TIP#1209: Browser fingerprint. Co všechno o vás lze zjistit přes prohlížeč? A jak se tomu bránit?

Šmírování kam se podíváte. Mobilní aplikace vysávají informace z vašeho telefonu, využívají informaci o poloze aniž by to bylo třeba (a dokonce aniž byste o tom věděli), sbírají informace o tom jaké další aplikace používáte. A vy jste si možná řekli, že v prohlížeči tohle všechno nehrozí. Chyba lávky. Dnešní prohlížeče toho umí až příliš mnoho a také je to masivně zneužíváno.

Co všechno je vlastně možné zjistit z vašeho prohlížeče? Záplava informaci, která je vždy zjistitelná pokud necháte zapnutý Javascript. Některé informace i pokud ho vypnete. A ještě více informací, pokud si do prohlížeče pustíte nějaké rozšíření, které byste si tam pustit neměli.

Hardware vašeho zařízení stejně jako software vašeho zařízení – od operačního systému, typu prohlížeče, instalovaných rozšíření, jaký máte procesor, grafickou kartu, jaký je stav vaší  baterie. Z rychlosti prohlížeče (vykreslování a zpracování) se dá zjistit i jak výkonný máte počítač/zařízení. Část informací se objevuje přímo v identifikaci prohlížeče (tzv. User-Agent, lze to ale přepsat na něco jiného). Zjistit lze  i velikost displeje, zda je dotykový, rychlost vašeho Internetového připojení i síťové karty v počítači.

Jaké máte fonty, jaký používáte jazyk toho zdánlivě moc nenapoví, ale používá se to jako jeden ze signálů pro identifikaci člověka v okamžiku, kdy se ztratila cookie. Samotné to sice nestačí, ale ve spojení s dalšími informacemi to vede k otisku prohlížeče (browser fingerprint) s vysokou mírou přesnosti – tady se můžete podívat na panopticlick.eff.org a zjistit nejen jak to funguje, ale jak dobře váš prohlížeč lze identifikovat.

V květnu 2021 se zjistilo, že Chrome, Firefox, Safari a Tor jsou zranitelné vůči sledování napříč prohlížeči a dá se k tomu využít zjišťování jaké další aplikace (software) máte v počítači.

Vaše IP adresa je něco co bude známo vždy. Částečně to můžete řešit tím, že budete používat VPN nebo přejdete na Tor Browser, ale ani tam si nemůžete být 100% jistit tím, že někde skutečná IP adresa nevyleze ven.

Jaká zařízení se nacházejí v síti okolo vás. Pokud vám to snad připadá málo pravděpodobné, tak žijete v omylu.

TIP: Chcete se podívat co všechno o vás prohlížeč prozradí? Zkuste webkay.robinlinus.com

Polohové informace odvozené od IP adresy, ale také přímým dotazem na polohu – je to funkčnost prohlížeče. Tady by se měl prohlížeč vždy zeptat, jestli informaci poloze povolíte. Skutečnost je ale tak, že existuje řada cest (třeba Google GeoLocation API), jak určit vaši polohu s poměrně dost velkou přesností aniž byste o tom vůbec věděli. Tady se opět nelze bránit jinak než používáním VPN či alespoň Proxy. A samozřejmě, zákaz JavaScriptu.

Kam všude chodíte na Internet se dá dozvědět z historie ve vašem prohlížeči. Jsou to ve skutečnosti velmi cenná data a je běžné, že různé malware/adware se bud pokoušet tato data získat. Data o vašich návštěvách webů můžete promazávat, na vybrané weby můžete chodit v „anonymním“ okně, ale cest jak vás na Internetu sledovat je ještě více – sledují vás inzertní systémy, sleduje vás Facebook, Twitter, Google, Microsoft, měřící systémy jako Netmonitor a řada dalších hráčů. Protože to dělají přes Javascript (a cookies či HTML 5 úložiště), tak opět pomůže blokování Javascriptu (a samozřejmě extra software na ochranu soukromí v prohlížeči). Tady viz Jak vymazat historii v prohlížeči?

Přihlášení k sociálním sítím a dalším službám může zjistit i cizí webová stránka – prostě se zeptá, zda jste přihlášení do Facebooku. Facebook pro změnu může na jakémkoliv webu vědět, že jste to právě vy, kdo na tom webu je. Stejně jako Google (Google Analytics je prakticky všude) či Microsoft.

Co píšete na klávesnici a jak hýbete a používáte myš je další věc, kterou prohlížeč může získávat. Weby to čas od času využívají k testování zda jejich stránky uživatelé umí používat, ale je to běžně zneužitelné i pro šmírování. Poměrně dost užitečný je v této souvislosti tip Jak se bránit proti tzv. Session Replay – šmírovacím skriptům

Senzory v mobilních zařízeních jsou také běžně dostupné pro mobilní prohlížeče – třeba gyroskop nebo kompas.

Pokud někam odesíláte fotky. tak z nich prohlížeč i cílové místo získá řadu informací -čím fotíte ale hlavně i kde fotíte (pokud z fotek neodstraňujete geolokační informace, viz EXIF). Prohlížeč naštěstí nevyhledává ve fotkách obličeje, ale takový Facebook i Google to dělají neustále.

Informace z automatického vyplňování hesel a formulářů – ty je běžně možné vylákat malým podvodem. Podrobnosti viz Jak se bránit zneužití správců hesel v prohlížečích a automatickému vyplňování formulářů?

Nezapomeňte, že pokud nejste na HTTPS připojení, tak vše co se přenáší ven a do vašeho prohlížeče může někdo cizí cestou číst ale také měnit.

TIP: V Jak se bezpečně chovat v prohlížeči při brouzdání po Internetu? je řada tipů týkající se bezpečného užívání prohlížečů.

Jak se chránit proti šmírování v prohlížeči

Tady platí to co už bylo popsáno mnohokrát – začněte blokovat internetovou reklamu (uBlock a jiné k tomu vhodné pomůcky), pořiďte si pomůcky co ochraňují soukromí, zakažte běh Javascriptu (viz již zmíněný NoScript například) a povolujte ho pouze tam, kde to je nutné (a kde je to bezpečné). V žádném případě nenechávejte v prohlížeči ani počítači aktivní Flash. Velmi obezřetně si pořizujte rozšíření.

Pokud chcete bezpečnější prohlížeče tak i to je vhodné řešení – Tor Browser pokud potřebujete být poněkud více anonymní (Co je to Tor a Tor Browser? K čemu je dobrý?). Na výběr je ale například ještě Epic Browser, SRWare Iron a Comodo Dragon Browser.

Jeden z dost dobrých návyků by měl být i ten, že nebudete neustále přihlášení k Facebooku (a dalším sociálním sítím). Nebo že budete Facebook používat v jiném prohlížeči (jiném profilu) než v tom ve kterém brouzdáte po Internetu. K Facebook se mrkněte do Pomůže Firefox Container proti šmírování Facebookem?

Co se užitečných rozšíření na ochranu soukromí týče, tak zkuste uvažovat nad HTTPS Everywhere, Webutation (dobrá náhrada za WOT, které se změnilo ve šmírovací nástroj), NoScript a samozřejmě Ghostery – o tom všem je už ale řeč v Jak na lepší soukromí v prohlížeči? Ghostery, NOSCRIPT, WOT a ti další

Tipy týkající se Bezpečného Internetu

Jak na bezpečný Internet Prohlížeč Šmírování Soukromí Webdesign