Можно ли быть инкогнито в сети?

Уже давно не новость, что вся ваша активность в сети фиксируется и сохраняется. Оправдание — это сбор данных в ваших же интересах. Но меня задел так называемый режим инкогнито в браузерах. Это же откровенная манипуляция. Слово «инкогнито» означает анонимность действующего лица. Но в Google Chrome значение «режима инкогнито» откровенно перекрутили — вы не анонимны, просто не сохраняется история и кукисы. Т.е. это умышленное введение пользователя в заблуждение с целью дать ему иллюзию безопасности.
Есть и немало других способов фиксировать и сохранять ваши действия для деанонимизации.

Можно ли быть инкогнито в сети?

Серебряный засвет

Если с предыдущими «флеш-кукисами» еще можно как-то бороться, то с Изолированным хранилищем Silverlight(англ. серебряный свет) – практически нет. Программисты называют технологии похожими, но вслучае с «силверлайтом» для обычного пользователя отсутствует возможность очистки сохраненных данных о нем, так как они напрямую не привязаны к браузеру. Тревожит то, что в IsolatedStorage могут хранить данные все окна браузера, все профили на компьютере. Но есть и положительный момент: технология сложна, а оттого мало используется для отслеживания пользователей.

Гипер-кукисы

С 2014 года активно внедряется стандарт HTML5 (HyperTextMarkupLanguage). И здесь становится реальностью мечта программистов (а заодно и рекламщиков): на хранение пользовательских данных выделяется не стандартные для cookie 4 Кб, а целых 5 Мб. Представляете, сколько структурированной информации о вас можно записать в 5 мегабайт? Очень, очень много. В технологии HTML5 существуют несколько способов хранения и использования пользовательской информации:LocalWebStorage, IndexedDB, а также File API. И хотя информация хранится в браузере, удалять ее еще надо уметь. Также отметим, что даже при наличии запрета на сохранение cookie, информация может записываться и считываться из LocalWebStorage через cross-origin фреймы.

Польза и вред кеша

Вы ведь слышали о кешировании? Это технология, позволяющая значительно ускорить загрузку сайтов благодаря записи в кеш (cache) часто используемых файлов, которые некоторое время не изменяются. В данном контексте мы говорим о кешировании на уровне браузера, в ходе которого пользователю на компьютер сохраняются файлы сайта: от изображений и стилей до файлов JavaScript. Предприимчивые разработчики научились использовать файлы кеша для идентификации пользователей. Какой-нибудь из сайтов при посещении сохранит вам в кеш скрипт, указав в его заголовках максимальное время хранения. Впоследствии любые другие сайты смогут использовать информацию из скрипта неограниченное время, так как версия файла обновляться не будет. Разумных способов обезопаситься с этой стороны – нет. Полностью отключать кеширование не вариант, так как скорость загрузки ощутимо просядет. А какой именно файл будет содержать ваш идентификатор, заранее неизвестно. Остается только время от времени полностью удалять кеш, в том числе с помощью программ автоматической очистки. Добавим, что процесс определения актуальности версий, хранящихся в браузере файлов, связан со считыванием одного из параметров: Last-Modified или ETag. Примечательно, что если ETag – сам по себе идентификатор версии и может использоваться для определения пользователя, то Last-Modified хоть и должен быть датой изменения, на практике далеко не всегда имеет формат даты, что дает возможности для злоупотреблений. Свой вид кеша (ApplicationCache) имеет и стандарт HTML5. В данном случае условия хранения информации (в том числе и о пользователе) определяются с помощью cache-manifest. Этот кеш хранится неограниченное время, но может быть удален при полной очистке кеша.

Сжатые строки

Мало кто из обычных юзеров слышал об алгоритме сжатия SDCH, который обеспечивает повышенный уровень сжатия файлов по сравнению с тем же Gzip.В упрощенном виде работа алгоритма выглядит так: сервер отправляет в браузер файл-словарь со всеми часто повторяемыми элементами страниц. При дальнейших загрузках страниц этого сайта сервер присылает браузеру только номера строк, откуда взять информацию, и браузер сам формирует внешний вид страниц. Достаточно продвинутая и полезная технология, что никак не мешает сохранять в словарях идентификаторы и использовать их в целях отслеживания пользователей не хуже файлов кеша.

Хитрые способы

К сожалению, выше перечислены не все угрозы для приватности пользователей в интернете. Повсеместное распространениеJavaScriptделает возможным использование в качестве уникальных идентификаторов значения window.name или объектаsessionStorage. При этом не поможет ни удаление истории, ни очистка кеша, потому что информация может сохраниться в незакрытом окне браузера. А еще файл JavaScript с идентификатором может не быть связан с самим сайтом, а загружаться в iframe или web-worker, и потому не будет удален при очистке кеша конкретного сайта.

Железный аргумент

Неочевидным методом идентификации пользователей является анализ и сопоставление характеристик его устройства. Причем такие характеристики могут как считываться при соединении, так и измеряться по запросу… Если вдуматься, то тяжело не согласиться, что каждое устройство уникально набором технических характеристик и установленного программного обеспечения. И это позволяет говорить о том, что идентифицировать можно даже того пользователя, кто использует разные браузеры и инкогнито-режимы.

Браузер сам оставляет следы

Смешно, но ненамного сложнее, чем по cookie, определить уникального пользователя по целому ряду данных, предоставляемых браузером:

  • User-Agent – версия браузера, версия операционной системы, установленные дополнения.
  • Системное время – его несоответствие эталонному времени является по-своему уникальным, а с помощью специального скрипта разницу можно измерять вплоть до микросекунд.
  • CPU (centralprocessingunit) + GPU (graphicsprocessingunit).
  • Разрешение экрана, размеры браузерного окна.
  • Установленные шрифты.
  • Установленные плагины, объекты, расширения и т. п.

За пределами устройства

Если на своем устройстве хоть как-то можно управлять настройками приватности, то за его пределами делать это проблематично. И здесь уже не важно, какой браузер или специальные программы вы используете. Самый четкий идентификатор – внешнийIP-адрес. К тому же в случае с IPv6 IP-адрес может частично содержать информацию о MAC-адресе устройства, которая не зависит от используемой сети. Сюда же относится и локальный IP-адрес, если пользователь использует прокси-сервер. В заголовке X-Forwarded-For содержатся данных прокси-серверах, и если обойти прокси-сервер, можно узнать реальный IP-адрес пользователя. Участие в идентификации могут принимать и номера портов исходящих соединений TCP/IP.

Вредные привычки

Не только «железо» и ПО влияют на зыбкость приватности. К этому причастен и сам пользователь со своими привычками. Согласитесь, что большинство людей каждый раз начинают серфинг с одного и того же сайта, просматривают в основном те же сайты и в том же порядке. Чем это не уникальный идентификатор? А еще есть региональные настройки (язык, кодировка, часовой пояс), настройки увеличения экрана, шрифтов, установки браузера не по умолчанию.
Это лишь часть из длинного списка способов. Но мораль проста — в обычном браузере и на обычном компьютере никакой анонимности не существует.

Автор: @Anon_polka

  поделитесь с друзьями:
Подписаться на почтовую рассылку

Оставить комментарий

Авторизоваться через: 

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Нажимая кнопку "Отправить", я принимаю пользовательское соглашение и подтверждаю, что ознакомлен и согласен с политикой конфиденциальности

Сообщите об ошибке, мы исправим:

Отправить