Šmírování kam se podíváte. Mobilní aplikace vysávají informace z vašeho telefonu, využívají informaci o poloze aniž by to bylo třeba (a dokonce aniž byste o tom věděli), sbírají informace o tom jaké další aplikace používáte. A vy jste si možná řekli, že v prohlížeči tohle všechno nehrozí. Chyba lávky. Dnešní prohlížeče toho umí až příliš mnoho a také je to masivně zneužíváno.
Co všechno je vlastně možné zjistit z vašeho prohlížeče? Záplava informaci, která je vždy zjistitelná pokud necháte zapnutý Javascript. Některé informace i pokud ho vypnete. A ještě více informací, pokud si do prohlížeče pustíte nějaké rozšíření, které byste si tam pustit neměli.
Hardware vašeho zařízení stejně jako software vašeho zařízení – od operačního systému, typu prohlížeče, instalovaných rozšíření, jaký máte procesor, grafickou kartu, jaký je stav vaší baterie. Z rychlosti prohlížeče (vykreslování a zpracování) se dá zjistit i jak výkonný máte počítač/zařízení. Část informací se objevuje přímo v identifikaci prohlížeče (tzv. User-Agent, lze to ale přepsat na něco jiného). Zjistit lze i velikost displeje, zda je dotykový, rychlost vašeho Internetového připojení i síťové karty v počítači.
Jaké máte fonty, jaký používáte jazyk toho zdánlivě moc nenapoví, ale používá se to jako jeden ze signálů pro identifikaci člověka v okamžiku, kdy se ztratila cookie. Samotné to sice nestačí, ale ve spojení s dalšími informacemi to vede k otisku prohlížeče (browser fingerprint) s vysokou mírou přesnosti – tady se můžete podívat na panopticlick.eff.org a zjistit nejen jak to funguje, ale jak dobře váš prohlížeč lze identifikovat.
V květnu 2021 se zjistilo, že Chrome, Firefox, Safari a Tor jsou zranitelné vůči sledování napříč prohlížeči a dá se k tomu využít zjišťování jaké další aplikace (software) máte v počítači.
Vaše IP adresa je něco co bude známo vždy. Částečně to můžete řešit tím, že budete používat VPN nebo přejdete na Tor Browser, ale ani tam si nemůžete být 100% jistit tím, že někde skutečná IP adresa nevyleze ven.
Jaká zařízení se nacházejí v síti okolo vás. Pokud vám to snad připadá málo pravděpodobné, tak žijete v omylu.
TIP: Chcete se podívat co všechno o vás prohlížeč prozradí? Zkuste webkay.robinlinus.com
Polohové informace odvozené od IP adresy, ale také přímým dotazem na polohu – je to funkčnost prohlížeče. Tady by se měl prohlížeč vždy zeptat, jestli informaci poloze povolíte. Skutečnost je ale tak, že existuje řada cest (třeba Google GeoLocation API), jak určit vaši polohu s poměrně dost velkou přesností aniž byste o tom vůbec věděli. Tady se opět nelze bránit jinak než používáním VPN či alespoň Proxy. A samozřejmě, zákaz JavaScriptu.
Kam všude chodíte na Internet se dá dozvědět z historie ve vašem prohlížeči. Jsou to ve skutečnosti velmi cenná data a je běžné, že různé malware/adware se bud pokoušet tato data získat. Data o vašich návštěvách webů můžete promazávat, na vybrané weby můžete chodit v „anonymním“ okně, ale cest jak vás na Internetu sledovat je ještě více – sledují vás inzertní systémy, sleduje vás Facebook, Twitter, Google, Microsoft, měřící systémy jako Netmonitor a řada dalších hráčů. Protože to dělají přes Javascript (a cookies či HTML 5 úložiště), tak opět pomůže blokování Javascriptu (a samozřejmě extra software na ochranu soukromí v prohlížeči). Tady viz Jak vymazat historii v prohlížeči?
Přihlášení k sociálním sítím a dalším službám může zjistit i cizí webová stránka – prostě se zeptá, zda jste přihlášení do Facebooku. Facebook pro změnu může na jakémkoliv webu vědět, že jste to právě vy, kdo na tom webu je. Stejně jako Google (Google Analytics je prakticky všude) či Microsoft.
Co píšete na klávesnici a jak hýbete a používáte myš je další věc, kterou prohlížeč může získávat. Weby to čas od času využívají k testování zda jejich stránky uživatelé umí používat, ale je to běžně zneužitelné i pro šmírování. Poměrně dost užitečný je v této souvislosti tip Jak se bránit proti tzv. Session Replay – šmírovacím skriptům
Senzory v mobilních zařízeních jsou také běžně dostupné pro mobilní prohlížeče – třeba gyroskop nebo kompas.
Pokud někam odesíláte fotky. tak z nich prohlížeč i cílové místo získá řadu informací -čím fotíte ale hlavně i kde fotíte (pokud z fotek neodstraňujete geolokační informace, viz EXIF). Prohlížeč naštěstí nevyhledává ve fotkách obličeje, ale takový Facebook i Google to dělají neustále.
Informace z automatického vyplňování hesel a formulářů – ty je běžně možné vylákat malým podvodem. Podrobnosti viz Jak se bránit zneužití správců hesel v prohlížečích a automatickému vyplňování formulářů?
Nezapomeňte, že pokud nejste na HTTPS připojení, tak vše co se přenáší ven a do vašeho prohlížeče může někdo cizí cestou číst ale také měnit.
TIP: V Jak se bezpečně chovat v prohlížeči při brouzdání po Internetu? je řada tipů týkající se bezpečného užívání prohlížečů.
Jak se chránit proti šmírování v prohlížeči
Tady platí to co už bylo popsáno mnohokrát – začněte blokovat internetovou reklamu (uBlock a jiné k tomu vhodné pomůcky), pořiďte si pomůcky co ochraňují soukromí, zakažte běh Javascriptu (viz již zmíněný NoScript například) a povolujte ho pouze tam, kde to je nutné (a kde je to bezpečné). V žádném případě nenechávejte v prohlížeči ani počítači aktivní Flash. Velmi obezřetně si pořizujte rozšíření.
Pokud chcete bezpečnější prohlížeče tak i to je vhodné řešení – Tor Browser pokud potřebujete být poněkud více anonymní (Co je to Tor a Tor Browser? K čemu je dobrý?). Na výběr je ale například ještě Epic Browser, SRWare Iron a Comodo Dragon Browser.
Jeden z dost dobrých návyků by měl být i ten, že nebudete neustále přihlášení k Facebooku (a dalším sociálním sítím). Nebo že budete Facebook používat v jiném prohlížeči (jiném profilu) než v tom ve kterém brouzdáte po Internetu. K Facebook se mrkněte do Pomůže Firefox Container proti šmírování Facebookem?
Co se užitečných rozšíření na ochranu soukromí týče, tak zkuste uvažovat nad HTTPS Everywhere, Webutation (dobrá náhrada za WOT, které se změnilo ve šmírovací nástroj), NoScript a samozřejmě Ghostery – o tom všem je už ale řeč v Jak na lepší soukromí v prohlížeči? Ghostery, NOSCRIPT, WOT a ti další
Tipy týkající se Bezpečného Internetu
-
TIP#2927: Co byste na sociální sítě dávat neměli
Je vaše věc co budete na své vlastní, osobní. sociální sítě dávat. Obsahově (řeč je o tom v Tohle na LinkedIn nepatří! Co vlastně patří na LinkedIn? A proč si na sociální…
-
TIP#2895: 8 důvodů proč byste měli používat VPN. Ve Windows, Macu, na Linuxu, atd.
VPN, virtuální privátní síť, má mnoho způsobu využití (viz Co je to VPN, k čemu je to dobré a co byste měli všechno vědět kde se to řeší poněkud zeširoka, včetně nevýhod…
-
TIP#2836: VPN pro (nejen) Android/iOS zdarma i placené. Co pořídit a pár praktických postřehů
Je taková doba, kdy je vhodní mít pro ruce VPN. Zejména pro nápady EU, které vedou k nedostupnosti některých věcí z USA (jako třeba Advanced Voice Mode od ChatGPT donedávna). Nebo pro…
-
TIP#2819: Máte podezření, že váš iPhone byl hacknut? Dá se to nějak poznat? A hlavně, co se dá dělat?
Hacknutý iPhone (či iPad) je poměrně méně obvyklá situace, ale i přes veškerá tvrzení to možné je. Různé bezpečnostní chyby, ale i nepozornost uživatelů, může vést k tomu, že se útočníkům podaří…
-
TIP#2795: Spam nebo Phishing? Jak se to pozná a proč (ne)nahlašovat
Je nějaký rozdíl mezi spamem a phishingem? A jak s tímto typickým nešvarem (v prvním případě) či extrémně nebezpečným bezpečnostním útokem zacházet? Související příspěvky TIP#2713: Jak poznám phishingový e-mail? Co dělat, pokud…
-
TIP#2784: Co je to shovelware?
Člověk se stále učí nová zajímavá slovíčka a také nové podivuhodné taktiky. V tomto případě, jak -ware napovídá, týkající se software. Související příspěvky TIP#2845: Jak ve WhatsApp automaticky blokovat spam TIP#2841: Jak…
-
TIP#2713: Jak poznám phishingový e-mail? Co dělat, pokud máte podezření na phishing?
Nedávná záplava phishingových e-mailů snažících se ukrást účet na Substacku (viz Phishing tvářící se jako Substack. Má to ale několik háčků) mi připomněla, že je možná dost dobré shrnout základní postup jak…
-
TIP#2640: Co se stane s mým dvoufaktorovým ověřením, když přijdu o telefon?
Nějak tak není měsíc, aby se někdo neozval s tím, že přišel o telefon (krádež, ztráta, prostě odešel, skončil v práci a přišel o firemní) a teď se nemůže přihlásit tam, kam…
-
TIP#2589: Nezapomínejte na e-maily a telefon pro obnovení v Gmailu. Ale nejenom tam
Gmail má užitečnou funkci. Můžete si přidat jiný e-mail a/nebo telefonní číslo pro obnovení účtu. Tedy pro situace kdy se na účet nemůžete dostat, ať už pro zapomenuté heslo nebo pro napadení…
-
TIP#2584: Co je to Quishing?
V médiích teď frčí psát o quishingu, takže proč nepřipomenout něco, co probíral jeden ze zdejších tipů už v roce 2021: Jsou QR kódy bezpečné? Co hrozí při používání? Související příspěvky TIP#2713:…
-
TIP#2523: Jak (bezpečně) chodit do internetového bankovnictví? Přes vyhledávač v žádném případě!
Připadá vám otázka „Jak chodit do internetového bankovnictví?“ zbytečná? Není tomu tak, jde totiž o bezpečnost – konkrétně o to, že když někdo chce jít do své banky na Internetu, tak mu…
-
TIP#2516: Nakupovat na “marketplace” jako tom od Kauflandu, Allegro či AliExpress? Co vám hrozí
Marketplace je chytré zaklínadlo pro online tržiště (obchod), které zprostředkovává prodej mezi kupujícím a prodávajícím – tím není samotné tržiště, takže i když zdánlivě kupujete něco od (například) Kauflandu či Allegro, tak…
-
TIP#2513: Od kolika let by mělo (mohlo) mít dítě mobilní telefon? A jaký?
Někdy před pár lety, když vznikla knížka Dítě v sítí, se to tu určitě někde objevilo, ale ne jako samostatný tip. Přitom jde o poměrně časté dilema, které mají rodiče. Dilema, na…
-
TIP#2498: Co je to vishing?
Vishing je slovo vytvořené z voice phishing. A protože už phishing je nástroj podvodníků, tak je tomu tak i u vishingu. K phishingu případně viz Co je to phishing a proč tomu…
-
TIP#2486: Jak rizikové je někomu sdělovat sériové číslo, IMEI a IMEI2 mého telefonu?
Sdělení sériového čísla, IMEI a IMEI2 vašeho iPhone někomu může představovat riziko, zejména pokud nemáte důvěru v danou osobu nebo organizaci, které tyto informace poskytujete. Zde jsou hlavní obavy: Související příspěvky TIP#2513:…
