В этой небольшой статье я расскажу, как индустрия годами неверно толковала исследования в области приватности и как это сдерживало развитие технологий в данной сфере. Наконец, как недавнее исследование исправило ситуацию, и какую пользу можно извлечь из этого.

Речь о фингерпринтинге через браузер. Из-за различий в ОС, версиях браузеров, шрифтах, плагинах и, по крайней мере, десятке других факторов, веб-браузеры разных пользователей, как правило, выглядят по-разному. Это могут использовать сайты и сторонние трекеры для создания уникальных «отпечатков», идентификаторов браузера. Эти отпечатки гораздо эффективнее, чем куки, для отслеживания пользователей: они не оставляют следов и их нельзя стереть.

Вопрос в следующем: насколько эффективен фингерпринтинг? То есть насколько уникален отпечаток устройства типичного пользователя? Ответ имеет большое значение для приватности в интернете. Но изучать этот вопрос с научной точки зрения трудно: хотя у многих компаний есть огромные базы отпечатков, они не делятся ими с исследователями.

Первый масштабный эксперимент по снятию отпечатков под названием Panopticlick запустил Фонд электронных рубежей в 2009 году. Сотни тысяч добровольцев посетили сайт panopticlick.eff.org и согласились на снятие отпечатка своего браузера для исследования. Эксперимент показал удивительный результат: у 83% пользователей во всей выборке обнаружились уникальные отпечатки. У пользователей с включенными Flash или Java отпечатки ещё более уникальные: 94%. Эксперимент исследователей из INRIA во Франции с ещё большей выборкой показал в целом аналогичный результат. Между тем, разные исследователи, в том числе и мы, говорили о том, что в браузерах увеличивается количество функций, которые можно использовать для фингерпринтинга: Canvas, Battery, Audio и WebRTC.

Вывод был ясен: фингерпринтинг крайне эффективен. Браузер не может справиться с этой угрозой, выдавая скриптам меньше информации: слишком много утечек информации, слишком много векторов атаки. Последствия серьёзные. Разработчики браузеров пришли к выводу, что не могут справиться со сторонней слежкой, и поэтому защиту приватности отдела на откуп расширениям. [1] Но эти расширения тоже не стремились ограничить фингерпринтинг. Большинство из них работали по сложной схеме: они блокировали тысячи скрипты-трекеры по вручную составленным спискам, постоянно играя в догонялки, когда появлялись новые игроки.

Но вот случился поворот: команде INRIA (включая некоторых авторов предыдущих исследований) удалось договориться с крупным французским веб-сайтом и протестировать его посетителей на отпечатки. Результаты опубликованы несколько месяцев назад, и на этот раз результаты совершенно иные: только у трети пользователей оказались уникальные отпечатки (по сравнению с 83% и 94% ранее), несмотря на использование исследователями полного набора из 17 признаков. Для мобильных пользователей число ещё ниже: менее 20%. Эти различия объясняются двумя причинами: увеличением выборки в новом исследовании и тем, что самоотбор участников, как представляется, привнёс в предыдущие исследования определённую предвзятость. Есть и другие факторы: интернет постепенно избавляется от плагинов, таких как Flash и Java, так что возможность фингерпринтинга должна и дальше снижаться. Внимательное изучение результатов показывает, что самое простое вмешательство браузеров для ограничения атрибутов с максимальной энтропией значительно улучшит способность пользователей скрываться в толпе.

Apple недавно объявила, что Safari будет пытаться ограничить фингерпринтинг. Вполне вероятно, что последний эксперимент повлиял на это решение. Примечательно, что мало кто из экспертов по приватности считает защиту от фингерпринтинга бесполезной, и даже консорциум W3C давно опубликовал рекомендации для разработчиков новых стандартов о том, как свести к минимуму фингерпринтинг. Ещё не слишком поздно. Но если бы мы в 2009 году знали то, что мы знаем сегодня, то это давно подтолкнуло бы браузеры к разработке и развертыванию такой защиты.

В чём главная причина неправильного толкования результатов? Один простой урок в том, что статистика — сложная наука, а нерепрезентативные выборки могут полностью исказить выводы исследований. Но есть другой вывод, который сложнее принять: недавнее исследование лучше проверяет обычных пользователей, потому что исследователи не спрашивают и не уведомляют их. [2] В интернет-экспериментах существует противоречие между традиционным информированным согласием и достоверностью результатов. Для решения этой проблемы нужны новые этические нормы.

Ещё один урок заключается в том, что защита приватности не должна быть идеальной. Многие исследователи и инженеры думают о конфиденциальности в терминах «всё или ничего»: одна ошибка всё разрушает, и если защита не идеальна, то не следует вообще её использовать. Это может иметь смысл для некоторых приложений, таких как браузер Tor, но для обычных пользователей основных браузеров модель угрозы — это смерть от тысячи маленьких порезов. Защита приватности хорошо справляется, нарушая экономику слежки.

Наконец, аргумент о бесполезности защиты — это пример пораженческих настроений в приватности. Столкнувшись с натиском плохих новостей в этой сфере, мы обычно приобретаем разновидность выученной беспомощности и приходим к упрощённому выводу, что приватность умирает и с этим ничего не поделать. Но эта позиция не подкрепляется доказательствами: на самом деле мы видим, что в этой сфере постоянно согласуется новая точка равновесия. Хотя нарушения приватности есть всегда, но время от времени они компенсируются правовыми, технологическими и социальными механизмами защиты.

Фингерпринтинг через браузеры сегодня остаётся на передовой битвы за приватность. GDPR осложнил жизнь компаниям, которые этим занимаются. Разработчикам браузеров тоже пришло время серьёзно взяться за борьбу с этой подлой практикой.

[1] Одно явное исключение — браузер Tor, но за это приходится платить серьёзной потерей производительностью и неработающими функциями на сайтах. Другое исключение — Brave, пользователи которого предположительно готовы смириться с некоторым неудобством в обмен на сохранение приватности. [вернуться]

[2] В эксперимент взяли пользователей, которые раньше подтвердили согласие на приём куков, но специально их не информировали об исследовании. [вернуться]

Комментарии (14)


  1. scifinder
    29.07.2018 01:38
    -3

    Вообще, странный призыв к борьбе с фингерпринтингом. А как быть, если модель работы сайта строится на том, чтобы отвечать на запросы одного и того же пользователя не более N раз за сутки? Мне кажется, снятие слепка системы — наоборот, необходимый механизм.


    1. selivanov_pavel
      29.07.2018 02:08
      +3

      В таком случае этого пользователя необходимо авторизовать, через пароль или openid/facebook/etc.


      Ну и вообще, оправдание в духе "позволяющие слежку механизмы нельзя выключать, потому что это нарушит чью-то бизнес-модель" мне кажется сомнительным. А у кого-то, может быть, бизнес-модель вообще на каннибализме построена.


    1. softaria
      29.07.2018 21:00

      А разве это ограничение не обходится, если просто заходить разными браузерами или, в конце концов, с разных устройств? Оно, в любом случае, кажется ненадежным.


    1. JC_IIB
      29.07.2018 21:07

      не более N раз за сутки?


      А потом предлагать купить «премиум-доступ», конечно?


  1. mspain
    29.07.2018 07:49

    У 80% пользователей с уникальными приметами уникальной приметой оказался IPшник? %) ну не понимаю смысл потуг когда 99% всё равно сидят с домашнего инета или vps/vpn купленного на именную карту


  1. nile1
    29.07.2018 11:13

    Когда 60% рынка браузеров занимает Google Chrome, сам Google занимает 90% рынка поиска, а Google Ads есть на каждой странице, борьба против "фингерпринтинга" выглядит довольно смешно.
    Плюс ко всему, 86% рынка мобильных устройств работает на Android. Не будет же Google сам себе ограничивать сбор данных?


    То же можно сказать и о магических пикселях и кнопках "Like" от Facebook.


    Чтобы по-настоящему анонимизироваться, помимо встроенных фич браузера нужно как минимум пользоваться расширениями вроде Ghostery и Decentraleyes, и все это в отдельном контейнере как у Firefox Quantum (https://blog.mozilla.org/firefox/facebook-container-extension/), а лучше сразу переехать в Tor.


    Без параноидального отношения к собственной анонимности все эти стандартные механизмы, встроенные в браузеры и телефоны, не более чем маркетинговые уловки. А значит, 95% пользователей будут и дальше легко отслеживаться при желании.


    1. SDVdk
      29.07.2018 12:13

      > Ghostery
      Эти сами замечены в сборе «статистики».


  1. fapsi
    29.07.2018 12:00

    А если использовать этот метод (который надо доработать под большое количество сайтов)?


    1. esc
      29.07.2018 12:12

      Способ хорош как альтернатива кукам в Сафари, где по-умолчанию нельзя ставить куки для тех доменов, которые пользователь не открывал в браузере непосредственно.
      Но для реального использоваться его надо дорабатывать так, как его ломают всякие кэширующие прокси (в том числе, ускорители интернета типа тех, кто встроены в Оперу) и надо уметь определять ситуации, когда одним кэшем пользуется несколько браузеров разных людей.


  1. NickFornit
    29.07.2018 22:47

    Те, кому нужно прятаться (обычно для совершения подлости) говорят, что методы идентификации это — подло, они используют запрещенные законом прокси и т.п. их корежит от куков (в которых кстати пролонгируется авторизация) и фингерпринта.


    1. fapsi
      30.07.2018 11:30

      Прокси законом не запрещены, не надо


    1. sav1812
      31.07.2018 05:21
      +1

      Те, кто не любит, когда все, кому не лень, заглядывают им через плечо и дышат в затылок, собирая информацию об их поведении в сети и подсовывая рекламу на основе этих данных — они не интересуются ярлыками вроде «для совершения подлости». Они просто заботятся о тайне своей личной жизни.

      А «те, кому для подлости» — они имеют и находят инструменты для своих дел в любом случае.
      Так что да, никакой подлости, ничего незаконного. Я просто охраняю свою жизнь от наглых и бесцеремонных любопытствующих разного рода. От подлецов, в том числе.


      1. NickFornit
        31.07.2018 07:44
        -1

        На самом деле фингерпринт нисколько не больший шпионаж, чем куки, просто на иных принципах фиксации и даже без возможности писать на чужом компе программам, как это делаются повсеместно, — вот это – точно внедрение на частную собственность. Тот, кто использует фингерпринт ничего не знает о детализации слепка и не может использовать эту информации, кроме как некое число — идентификатор пользователя. Поэтому ярлык подлеца – нечестный прием.


  1. ghost404
    31.07.2018 14:11

    Каждый раз когда заходит разговор о фингерпринте, все тут же вспоминают таргетированную рекламу, но почему-то забывают о том, что для этого используются банальные куки, а не фингерпринт.


    На всех сайтах установлен Google Analytics и/или Яндекс.Метрика. Куки ставятся на домены Гугла и Яндекса. И не важно, что вы посещаете разные сайты, Гугл с Яндексом могут точно идентифицировать вас по своим кукам.
    Фингерпринт хоть и даёт высокий процент точности идентификации пользователей, но не 100% в отличии от кук.


    Значительно чаще я встречаю кейсы в которых фингерпринтинг используют для борьбы с теми, кто злоупотребляет анонимностью. Цитата с сайта из комментария выше:


    я играю в браузерную онлайн стратегию… при создании второго аккаунта меня система распознаёт как уже зарегистрированного… повторную регистрацию удается повторить при очистке истории (куки) и смене айпи… но если пробовать регать новый ак по реферальной ссылке реферал получается не рабочий ( то-есть ак вроде есть и играет но польза от него хозяину реферальной ссылки ни какой) Эффективно только регистрация на новом не засвеченном компьютере… но где взять столько машин если надо много рефералов?.. МАК-адрес менял не помогает… может криво с руками что… ПОМОГИТЕ обмануть меркантильных хозяев онлайн стратегий и иметь возможность на халявный плюсик.