ブラウザのフィンガープリント: それが何であるか、どのように機能するか、法律に違反するかどうか、そして自分自身を守る方法。 パート2

セレクテルより: これはブラウザのフィンガープリントに関する記事の翻訳の XNUMX 番目の部分です (最初のものはここで読むことができます）。 今日は、さまざまなユーザーのブラウザーの指紋を収集するサードパーティのサービスや Web サイトの合法性と、情報収集から身を守る方法について説明します。

では、ブラウザの指紋を収集することの合法性はどうなるのでしょうか?

私たちはこのトピックを詳細に調査しましたが、特定の法律を見つけることができませんでした（ここでは米国の法律について話しています - 編集者注）。 あなたの国でブラウザの指紋の収集を規制する法律を特定できましたら、お知らせください。

しかし、欧州連合には、ブラウザーの指紋の使用を規制する法律と指令 (特に GDPR と eプライバシー指令) があります。 これは完全に合法ですが、組織がそのような作業を行う必要性を証明できる場合に限ります。

また、情報の利用にはユーザーの同意が必要となります。 本当ですか、 例外が XNUMX つあります このルールから:

• 「電子通信ネットワーク上でメッセージを送信するという唯一の目的」でブラウザのフィンガープリントが必要な場合。
• 特定のデバイスのユーザー インターフェイスを調整するためにブラウザーのフィンガープリントを収集する必要がある場合。 たとえば、モバイル デバイスから Web サーフィンをする場合、テクノロジーを使用してブラウザのフィンガープリントが収集および分析され、カスタマイズされたバージョンが提供されます。

おそらく、他の国でも同様の法律が適用されます。 したがって、ここで重要な点は、サービスまたはサイトがブラウザーのフィンガープリントを使用するにはユーザーの同意が必要であるということです。

しかし、問題があります。質問は必ずしも明確ではありません。 ほとんどの場合、ユーザーには「利用規約に同意します」バナーのみが表示されます。 はい、バナーには常に規約自体へのリンクが含まれています。 しかし、誰がそれらを読むのでしょうか？

したがって、通常は、「同意する」ボタンをクリックすると、ユーザー自身がブラウザーのフィンガープリントを収集し、その情報を分析する許可を与えます。

ブラウザのフィンガープリントをテストする

さて、上でどのようなデータが収集できるかについて説明しました。 しかし、特定の状況、つまり自分のブラウザではどうでしょうか?

このツールを使用してどのような情報を収集できるかを理解するには、リソースを使用するのが最も簡単な方法です。 デバイス情報。 部外者がブラウザから何を取得できるかを示します。

左側にあるこのリストが見えますか? これだけではありません。ページを下にスクロールすると、リストの残りの部分が表示されます。 著者はVPNを使用しているため、都市と地域は画面に表示されません。

ブラウザーの指紋テストの実行に役立つサイトが他にもいくつかあります。 これ Panopticlick EFFからの AmIユニーク、オープンソース サイト。

ブラウザーの指紋エントロピーとは何ですか?

これは、ブラウザのフィンガープリントの一意性の評価です。 エントロピー値が大きいほど、ブラウザの一意性が高くなります。

ブラウザのフィンガープリントのエントロピーはビット単位で測定されます。 このインジケーターは、Panopticlick Web サイトで確認できます。

これらのテストはどのくらい正確ですか？

一般に、サードパーティのリソースとまったく同じデータを収集するため、信頼できます。 情報収集を点ごとに評価するとこうなる。

独自性の評価について言えば、すべてがそれほど良いわけではありません。その理由は次のとおりです。

• テスト サイトでは、たとえば Brave Nightly を使用して取得できるランダム フィンガープリントは考慮されていません。
• Panopticlick や AmIUnique などのサイトには、ユーザーが確認されている古いブラウザに関する情報を含む巨大なデータ アーカイブがあります。 したがって、新しいブラウザでテストを受けると、他の何百人ものユーザーがあなたと同じブラウザの同じバージョンを実行しているにもかかわらず、指紋の一意性について高いスコアを獲得できる可能性があります。
• 最後に、画面の解像度やブラウザ ウィンドウのサイズ変更は考慮されていません。 たとえば、フォントが大きすぎたり小さすぎたり、色によってテキストが読みにくくなったりする可能性があります。 理由が何であれ、テストではそれが考慮されません。

一般に、指紋の一意性テストは役に立たないわけではありません。 自分のエントロピーレベルを知るために、試してみる価値はあります。 しかし、どのような情報を「発信」しているのかを単純に評価するのが最善です。

ブラウザのフィンガープリントから身を守る方法 (簡単な方法)

ブラウザーのフィンガープリントの形成と収集を完全にブロックすることは不可能であることをすぐに言っておきます。これは基本的なテクノロジーです。 自分自身を100%守りたいなら、インターネットを使わないことだけが必要です。

ただし、サードパーティのサービスやリソースによって収集される情報の量は削減できます。 ここでこれらのツールが役に立ちます。

設定が変更された Firefox ブラウザ

このブラウザはユーザーデータの保護に非常に優れています。 最近、開発者は Firefox ユーザーをサードパーティのフィンガープリンティングから保護しました。

ただし、保護レベルを高めることは可能です。 これを行うには、アドレスバーに「about:config」と入力してブラウザの設定に移動する必要があります。 次に、次のオプションを選択して変更します。

• webgl.無効化 - 「true」を選択します。
• geo.enabled — 「偽」を選択します。
• プライバシー.レジストフィンガープリンティング - 「true」を選択します。 このオプションは、ブラウザーのフィンガープリントに対する基本レベルの保護を提供します。 ただし、リストから他のオプションを選択する場合に最も効果的です。
• プライバシー.ファーストパーティー.アイソレート - 「true」に変更します。 このオプションを使用すると、ファーストパーティ ドメインからの Cookie をブロックできます。
• media.peerconnection.enabled - オプションのオプションですが、VPN を使用する場合は選択する価値があります。 これにより、WebRTC の漏洩や IP のデモンストレーションを防ぐことができます。

ブレイブブラウザ

ユーザーフレンドリーで、個人データをしっかりと保護するもう XNUMX つのブラウザーです。 ブラウザはさまざまなタイプのトラッカーをブロックし、可能な限り HTTPS を使用し、スクリプトをブロックします。

さらに、Brave では、ほとんどのブラウザー フィンガープリント ツールをブロックする機能が提供されます。

Panopticlick を使用してエントロピー レベルを推定しました。 Opera と比較すると、16.31 ビットではなく 17.89 ビットであることが判明しました。 違いはそれほど大きくありませんが、それでも存在します。

勇敢なユーザーは、ブラウザーのフィンガープリントから保護するさまざまな方法を提案しています。 詳細が多すぎて、XNUMX つの記事にまとめることは不可能です。 すべての詳細 プロジェクトの Github で入手可能.

専用のブラウザ拡張機能

拡張機能はブラウザのフィンガープリントの一意性を高める場合があるため、デリケートな話題です。 それらを使用するかどうかはユーザーの選択です。

お勧めできるものは次のとおりです。

• カメレオン — ユーザーエージェント値の変更。 たとえば、頻度を「10 分に XNUMX 回」に設定できます。
• トレース — さまざまな種類の指紋収集に対する保護。
• ユーザーエージェントスイッチャー — カメレオンとほぼ同じことを行います。
• キャンバスブロッカー — キャンバスからのデジタル指紋の収集に対する保護。

拡張機能を一度にすべて使用するよりも、XNUMX つの拡張機能を使用することをお勧めします。

Tor を使用しない Tor ブラウザ ネットワーク

Tor ブラウザが何であるかを Habré で説明する必要はありません。 デフォルトでは、個人データを保護するためのツールが多数提供されています。

• どこでもどこでも HTTPS。
• NoScriptの。
• WebGL をブロックしています。
• キャンバス画像の抽出をブロックします。
• OSのバージョンを変更します。
• タイムゾーンと言語設定に関する情報をブロックします。
• 監視ツールをブロックするその他すべての機能。

しかし、Tor ネットワークはブラウザ自体ほど印象的ではありません。 それが理由です：

• ゆっくりと動作します。 これは、サーバーが約 6 台あるのに対し、ユーザーは約 2 万人であるためです。
• Netflix など、多くのサイトが Tor トラフィックをブロックしています。
• 個人情報の漏洩があり、2017年に最も深刻な事件が発生しました。
• Tor は米国政府と奇妙な関係にあり、緊密な協力関係と言えるでしょう。 また、政府は財政的にも、 Torをサポート.
• に接続できます 攻撃者のノード.

通常、Tor ネットワークがなくても Tor ブラウザを使用できます。 これはそれほど簡単ではありませんが、この方法は非常に簡単です。 タスクは、Tor ネットワークを無効にする XNUMX つのファイルを作成することです。

これを行う最良の方法は、Notepad++ を使用することです。 それを開いて、最初のタブに次の行を追加します。

pref('general.config.ファイル名', 'firefox.cfg');
pref('general.config.obscure_value', 0);

次に、[編集] - [EOL 変換] に移動し、[Unix (LF)] を選択して、ファイルを autoconfig.js として Tor Browser/defaults/pref ディレクトリに保存します。

次に、新しいタブを開いて次の行をコピーします。

//
lockPref('network.proxy.type', 0);
lockPref('network.proxy.socks_remote_dns', false);
lockPref('extensions.torlauncher.start_tor', false);

ファイル名は firefox.cfg で、Tor ブラウザ/ブラウザに保存する必要があります。

これですべての準備が整いました。 起動後、ブラウザにエラーが表示されますが、これは無視して問題ありません。

そして、はい、ネットワークをオフにしても、ブラウザーのフィンガープリントにはまったく影響しません。 Panopticlick は 10.3 ビットのエントロピー レベルを示しますが、これは Brave ブラウザー (16,31 ビットでした) よりもはるかに低いです。

上記のファイルがダウンロードできます 故に.

最後の第 XNUMX 部では、監視を無効にするさらに本格的な方法について説明します。 VPN を使用した個人データやその他の情報の保護の問題についても説明します。

出所： habr.com