Jak dowiedzieć się na jakich stronach bywasz?

Posted on 21st Marzec 2010 in Ciekawostki, Dywagacje

Prosto. Wystarczy zajrzeć do historii. Czynność wysoce nieskomplikowana, nieprawdaż?

Ale jak robią to strony internetowe – zupełnie bez twojej wiedzy?

Jak to, inne strony (serwery) mogą dowiadywać się na jakich stronach bywasz? Okazuje się niestety że tak. Wyobraźmy sobie takie wspaniałe ulepszenie jak dostosowanie strony, aby przyciski zmieniały kolory, jeśli już je odwiedziliśmy – dzięki czemu parę razy nie będziemy wchodzić na tą samą stronę. Jeszcze lepiej – obrazki żeby były takie które zwizualizują nasze odwiedziny. Proste i praktyczne rozwiązanie.

Wystarczy zatem zobaczyć jakie obrazki odwiedzonych stron wyzwoliliśmy, i już mamy listę stron na której byliśmy. Pod pretekstem ulepszenia, mamy wyciek informacji.

Wyobraź sobie stronę z linkami do wszystkich stron w internecie, i naglę ta strona dysponuję pełną wiedzą na jakich stronach byłeś. Okropne! W połączeniu z fingerprintingiem przeglądarek zaczyna to tworzyć coraz dokładniejszy sos, i coraz dokładniejszy nas obraz.

Czy to jest niebezpieczne?

Wszystko kwestia definicji bezpieczeństwa. Jeśli nie przeszkadza ci że jakieś strony będą wiedzieć że lubisz oglądać strony z kotami, to spoko. Ale jeśli twój prześladowca, wyciągnie jeszcze więcej informacji na twój temat tym sposobem, to przestanie być tak przyjemne. Ja uświadomiwszy sobie taką dziurę, szybko ją załatałem wtyczką better privacy, i już czuję się odrobinę bezpieczniej.

Przykłady:

  • did you watch porn ? - strona która wyświetla czy chodzisz (lub ktoś na twojej przeglądarce) chodził po stronach pornograficznych
  • start panic! – ale ktoś zepsuł, spróbuje znaleźć linka – tam po prostu z bazy stron wyskakiwały wszystkie strony które udało mu się zweryfikować ze swojej bazy. U mnie po prostu wyskakiwały wszystkie niemal strony na których byłem – trochę mnie to przeraziło, że jakaś strona jest to w stanie wyciągnąć bez mojej wiedzy…
comments: 0 » tags: , ,

Digital fingerprinting przeglądarek.

Posted on 20th Luty 2010 in Dywagacje, Organizacyjne

Nawiasem mówiąc to 100 wpis HURAAAA ;-)

Czym jest digital fingerprinting przeglądarek.

Najogólniej mówiąc: przeglądarka gdy mówi do serwera: „daj mi taką a taką stronę” mówi też kilka ciekawych rzeczy. Gdy serwer zapyta jeszcze o kilka szczegółów typu rozdzielczość, czy tam fonty w systemie – oczywiście po to żeby mógł wyświetlić odpowiednią wersję strony – przeglądarka wysyła bardzo dużo informacji.

Gdy zapisze się te informację razem, okaże się że dosyć dużo informacji spowoduje, że taka przeglądarka stanie się całkowicie unikatowa i identyfikowalna, nawet bez całych wielkich zabiegów z ciasteczkami, czy tam innymi metodami utrzymania sesji.

Ludzi mających zboczenie na punkcie swojego bezpieczeństwa i prywatności, taka informacja może przerazić, że dana strona może wiedzieć że to dokładnie my, i często wracamy z różnych miejsc (różnych IP).

Dla zwykłego użytkownika, nie jest to mocno zatrważająca informacja, bo przecież dla zwykłego użytkownika, całe zaplecze techniczne, nie ma zbyt dużego znaczenia, bo ma po prostu działać.

Jednak warto mieć świadomość, że takie coś może doprowadzać, do wykorzystywania i tworzenia na przykład długoterminowego targetowania behawioralnego na przykład w sklepie internetowym, w którym często kupujemy. Taki sklep może bardzo dokładnie badać nasze preferencje, i tworzyć nasz profil.

Nawet nie próbuje sobie wyobrażać, co by się stało gdyby jakaś duża firma, albo kartel jakiś stron, dzielił się takimi informacjami…

Jak się przeciw temu bronić? Kilka wtyczek typu NoScript bardzo skutecznie zabija przejawy odpytywań o różne właśnie specyficzne informacje, dzięki czemu stajemy się troche zaciemnieni.

Ja osobiście dowiedziałem się o tym ze strony https://panopticlick.eff.org/ gdzie można kliknąć w „test me” i zobaczyć jaki procent ludzi ma taki sam odcisk palca. U mnie okazało się że byłem całkiem unikatowy.

Ciekawe czy to ktoś wykorzystuje przeciwko mnie….

comments: 2 » tags: , ,