Від Selectel: це друга частина перекладу статті про відбитки браузера (). Сьогодні поговоримо про законність збору сторонніми сервісами та сайтами відбитків браузерів різних користувачів та про те, як можна захиститись від збору інформації.
То що щодо законності збору відбитків браузерів?
Ми детально вивчили цю тему, але не змогли знайти конкретних законів (про законодавство США — прим. ред). Якщо ви можете вказати статті законів, які регулюють збір відбитків браузерів у вашій країні, дайте нам знати будь ласка.
Натомість у Європейському Союзі діють закони та директиви (зокрема, GDPR та ePrivacy Directive), які регулюють використання відбитків браузерів. Це цілком законно, але тільки в тому випадку, якщо організація може довести необхідність виконання такої роботи.
Крім того, для використання інформації потрібна згода користувача. Щоправда, з цього правила:
- Коли відбиток браузера потрібен для "єдиної мети - здійснення передачі повідомлення через мережу електронного зв'язку".
- Коли збирання відбитків браузерів потрібно для адаптації інтерфейсу користувача певного пристрою. Наприклад, коли ви серфіте в мережі з мобільного пристрою, задіяна технологія збору та аналізу відбитка браузера для того, щоб ви отримали адаптовану версію.
Скоріш за все, схожі закони діють і в інших країнах. Так що ключовий момент тут полягає в тому, що сервіс або сайт потребують згоди користувача для роботи з відбитками браузерів.
Але є проблема — не завжди явне питання. Найчастіше користувачеві показують лише банер «Я погоджуюсь з умовами використання». Так, на банері завжди є посилання на умови. Але хто їх читає?
Отже, зазвичай користувач сам дає дозвіл на збір відбитків браузера та аналіз цієї інформації, коли кликає по кнопці «згоден».
Тест відбитка свого браузера
Окей, ми обговорили вище, які дані можуть збиратися. Але що щодо конкретної ситуації власного браузера?
Щоб зрозуміти, яку інформацію можна з його допомогою зібрати, найпростіше скористатися ресурсом . Він покаже, що може отримати сторонній спостерігач із вашого браузера.
Бачите цей список зліва? Це далеко не все, решта списку з'явиться в міру прокручування сторінки. Місто та регіон на скрині не відображаються через використання VPN авторами.
Є ще кілька сайтів, які допомагають провести тест відбитка браузера. Це від EFF та , open-source сайт.
Що таке ентропія відбитка браузера?
Це оцінка унікальності відбитка вашого браузера. Чим вище значення ентропії, тим вища унікальність браузера.
Вимірюється ентропія відбитка браузера у бітах. Перевірити цей показник можна на веб-сайті Panopticlick.
Наскільки точними є ці тести?
Загалом, їм можна довіряти, оскільки збирають вони ті самі дані, що й сторонні ресурси. Це якщо оцінювати збір інформації щодо пунктів.
Якщо ж говорити про оцінку унікальності, то тут не все так само добре, і ось чому:
- Сайти для тестування не зважають на рандомні відбитки, які можна отримати, наприклад, за допомогою Brave Nightly.
- У сайтів на кшталт Panopticlick і AmIUnique — величезні архіви даних, в яких міститься інформація про старі та застарілі браузери, користувачі яких проходили перевірку. Так що якщо ви проходите тест із новим браузером, швидше за все, отримаєте високу оцінку унікальності свого відбитка, незважаючи на те, що сотні інших користувачів працюють із тим самим браузером тієї ж версії, що й ви.
- Нарешті, вони не враховують роздільну здатність екрана або зміни розміру вікна браузера. Наприклад, шрифт може бути занадто великий або малий або через колір текст складно читати. Хоч би якою була причина, тести цього не враховують.
Загалом тести на унікальність відбитків не є марними. Їх варто випробувати для того, щоб дізнатися про свій рівень ентропії. Але найкраще просто оцінити, яку інформацію ви віддаєте назовні.
Як захиститись від збору відбитків браузера (прості методи)
Відразу варто сказати, що повністю блокувати формування та збір відбитка браузера не вийде — це базова технологія. Якщо хочете захистити себе на 100%, потрібно просто не скористатися інтернетом.
Але кількість інформації, яка збирається сторонніми сервісами та ресурсами, можна знизити. Тут допоможуть такі інструменти.
Браузер Firefox із модифікованими налаштуваннями
Цей браузер непоганий у питанні захисту даних користувача. Нещодавно розробники захистили користувачів Firefox від збирання відбитків третьою стороною.
Але рівень захисту можна підвищити. Для цього потрібно зайти в налаштування браузера шляхом введення адресного рядка «about:config». Потім вибираємо та змінюємо наступні опції:
- webgl.disabled - Вибираємо «true».
- geo.enabled - Вибираємо «false».
- privacy.resistFingerprinting - Вибираємо «true». Ця опція дає базовий рівень захисту проти збирання відбитків браузера. Але найефективніша вона при виборі та інших опцій зі списку.
- privacy.firstparty.isolate - Змінюємо на «true». Ця опція дозволяє блокувати cookies від перших частин доменів.
- media.peerconnection.enabled — необов'язкова опція, але якщо ви працюєте з VPN, її варто вибрати. Вона дає можливість запобігти витоку WebRTC та демонстрації свого IP.
Браузер Відважний
Ще один браузер, дружній до користувача, що дає серйозний захист персональних даних. Браузер блокує різні трекери, використовує HTTPS скрізь, де можна, і блокує скрипти.
Крім того, Brave дає можливість блокувати більшу частину інструментів для збирання відбитків браузера.
Ми використовували Panopticlick для оцінки рівня ентропії. Порівняно з Opera вийшло 16.31 біт замість 17.89. Різниця не величезна, але вона все ж таки є.
Користувачі Brave запропонували багато способів захисту від збору відбитків браузера. Подробиць настільки багато, що в рамках однієї статті їх не перерахувати. Всі деталі .
Спеціалізовані розширення для браузера
Розширення - педантична тема, оскільки вони часом підвищують унікальність відбитка браузера. Використовувати їх чи ні – вибір користувача.
Ось що можна рекомендувати:
- - Модифікація значень user-agent. Можна встановити періодичність раз на 10 хвилин, наприклад.
- - Захист від різних варіантів збору відбитків.
- - робить приблизно те саме, що і Chameleon.
- - Захист від збору цифрових відбитків з canvas.
Використовуйте краще одне розширення, а не одразу все.
Tor браузер без Tor мережу
На Хабре не потрібно пояснювати, що таке браузер Tor. За замовчуванням він пропонує низку інструментів для захисту персональних даних:
- HTTPS скрізь і всюди.
- NoScript.
- Блокування WebGl.
- Блокування canvas image extraction.
- Зміна версії ОС.
- Блокування інформації про часовий пояс та налаштування мови.
- Всі інші функції блокування інструментів стеження.
Але мережа Tor не вражає настільки, наскільки сам браузер. Ось чому:
- Працює вона повільно. Все тому, що серверів – близько 6 тис., а ось користувачів – близько 2 млн.
- Багато сайтів блокують трафік Tor - наприклад, Netflix.
- Бувають витоки персональної інформації, один із найсерйозніших стався у 2017 році.
- Tor має дивні взаємини з урядом США — їх можна назвати тісною співпрацею. Крім того, уряд фінансово .
- Можна підключитися до .
Загалом, можна використовувати Tor браузер без мережі Tor. Зробити це не так просто, але спосіб цілком доступний. Завдання – створити два файли, які відключать мережу Tor.
Найкраще це робити в Notepad ++. Відкриваємо його та додаємо в першу вкладку такі рядки:
pref('general.config.filename', 'firefox.cfg');
pref('general.config.obscure_value', 0);
Потім йдемо в Edit - EOL Conversion, вибираємо Unix (LF) і зберігаємо файл як autoconfig.js до директорії Tor Browser/defaults/pref.
Потім відкриваємо нову вкладку та копіюємо ці рядки:
//
lockPref('network.proxy.type', 0);
lockPref('network.proxy.socks_remote_dns', false);
lockPref('extensions.torlauncher.start_tor', false);
Назва файлу – firefox.cfg, його потрібно зберегти в Tor Browser/Browser.
Тепер усе готове. Після запуску браузер покаже помилку, але це можна не звертати уваги.
Так, відключення мережі ніяк не вплине на відбиток браузера. Panopticlick показує рівень ентропії в 10.3 біт, це набагато менше, ніж з браузером Brave (було 16,31 біт).
Файли, про які йдеться вище, можна завантажити .
У третій, заключній частині поговоримо про хардкорніші методи відключення стеження. Також обговоримо питання захисту персональних даних та іншої інформації за допомогою VPN.
Джерело: habr.com