ProHoster > Blog > administracja > Odcisk palca przeglądarki: co to jest, jak działa, czy narusza prawo i jak się chronić. Część 2
Odcisk palca przeglądarki: co to jest, jak działa, czy narusza prawo i jak się chronić. Część 2
Z Selectela: to druga część tłumaczenia artykułu o odciskach palców przeglądarki (Pierwszą z nich możesz przeczytać tutaj). Dzisiaj porozmawiamy o legalności usług i stron internetowych osób trzecich gromadzących odciski palców różnych użytkowników w przeglądarkach oraz o tym, jak możesz uchronić się przed gromadzeniem informacji.
A co z legalnością zbierania odcisków palców przeglądarki?
Przestudiowaliśmy ten temat szczegółowo, ale nie znaleźliśmy konkretnych przepisów (mówimy o ustawodawstwie amerykańskim – przyp. red.). Jeśli znasz jakieś przepisy regulujące zbieranie odcisków palców przeglądarki w Twoim kraju, daj nam znać.
Jednak w Unii Europejskiej istnieją przepisy i dyrektywy (w szczególności RODO i dyrektywa o prywatności), które regulują wykorzystanie odcisków palców przeglądarki. Jest to całkowicie legalne, ale tylko wtedy, gdy organizacja może udowodnić potrzebę wykonywania takich prac.
Ponadto na wykorzystanie informacji wymagana jest zgoda użytkownika. Czy to prawda, są dwa wyjątki z tej zasady:
Gdy wymagany jest odcisk palca przeglądarki „wyłącznie w celu umożliwienia transmisji wiadomości za pośrednictwem sieci komunikacji elektronicznej”.
Podczas zbierania odcisków palców przeglądarki wymagane jest dostosowanie interfejsu użytkownika konkretnego urządzenia. Na przykład, gdy surfujesz po Internecie za pomocą urządzenia mobilnego, technologia zbiera i analizuje odcisk palca przeglądarki, aby zapewnić Ci dostosowaną wersję.
Najprawdopodobniej podobne przepisy obowiązują w innych krajach. Zatem kluczową kwestią jest to, że usługa lub witryna potrzebuje zgody użytkownika na pracę z odciskiem palca przeglądarki.
Ale jest problem – pytanie nie zawsze jest jednoznaczne. Najczęściej użytkownikowi wyświetla się jedynie baner „Zgadzam się na warunki użytkowania”. Tak, baner zawsze zawiera link do samych warunków. Ale kto je czyta?
Zwykle więc użytkownik sam wyraża zgodę na gromadzenie odcisków palców przeglądarki i analizowanie tych informacji, klikając przycisk „zgadzam się”.
Przetestuj odcisk palca przeglądarki
OK, powyżej omówiliśmy, jakie dane można gromadzić. Ale co z konkretną sytuacją – Twoją własną przeglądarką?
Aby zrozumieć, jakie informacje można zebrać za jego pomocą, najłatwiej jest skorzystać z zasobu Informacje o urządzeniu. Pokaże Ci, co osoba z zewnątrz może uzyskać z Twojej przeglądarki.
Widzisz tę listę po lewej stronie? To nie wszystko, reszta listy pojawi się podczas przewijania strony. Miasto i region nie są wyświetlane na ekranie ze względu na wykorzystanie przez autorów VPN.
Istnieje kilka innych witryn, które pomagają w przeprowadzeniu testu odcisku palca przeglądarki. Ten Panopticlick z EFR i Wyjątkowy przyjaciel, witryna o otwartym kodzie źródłowym.
Co to jest entropia linii papilarnych przeglądarki?
Jest to ocena wyjątkowości odcisku palca Twojej przeglądarki. Im wyższa wartość entropii, tym większa niepowtarzalność przeglądarki.
Entropia odcisku palca przeglądarki jest mierzona w bitach. Możesz sprawdzić ten wskaźnik na stronie Panopticlick.
Jak dokładne są te testy?
Generalnie można im zaufać, bo zbierają dokładnie te same dane, co zasoby stron trzecich. Dzieje się tak, jeśli oceniamy gromadzenie informacji punkt po punkcie.
Jeśli mówimy o ocenie wyjątkowości, to nie wszystko tutaj jest tak dobre, a oto dlaczego:
Strony testujące nie uwzględniają przypadkowych odcisków palców, które można pozyskać np. za pomocą Brave Nightly.
Witryny takie jak Panopticlick i AmIUnique posiadają ogromne archiwa danych zawierające informacje o starych i nieaktualnych przeglądarkach, których użytkownicy zostali zweryfikowani. Jeśli więc podejmiesz test z nową przeglądarką, prawdopodobnie uzyskasz wysoki wynik za niepowtarzalność swojego odcisku palca, mimo że setki innych użytkowników korzysta z tej samej wersji tej samej przeglądarki co Ty.
Wreszcie nie uwzględniają rozdzielczości ekranu ani zmiany rozmiaru okna przeglądarki. Na przykład czcionka może być za duża lub za mała albo kolor może sprawić, że tekst będzie trudny do odczytania. Niezależnie od przyczyny, testy nie biorą tego pod uwagę.
Ogólnie rzecz biorąc, testy unikalności odcisków palców nie są bezużyteczne. Warto je wypróbować, aby poznać swój poziom entropii. Ale najlepiej jest po prostu ocenić, jakie informacje przekazujesz „na zewnątrz”.
Jak chronić się przed odciskiem palca przeglądarki (proste metody)
Warto od razu powiedzieć, że nie będzie możliwe całkowite zablokowanie tworzenia i gromadzenia odcisku palca przeglądarki – to podstawowa technologia. Jeśli chcesz się zabezpieczyć w 100%, wystarczy, że nie korzystasz z Internetu.
Można jednak zmniejszyć ilość informacji gromadzonych przez usługi i zasoby stron trzecich. Tutaj te narzędzia będą pomocne.
Przeglądarka Firefox ze zmodyfikowanymi ustawieniami
Ta przeglądarka całkiem dobrze radzi sobie z ochroną danych użytkownika. Niedawno programiści chronili użytkowników Firefoksa przed pobieraniem odcisków palców przez osoby trzecie.
Ale poziom ochrony można zwiększyć. W tym celu należy przejść do ustawień przeglądarki wpisując w pasku adresu „about:config”. Następnie wybierz i zmień następujące opcje:
webgl.wyłączone - wybierz „prawda”.
geo.enabled — wybierz „fałsz”.
Privacy.resistOdciski palców - wybierz „prawda”. Opcja ta zapewnia podstawowy poziom ochrony przed odciskiem palca przeglądarki. Najbardziej efektywne jest jednak wybranie innych opcji z listy.
prywatność.pierwsza.izolacja - zmień na „true”. Ta opcja umożliwia blokowanie plików cookie z domen własnych.
media.peerconnection.enabled - opcja opcjonalna, ale jeśli pracujesz z VPN, warto ją wybrać. Umożliwia zapobieganie wyciekom WebRTC i demonstrację Twojego adresu IP.
Odważna przeglądarka
Kolejna przeglądarka, która jest przyjazna dla użytkownika i zapewnia poważną ochronę danych osobowych. Przeglądarka blokuje różne typy modułów śledzących, korzysta z protokołu HTTPS tam, gdzie to możliwe i blokuje skrypty.
Dodatkowo Brave umożliwia blokowanie większości narzędzi do pobierania odcisków palców w przeglądarce.
Do oszacowania poziomu entropii wykorzystaliśmy Panopticlick. W porównaniu do Opery okazało się, że jest to 16.31 bitów zamiast 17.89. Różnica nie jest duża, ale jednak jest.
Odważni użytkownicy zaproponowali różne sposoby ochrony przed odciskami palców przeglądarki. Szczegółów jest tak wiele, że nie sposób ich wymienić w jednym artykule. Wszystkie szczegóły dostępne na Githubie projektu.
Specjalistyczne rozszerzenia przeglądarki
Rozszerzenia to drażliwy temat, ponieważ czasami zwiększają niepowtarzalność odcisku palca przeglądarki. To, czy z nich skorzystać, czy nie, zależy od użytkownika.
Oto co możemy polecić:
Kameleon — modyfikacja wartości agenta użytkownika. Można ustawić częstotliwość na przykład na „raz na 10 minut”.
Wyśledzić — ochrona przed różnymi rodzajami pobierania odcisków palców.
Ogólnie rzecz biorąc, możliwe jest korzystanie z przeglądarki Tor bez sieci Tor. Nie jest to takie proste, ale metoda jest dość dostępna. Zadanie polega na utworzeniu dwóch plików, które wyłączą sieć Tor.
Najlepszym sposobem na zrobienie tego jest Notepad++. Otwórz go i dodaj następujące wiersze do pierwszej karty:
Nazwa pliku to firefox.cfg, należy go zapisać w przeglądarce/przeglądarce Tor.
Teraz wszystko jest gotowe. Po uruchomieniu przeglądarka wyświetli błąd, ale możesz go zignorować.
I tak, wyłączenie sieci nie wpłynie w żaden sposób na odcisk palca przeglądarki. Panopticlick pokazuje poziom entropii na poziomie 10.3 bitu, czyli znacznie mniej niż w przypadku przeglądarki Brave (wynosiło to 16,31 bitu).
W trzeciej i ostatniej części porozmawiamy o bardziej hardkorowych metodach wyłączania nadzoru. Poruszymy także kwestię ochrony danych osobowych i innych informacji za pomocą VPN.