Na przeczytanie potrzebujesz 4 minut(y).
Włączasz w przeglądarce „tryb prywatny”, czyścisz ciasteczka i łączysz się z internetem korzystając z rozwiązania VPN, a strona którą wcześniej odwiedzałeś i tak wie kim jesteś? Jak to możliwe? Wszystko za sprawą przeglądarki, z której korzystasz. Na podstawie jej cech charakterystycznych obliczany jest tzw. odcisk palca (ang. fingerprint), który służy do identyfikacji Ciebie jako użytkownika w internecie i jest wykorzystywany do tego, aby Cię śledzić i dopasowywać treść i reklamy do Twoich preferencji i zainteresowań.
W artykule Co to są te ciasteczka? oraz Czy tryb „incognito” zapewnia prywatność? poprzez wykorzystanie analogii do wizyty w kinie starałem się wytłumaczyć, w jaki sposób działają mechanizmy pozwalające śledzić Twoją aktywność w internecie:
- ciasteczko (ang. cookie) zobrazowałem za pomocą numeru karty lojalnościowej,
- adres IP, z którego nawiązujesz połączenie to w mojej opowieści to numer rejestracyjny Twojego samochodu,
- przeglądarka, z której korzystasz to marka samochodu jakim jeździsz.
Łukasz natomiast, w artykule Czym jest VPN? wyjaśnił, co jako użytkownik możesz zrobić by nie zezwolić stronom internetowym śledzić Twojej aktywności za pomocą adresu IP, z którego korzystasz.
W dzisiejszym artykule chciałbym Ci wytłumaczyć w jaki sposób strony WWW, które odwiedzasz, identyfikują Ciebie przy pomocy odcisku palca przeglądarki, z której korzystasz. Odpowiem na pytania Czym jest odcisk palca przeglądarki? i Co zrobić by się przed nim bronić?.
Czy da się śledzić aktywność użytkownika za pomocą informacji o przeglądarce, z której korzysta?
Tak.
Żeby wyjaśnić Ci w jaki sposób jest to możliwe odniosę się do wcześniej wspomnianego przykładu samochodu, którym poruszasz się w codziennym życiu.
Załóżmy, że jeździsz samochodem marki Škoda (model Octavia). Na potrzeby tego artykułu załóżmy, że na polskich drogach jeździ około 300 000 sztuk tego auta (w samym 2018 roku kupionych zostało 21 125 nowych sztuk takich samochodów w Polsce). Jeżeli pojedziesz do mechanika swoim samochodem, a on zapamięta tylko markę i model samochodu, to ciężko będzie mu w przyszłości rozpoznać Ciebie i Twoje auto na ulicy wśród tysięcy (pozornie podobnych) aut poruszających się po Polsce. Co innego, jeżeli zapisze szczegółowe dane Twojego samochodu...
Auto można opisać przecież takimi parametrami jak: generacja, odmiana, rok produkcji, typ nadwozia, silnik, skrzynia biegów, standard wyposażenia, kolor karoserii, rodzaj felg, kolor szyb oraz ewentualne znaki szczególne takie jak zarysowania czy wgniecenia po uderzeniach.
Analogiczny zabieg można przeprowadzić dla przeglądarki, z której korzystasz.
Gdy odwiedzasz stronę internetowąe Twoja przeglądarka wysyła jej (w tak zwanych nagłówkach zapytania) informacje m.in. o:
- systemie operacyjnym, którego używasz
- typie przeglądarki, z której korzystasz
- wersji przeglądarki
- języku, w którym chciałbyś wyświetlić stronę
Dodatkowo czasami (po wejściu na stronę) w Twojej przeglądarce uruchamiany jest kawałek kodu w języku JavaScript, który dodatkowo sprawdza np.:
- Twoją strefę czasową
- listę zainstalowanych dodatków w przeglądarce
- ustawioną rozdzielczość ekranu
- wykorzystywaną kartę graficzną
- szybkość i zakres tworzenia grafiki w przeglądarce
Na podstawie tych oraz innych informacji serwer strony internetowej, którą odwiedzasz, oblicza indywidualny ciąg znaków, który zostaje przypisany Twojej przeglądarce. Jest to właśnie omawiany w artykule odcisk palca Twojej przeglądarki. Warto pamiętać o tym, że nie wszystkie strony, które odwiedzasz, obliczają odcisk palca przeglądarki w ten sam sposób. Wszystko zależy od parametrów, które zostaną uwzględnione do jego tworzenia.
Po co strony obliczają odcisk palca przeglądarki?
Przy każdej następnej wizycie obliczany odcisk palca Twojej przeglądarki zostanie przez serwer WWW porównywany z odciskami palców przeglądarek, które już wcześniej odwiedziły tę konkretną stronę. W ten sposób niezależnie od tego czy korzystasz z trybu incognito czy VPNa, strona którą otworzyłęś będzie potrafiła rozpoznać, że odwiedzasz ją po raz kolejny.
Oczywiście nie wszystkie strony, na które wchodzisz chcą poznać odcisk palca Twojej przeglądarki, niestety staje się to coraz częstszą praktyką. Jak już wspomniałem, każda strona którą odwiedzasz może obliczać odcisk palca przeglądarki na swój sposób - nie jest on uniwersalny. Na jego podstawie nie można stwierdzić czy odwiedzałeś inne strony w internecie, a jedynie fakt że ponownie odwiedzasz daną stronę, która już wcześniej obliczyła fingerprint Twojej przeglądarki
Sprawdźmy jak to działa.
Wchodząc na stronę http://webkay.robinlinus.com możesz przetestować to na własnej skórze. Zobacz jakie informacje o Twoim komputerze może pozyskać strona, która odwiedzasz.
Dodatkowo, wchodząc na stronę https://amiunique.org/ otrzymasz informację o tym z jakich składników przeglądarki może zostać wyliczony Twój odcisk palca i jak unikatowe są to wartości wśród innych użytkowników internetu.
Czy każda przeglądarka ma inny odcisk palca?
Nie.
Jak wspomniałem wcześniej odcisk palca przeglądarki wyliczany jest na podstawie kilku lub kilkunastu cech związanych z wykorzystywaną przeglądarką i urządzeniem. Jeżeli zbudowalibyśmy dwa identyczne komputery to posiadałby one identyczny odcisk palca przeglądarki. Jeżeli jednak będą miały np. inną rozdzielczość ekranu, czy zainstalowane dodatki w przeglądarce to ich odcisk będzie się różnił.
Co mogę zrobić by nie być śledzonym?
Strony internetowe mogą obliczyć odcisk palca Twojej przeglądarki, ponieważ zezwalasz im na uruchamianie kodu JavaScript (JS) na stronach, które odwiedzasz. Blokowanie tych skryptów (np. za pomocą dodatku NoScript) uniemożliwi obliczanie odcisku palca Twojej przeglądarki. Niestety wiele stron, które odwiedzasz może przestać działać.
Przeglądarka Tor Browser posiada wbudowane mechanizmy, które uniemożliwiają tworzenie unikalnego odcisku palca Twojej przeglądarki poprzez wyłączenie funkcji zwracających informacje, na podstawie których odcisk palca jest obliczany.
Firma Mozilla tworząca przeglądarkę FireFox poinformowała, że w następnych jej wersjach możliwe będzie włączenie opcji uniemożliwiających tworzenie przez odwiedzane strony odcisku palca przeglądarki. Ta funkcja jest już dostępna w wersji Beta oraz Nightly.
Podsumowanie
Skoro nie zaakceptowałbyś ciągłego śledzenia Twojej aktywności w świecie rzeczywistym, to czemu miałbyś godzić się na nie w świecie cyfrowym? Korzystając z internetu należy być świadomym zagrożeń w nim czyhających. Teraz już wiesz, w jaki sposób możesz skorzystać z mechanizmów chroniących Twoją prywatność. Tylko od Ciebie zależy czy z nich skorzystasz.
Z zawodu bezpiecznik, szukający dziury w całym. Sympatyk dzielenia się wiedzą, maniak planszówek, miłośnik książek i filmów szpiegowskich. Prywatnie mąż i tata.
Moglibyście wyjaśnić działanie blokady śledzenia w Safari (ustawienia)?
Cześć Wiktor , a jeśli mam taki odcisk palca to czy mogę zweryfikować typ, rodzaj, dane urządzenia, a dalej użytkownika personalnie?
Odcisk palca przeglądarki liczony jest (w zależności od strony) między innymi z
- Nagłówka HTTP UserAgent, który zawiera dane o urządzeniu, z którego korzystasz
- Informacji o komponentach Twojech komputera wyciągniętych przez JavaScript (CPU/GPU/Stan baterii)
Tak jak pisałem w artykule możesz sprawdzić to sam np. tutaj https://webkay.robinlinus.com/
Odcisk palca to finalnie (w wielu implementacjach) hash z tych danych. Jeżeli ktoś wykradł by bazę zebranych fingerprintów to (jeżeli nie zapisywała ona w osobnych komórkach informacji o tym jakie były wartości parametrów wykorzystane do jego wyliczenia) miałby tylko ciągi znaków, na podstawie których nie można określić z jakiego sprzętu i z jakiej przeglądarki ten fingerprint był wyliczany.
Fingerprint też nie mówi Ci konkretnie kim jest ta osoba, która wchodzi na stronę - daje natomiast stronie z dużym prawdopodobieństem pewność, że jest to np. ta sama osoba, która wchodziłą np. tydzień temu na stronę (nawet jeżeli zmieniły się ciasteczka). Dopiero po korelacji z innymi mechanizmami (np. thirdparty cookies) lub na podstawie danych, która dana osoba wprowadziła na stronę można określić coś więcej o danym użytkowniku.
Fajną robotę dla laika robi też Apple, które domyślnie zapobiega śledzeniu w Safari podsuwając odcisk komputera Mac, czy blokując ciasteczka zewnętrzne dostawców, a także ograniczając je czasowo do tygodnia - wszystko domyślnie. Firefox też jest ciekawą alternatywą.