Pegada dixital do navegador: que é, como funciona, se infrinxe a lei e como protexerse. Parte 2

De Selectel: esta é a segunda parte da tradución do artigo sobre as impresións dixitais do navegador (podes ler o primeiro aquí). Hoxe falaremos da legalidade dos servizos e sitios web de terceiros que recollen pegadas dixitais do navegador de diferentes usuarios e de como pode protexerse de recompilar información.

Entón, que pasa coa legalidade de recoller pegadas dixitais do navegador?

Estudamos este tema en detalle, pero non puidemos atopar leis específicas (estamos falando da lexislación estadounidense - nota do editor). Se pode identificar algunha lei que regula a recollida de pegadas dixitais do navegador no seu país, infórmenos.

Pero na Unión Europea hai leis e directivas (en particular, GDPR e ePrivacy Directive) que regulan o uso das pegadas dixitais do navegador. Isto é completamente legal, pero só se a organización pode demostrar a necesidade de realizar tal traballo.

Ademais, é necesario o consentimento do usuario para utilizar a información. É verdade, hai dúas excepcións desta regra:

• Cando se require unha pegada dixital do navegador co "único propósito de efectuar a transmisión dunha mensaxe a través dunha rede de comunicacións electrónicas".
• Ao recoller as impresións dixitais do navegador é necesario adaptar a interface de usuario dun dispositivo específico. Por exemplo, cando navegas pola web desde un dispositivo móbil, a tecnoloxía úsase para recoller e analizar a pegada dixital do navegador para ofrecerche unha versión personalizada.

O máis probable é que noutros países apliquen leis similares. Polo tanto, o punto clave aquí é que o servizo ou sitio necesita o consentimento do usuario para traballar coa impresión dixital do navegador.

Pero hai un problema: a pregunta non sempre é explícita. Na maioría das veces, ao usuario só se mostra o banner "Acepto as condicións de uso". Si, o banner sempre contén unha ligazón aos propios termos. Pero quen os le?

Polo que normalmente o propio usuario dá permiso para recoller pegadas dixitais do navegador e analizar esta información cando fai clic no botón "aceptar".

Proba a pegada dixital do teu navegador

Está ben, anteriormente comentamos que datos se poden recoller. Pero que pasa coa situación específica: o teu propio navegador?

Para comprender que información se pode recoller coa súa axuda, o xeito máis sinxelo é utilizar o recurso Información do dispositivo. Mostrarache o que un estranxeiro pode obter do teu navegador.

Mira esta lista á esquerda? Iso non é todo, o resto da lista aparecerá mentres se desprace pola páxina. A cidade e a rexión non se mostran na pantalla debido ao uso dunha VPN polos autores.

Hai outros sitios que che axudan a realizar unha proba de impresión dixital do navegador. Isto Panopticlick do FEP e AmIUnique, sitio de código aberto.

Que é a entropía da impresión dixital do navegador?

Esta é unha avaliación da singularidade da pegada dixital do teu navegador. Canto maior sexa o valor de entropía, maior será a singularidade do navegador.

A entropía da pegada dixital do navegador mídese en bits. Podes consultar este indicador no sitio web de Panopticlick.

Que precisión son estas probas?

En xeral, pódense confiar neles porque recollen exactamente os mesmos datos que os recursos de terceiros. Isto é se avaliamos punto por punto a recollida de información.

Se falamos de avaliar a singularidade, non todo é tan bo aquí, e aquí tes por que:

• Os sitios de probas non teñen en conta as impresións dixitais aleatorias, que se poden obter, por exemplo, usando Brave Nightly.
• Sitios como Panopticlick e AmIUnique teñen enormes arquivos de datos que conteñen información sobre navegadores antigos e obsoletos cuxos usuarios foron verificados. Polo tanto, se realizas unha proba cun navegador novo, é probable que obteñas unha puntuación alta pola singularidade da túa impresión dixital, a pesar de que centos de usuarios están a executar a mesma versión do mesmo navegador ca ti.
• Finalmente, non teñen en conta a resolución da pantalla nin o cambio de tamaño da xanela do navegador. Por exemplo, a fonte pode ser demasiado grande ou pequena, ou a cor pode dificultar a lectura do texto. Sexa cal sexa o motivo, as probas non o teñen en conta.

En xeral, as probas de unicidade da impresión dixital non son inútiles. Paga a pena probalos para coñecer o teu nivel de entropía. Pero o mellor é simplemente avaliar a información que estás dando.

Como protexerse da pegada dixital do navegador (métodos sinxelos)

Paga a pena dicir de inmediato que non será posible bloquear completamente a formación e recollida dunha pegada dixital do navegador: esta é unha tecnoloxía básica. Se queres protexerte ao 100%, só tes que non usar Internet.

Pero a cantidade de información recollida por servizos e recursos de terceiros pódese reducir. Aquí é onde estas ferramentas axudarán.

Navegador Firefox con configuración modificada

Este navegador é bastante bo para protexer os datos dos usuarios. Recentemente, os desenvolvedores protexeron aos usuarios de Firefox da pegada dixital de terceiros.

Pero o nivel de protección pódese aumentar. Para iso, debes ir á configuración do teu navegador introducindo "about:config" na barra de enderezos. A continuación, seleccione e cambie as seguintes opcións:

• webgl.disabled - Seleccione "verdadeiro".
• xeo.enabled - Seleccione "falso".
• privacidade.resistFingerprinting - Seleccione "verdadeiro". Esta opción ofrece un nivel básico de protección contra a impresión dixital do navegador. Pero é máis eficaz ao seleccionar outras opcións da lista.
• privacidade.primeiro.illar - cambiar a "verdadeiro". Esta opción permítelle bloquear as cookies de dominios propios.
• media.peerconnection.enabled - unha opción opcional, pero se traballas cunha VPN, paga a pena seleccionala. Permite evitar filtracións de WebRTC e a demostración da túa IP.

Brave Browser

Outro navegador que é fácil de usar e ofrece unha protección seria para os datos persoais. O navegador bloquea varios tipos de rastreadores, usa HTTPS sempre que sexa posible e bloquea scripts.

Ademais, Brave ofrécelle a posibilidade de bloquear a maioría das ferramentas de impresión dixital do navegador.

Usamos Panopticlick para estimar o nivel de entropía. En comparación con Opera, resultou ser 16.31 bits en lugar de 17.89. A diferenza non é grande, pero segue aí.

Os usuarios valentes suxeriron unha variedade de formas de protexerse contra as impresións dixitais do navegador. Hai tantos detalles que é imposible enumeralos nun artigo. Todos os detalles dispoñible no Github do proxecto.

Extensións de navegador especializadas

As extensións son un tema delicado porque ás veces aumentan a singularidade da pegada dixital dun navegador. Se usalos ou non é a elección do usuario.

Aquí tes o que podemos recomendar:

• Camaleón — modificación dos valores do axente de usuario. Podes configurar a frecuencia en "unha vez cada 10 minutos", por exemplo.
• Trazar — protección contra diferentes tipos de recollida de pegadas dixitais.
• Usuario-Axente conmutador - fai máis ou menos o mesmo que Chameleon.
• Canvasblocker — protección contra a recollida de pegadas dixitais do lenzo.

É mellor usar unha extensión en lugar de todas á vez.

Navegador Tor sen Tor Rede

Non hai que explicar en Habré o que é un navegador Tor. Por defecto, ofrece unha serie de ferramentas para protexer os datos persoais:

• HTTPS en calquera lugar e en todas partes.
• NoScript.
• Bloqueo de WebGl.
• Bloqueo da extracción de imaxes do lenzo.
• Cambiando a versión do SO.
• Bloqueo de información sobre a configuración do fuso horario e do idioma.
• Todas as outras funcións para bloquear ferramentas de vixilancia.

Pero a rede Tor non é tan impresionante como o propio navegador. Por iso:

• Funciona lentamente. Isto débese a que hai uns 6 mil servidores, pero uns 2 millóns de usuarios.
• Moitos sitios bloquean o tráfico de Tor, como Netflix.
• Hai filtracións de información persoal, unha das máis graves ocorreu en 2017.
• Tor ten unha estraña relación co goberno dos Estados Unidos: pódese chamar unha estreita colaboración. Ademais, o goberno é financeira admite Tor.
• Podes conectarte a nodo do atacante.

En xeral, é posible utilizar o navegador Tor sen a rede Tor. Non é tan fácil de facer, pero o método é bastante accesible. A tarefa é crear dous ficheiros que desactivarán a rede Tor.

A mellor forma de facelo é en Notepad++. Ábreo e engade as seguintes liñas á primeira pestana:

pref('general.config.filename', 'firefox.cfg');
pref('general.config.obscure_value', 0);

A continuación, vai a Editar - Conversión EOL, selecciona Unix (LF) e garda o ficheiro como autoconfig.js no directorio Tor Browser/defaults/pref.

A continuación, abra unha nova pestana e copie estas liñas:

//
lockPref('network.proxy.type', 0);
lockPref('network.proxy.socks_remote_dns', false);
lockPref('extensions.torlauncher.start_tor', false);

O nome do ficheiro é firefox.cfg, debe gardarse no Tor Browser/Browser.

Agora todo está listo. Despois do inicio, o navegador mostrará un erro, pero pode ignoralo.

E si, apagar a rede non afectará de ningún xeito á pegada dixital do navegador. Panopticlick mostra un nivel de entropía de 10.3 bits, que é moito menor que co navegador Brave (era de 16,31 bits).

Os ficheiros mencionados anteriormente pódense descargar por iso.

Na terceira e última parte, falaremos de métodos máis duros para desactivar a vixilancia. Tamén discutiremos o tema da protección de datos persoais e outra información mediante unha VPN.

Fonte: www.habr.com