brave jo de mooglikheid om de measte ark foar fingerprinting fan browsers te blokkearjen.

Wy brûkten Panopticlick om it entropynivo te skatten. Yn ferliking mei Opera die bliken 16.31 bits te wêzen ynstee fan 17.89. It ferskil is net grut, mar it is der noch.

Brave brûkers hawwe in ferskaat oan manieren suggerearre om te beskermjen tsjin browserfingerprinting. D'r binne safolle details dat it ûnmooglik is om se yn ien artikel te listjen. Alle details beskikber op Github fan it projekt.

Spesjalisearre browser-útwreidingen

Tafoegings binne in gefoelich ûnderwerp, om't se soms de unykheid fan 'e fingerprint fan in browser ferheegje. Of se se brûke of net is de kar fan de brûker.

Hjir is wat wy kinne oanbefelje:

• kameleon - wiziging fan wearden fan brûkersagent. Jo kinne bygelyks de frekwinsje ynstelle op "ien kear elke 10 minuten".
• Spoar - beskerming tsjin ferskate soarten fingerprintsammeling.
• User-Agent Switcher - docht sawat itselde as Kameleon.
• Canvasblocker - beskerming tsjin it sammeljen fan digitale fingerprinten fan canvas.

It is better om ien tafoeging te brûken as alles tagelyk.

Tor-blêder sûnder Tor netwurk

D'r is gjin need om op Habré út te lizzen wat in Tor-browser is. Standert biedt it in oantal ark om persoanlike gegevens te beskermjen:

• HTTPS oeral en oeral.
• NoScript.
• WebGl blokkearje.
• Blokkearje fan ekstraksje fan canvasôfbylding.
• It feroarjen fan de OS ferzje.
• Blokkearje ynformaasje oer tiidsône en taalynstellingen.
• Alle oare funksjes om tafersjoch ark te blokkearjen.

Mar it Tor-netwurk is net sa yndrukwekkend as de browser sels. Dêrom:

• It wurket stadich. Dit is om't d'r sawat 6 tûzen servers binne, mar sawat 2 miljoen brûkers.
• In protte siden blokkearje Tor-ferkear, lykas Netflix.
• D'r binne lekken fan persoanlike ynformaasje, ien fan 'e serieusste barde yn 2017.
• Tor hat in frjemde relaasje mei de Amerikaanske regearing - it kin in nauwe gearwurking neamd wurde. Boppedat is it ryk finansjeel stipet Tor.
• Jo kinne ferbine mei oanfaller syn knooppunt.

Yn 't algemien is it mooglik om de Tor-browser te brûken sûnder it Tor-netwurk. Dit is net sa maklik te dwaan, mar de metoade is frij tagonklik. De taak is om twa bestannen te meitsjen dy't it Tor-netwurk sille útskeakelje.

De bêste manier om dit te dwaan is yn Notepad ++. Iepenje it en foegje de folgjende rigels ta oan it earste ljepblêd:

pref('general.config.filename', 'firefox.cfg');
pref('general.config.obscure_value', 0);

Gean dan nei Bewurkje - EOL Conversion, selektearje Unix (LF) en bewarje it bestân as autoconfig.js yn 'e Tor Browser/defaults/pref-map.

Iepenje dan in nije ljepper en kopiearje dizze rigels:

//
lockPref('network.proxy.type', 0);
lockPref('network.proxy.socks_remote_dns', false);
lockPref('extensions.torlauncher.start_tor', false);

De triemnamme is firefox.cfg, it moat wurde bewarre yn Tor Browser/Browser.

No is alles klear. Nei it starten sil de browser in flater sjen litte, mar jo kinne dit negearje.

En ja, it útskeakeljen fan it netwurk sil de browserfingerprint op gjin inkelde manier beynfloedzje. Panopticlick toant in entropy nivo fan 10.3 bits, dat is folle minder as mei de Brave browser (it wie 16,31 bits).

De hjirboppe neamde bestannen kinne wurde downloade fan hjir.

Yn it tredde en lêste diel sille wy prate oer mear hardcore metoaden foar it útskeakeljen fan tafersjoch. Wy sille ek it probleem besprekke fan it beskermjen fan persoanlike gegevens en oare ynformaasje mei in VPN.

Boarne: www.habr.com