Browser fingerprint: cos'è, come funziona, se viola la legge e come proteggersi. Parte 2

Da selezione: questa è la seconda parte della traduzione dell'articolo sulle impronte digitali del browser (qui potete leggere il primo). Oggi parleremo della legalità della raccolta delle impronte digitali del browser di diversi utenti da parte di servizi e siti di terze parti e di come proteggersi dalla raccolta di informazioni.

E allora, che dire della legalità del rilevamento delle impronte digitali del browser?

Abbiamo studiato questo argomento in dettaglio, ma non siamo riusciti a trovare leggi specifiche (stiamo parlando della legge statunitense, ndr). Se puoi indicare le leggi che regolano la raccolta delle impronte digitali del browser nel tuo Paese, faccelo sapere.

Ma nell’Unione Europea esistono leggi e direttive (in particolare, GDPR e Direttiva ePrivacy) che regolano l’uso delle impronte digitali del browser. Ciò è perfettamente legale, ma solo se l'organizzazione può dimostrare la necessità di svolgere tale lavoro.

Inoltre, l'utilizzo delle informazioni richiede il consenso dell'utente. È vero, ci sono due eccezioni da questa regola:

• Quando è richiesta l'impronta digitale del browser "al solo scopo di effettuare la trasmissione di un messaggio su una rete di comunicazione elettronica".
• Quando è necessario l'impronta digitale del browser per personalizzare l'interfaccia utente di un particolare dispositivo. Ad esempio, quando navighi sul Web da un dispositivo mobile, la tecnologia viene utilizzata per raccogliere e analizzare l'impronta digitale del browser in modo da ottenere una versione personalizzata.

Molto probabilmente, leggi simili si applicano in altri paesi. Quindi il punto chiave qui è che il servizio o il sito necessitano del consenso dell'utente per funzionare con le impronte digitali del browser.

Ma c'è un problema: la domanda non è sempre chiara. Molto spesso, all'utente viene mostrato solo il banner "Accetto i termini di utilizzo". Sì, il banner ha sempre un collegamento ai termini stessi. Ma chi li legge?

Quindi di solito l'utente stesso dà il permesso di raccogliere le impronte digitali del browser e di analizzare queste informazioni quando fa clic sul pulsante "Accetto".

Metti alla prova l'impronta digitale del tuo browser

Ok, sopra abbiamo discusso di quali dati possono essere raccolti. Ma che dire di una situazione specifica: il tuo browser?

Per capire quali informazioni possono essere raccolte con il suo aiuto, il modo più semplice è utilizzare la risorsa Info dispositivo. Mostrerà cosa può ottenere un osservatore di terze parti dal tuo browser.

Vedi questo elenco a sinistra? Ma non è tutto, il resto dell'elenco apparirà mentre scorri la pagina. La città e la regione sullo schermo non vengono visualizzate a causa dell'utilizzo della VPN da parte degli autori.

Esistono molti altri siti che ti aiutano a testare l'impronta digitale del tuo browser. Questo Panottica dal FEP e amico unico, sito open source.

Cos'è l'entropia dell'impronta digitale del browser?

Questa è una stima dell'unicità dell'impronta digitale del tuo browser. Maggiore è il valore di entropia, maggiore è l'unicità del browser.

L'entropia dell'impronta digitale del browser viene misurata in bit. Puoi controllare questo indicatore sul sito web di Panopticclick.

Quanto sono accurati questi test?

In generale, sono affidabili perché raccolgono esattamente gli stessi dati delle risorse di terze parti. Questo se valutiamo la raccolta di informazioni sui punti.

Se parliamo della valutazione dell'unicità, allora qui non va tutto così bene, ed ecco perché:

• I siti di test non tengono conto delle stampe casuali, che possono essere ottenute, ad esempio, utilizzando Brave Nightly.
• Siti come Panopticlick e AmIUnique dispongono di enormi archivi di dati contenenti informazioni su browser vecchi e obsoleti i cui utenti sono stati verificati. Pertanto, se stai eseguendo il test con un nuovo browser, è probabile che otterrai un punteggio elevato per l'unicità della tua impronta digitale, nonostante il fatto che centinaia di altri utenti utilizzino il tuo stesso browser con la tua stessa versione.
• Infine, non tengono conto della risoluzione dello schermo o del ridimensionamento della finestra del browser. Ad esempio, il carattere potrebbe essere troppo grande o troppo piccolo oppure il colore potrebbe rendere difficile la lettura del testo. Qualunque sia il motivo, i test non lo spiegano.

In generale, i test di unicità delle impronte digitali non sono inutili. Vale la pena provarli per scoprire il tuo livello di entropia. Ma è meglio valutare solo quali informazioni stai fornendo.

Come proteggersi dal rilevamento delle impronte digitali del browser (metodi semplici)

Va detto subito che non sarà possibile bloccare completamente la formazione e la raccolta dell'impronta digitale del browser: questa è la tecnologia di base. Se vuoi tutelarti al 100%, basta non usare Internet.

Ma la quantità di informazioni raccolte da servizi e risorse di terze parti può essere ridotta. È qui che questi strumenti possono aiutare.

Browser Firefox con impostazioni modificate

Questo browser non è male in termini di protezione dei dati dell'utente. Gli sviluppatori hanno recentemente protetto gli utenti di Firefox dalle impronte digitali di terze parti.

Ma il livello di protezione può essere aumentato. Per fare ciò, devi andare alle impostazioni del browser inserendo "about: config" nella barra degli indirizzi. Quindi seleziona e modifica le seguenti opzioni:

• webgl.disabilitato - seleziona "vero".
• geo.enabled - seleziona "falso".
• privacy.resistFingerprinting - seleziona "vero". Questa opzione fornisce un livello base di protezione contro il rilevamento delle impronte digitali del browser. Ma è più efficace quando si scelgono altre opzioni dall'elenco.
• privacy.firstparty.isolate - cambia in "vero". Questa opzione ti consente di bloccare i cookie provenienti da domini proprietari.
• media.peerconnection.enabled - un'opzione facoltativa, ma se lavori con una VPN, dovresti selezionarla. Permette di impedire che WebRTC trapeli e mostri il tuo IP.

раузер coraggiosi

Un altro browser facile da usare e che offre una seria protezione per i dati personali. Il browser blocca tutti i tipi di tracker, utilizza HTTPS ove possibile e blocca gli script.

Inoltre, Brave offre la possibilità di bloccare la maggior parte degli strumenti di rilevamento delle impronte digitali del browser.

Abbiamo utilizzato Panopticlick per stimare il livello di entropia. Rispetto a Opera risulta essere 16.31 bit invece di 17.89. La differenza non è enorme, ma c’è ancora.

Gli utenti coraggiosi hanno suggerito moltissimi modi per proteggersi dal rilevamento delle impronte digitali del browser. Ci sono così tanti dettagli che è impossibile elencarli in un articolo. Tutti i dettagli disponibile sul Github del progetto.

Estensioni del browser specializzate

Le estensioni sono un argomento delicato, poiché a volte migliorano l'unicità dell'impronta digitale di un browser. Usarli o meno è la scelta dell'utente.

Ecco cosa consigliare:

• Camaleonte - modifica dei valori dello user-agent. È possibile impostare la frequenza, ad esempio, "una volta ogni 10 minuti".
• Traccia - protezione contro diverse opzioni di raccolta delle stampe.
• User-Agent Switcher - fa più o meno la stessa cosa di Chameleon.
• blocca tela - protezione contro la raccolta di stampe digitali dalla tela.

Utilizzare un'estensione anziché tutte in una volta.

Browser Tor senza Tor Network NetPoulSafe

Su Habré non c'è bisogno di spiegare cos'è il browser Tor. Per impostazione predefinita, offre una serie di strumenti per proteggere i dati personali:

• HTTPS è ovunque.
• NoScript.
• Blocco di WebGl.
• Blocco dell'estrazione dell'immagine su tela.
• Modifica della versione del sistema operativo.
• Blocco delle informazioni sul fuso orario e sulle impostazioni della lingua.
• Tutte le altre funzioni per bloccare gli strumenti di sorveglianza.

Ma la rete Tor non è impressionante quanto il browser stesso. Ecco perché:

• Lavora lentamente. Questo perché ci sono circa 6mila server, ma circa 2 milioni di utenti.
• Molti siti bloccano il traffico Tor, come Netflix.
• Ci sono fughe di informazioni personali, una delle più gravi avvenuta nel 2017.
• Tor ha uno strano rapporto con il governo degli Stati Uniti: si potrebbe definire una stretta collaborazione. Inoltre, il governo finanziariamente supporta Tor.
• Può connettersi a nodo dell'attaccante.

In generale è possibile utilizzare il browser Tor senza la rete Tor. Non è così facile da fare, ma il metodo è abbastanza conveniente. Il compito è creare due file che disabiliteranno la rete Tor.

Il modo migliore per farlo è in Notepad++. Aprilo e aggiungi le seguenti righe alla prima scheda:

pref('general.config.nomefile', 'firefox.cfg');
pref('general.config.obscure_value', 0);

Quindi vai su Modifica - Conversione EOL, seleziona Unix (LF) e salva il file come autoconfig.js nella directory Tor Browser/defaults/pref.

Quindi apri una nuova scheda e copia queste righe:

//
lockPref('rete.proxy.tipo', 0);
lockPref('network.proxy.socks_remote_dns', false);
lockPref('extensions.torlauncher.start_tor', false);

Il nome del file è firefox.cfg e deve essere salvato in Tor Browser/Browser.

Adesso è tutto pronto. Dopo l'avvio, il browser mostrerà un errore, ma puoi ignorarlo.

E sì, la disattivazione della rete non influirà in alcun modo sull'impronta digitale del browser. Panopticclick mostra un livello di entropia di 10.3 bit, che è molto inferiore a quello del browser Brave (era 16,31 bit).

I file sopra menzionati possono essere scaricati quindi.

Nella terza e ultima parte parleremo dei metodi più hardcore per disattivare la sorveglianza. Discuteremo anche la questione della protezione dei dati personali e di altre informazioni utilizzando una VPN.

Fonte: habr.com