V mojom článku o klientoch a náhradách pre klasické sociálne siete sme si spomenuli niečo o tom, ako šifrovanie nie je ani zďaleka jediným garantom sebaobrany pred Veľkým Bratom.
Tentokrát sa budeme taktiež venovať bezpečiu a ochrane nášho súkromia, avšak z trochu inej perspektívy. Vysvetlíme si, ako sa dá pred Veľkým Bratom chrániť pomocou browser extensions, no konkrétne tým sa povenujeme až v druhej časti tohto seriálu.
Aby sme však téme porozumeli a pochopili tomu, prečo má ochrana vôbec zmysel, mali by sme najskôr vedieť, kam Veľký Brat siaha a ako je možné, že má k našim dátam prístup. A taktiež, ktoré dáta Veľký Brat obľubuje najviac.
V prvej časti sa teda povenujeme práve fingerprintingu a cookies.
Browser Fingerprinting
Ak chceme pochopiť trackovaniu a Veľkému Bratovi, musíme najprv pochopiť to, ako funguje tzv. „browser fingerprinting“. Tento pojem neznačí nič iné, ako trackovanie online aktivity a identifikovanie jednotlivých prehliadačov a zariadení.
Browser fingerprinting je skátka presnou metódou identifikácie jedinečných prehliadačov a sledovania online aktivít. Našťastie existuje veľa jednoduchých spôsobov, vďaka ktorým sa dá browser fingerprintovaniu ako-tak vyhnúť, ale poďme sa najprv pozrieť na to, čo vlastne ten browser fingerprinting je.
Wikipédia definuje browser fingerprinting takto:
Fingerprint zariadenia, fingerprint stroja alebo fingerprint browsera sú informácie zhromaždené o vzdialenom počítačovom zariadení na účely identifikácie. Fingerprinty možno použiť na úplnú alebo čiastočnú identifikáciu jednotlivých používateľov alebo zariadení, aj keď sú súbory cookie vypnuté.
To znamená, že keď sa pripojíte k internetu na svojom notebooku alebo smartfóne, vaše zariadenie odovzdá prijímajúcemu serveru množstvo špecifických údajov o navštívených webových stránkach.
Browser fingerprinting je účinná metóda, ktorú webové stránky používajú na zhromažďovanie informácií o type a verzii vášho prehliadača, ako aj o vašom operačnom systéme, aktívnych pluginoch, časovom pásme, jazyku, rozlíšení obrazovky a rôznych ďalších aktívnych nastaveniach.
Tieto údaje sa môžu na prvý pohľad zdať celkom všeobecné a nemusia budiť dojem toho, že sú prispôsobené na identifikáciu jednej konkrétnej osoby. Existuje však výrazne malá šanca, že iný používateľ bude mať 100 % zhodné informácie o browseri. Spoločnosť Panopticlick napríklad zistila, že iba 1 z 286 777 browserov bude mať rovnaký fingerprint ako iný používateľ.
A kde presne tu môžeme nájsť paralelu s Veľkým Bratom?
Nuž, jedinečnosť informácií o prehliadači tak trochu súvisí s investigatívnou metódou polície a forenzných tímov, ktoré identifikujú podozrivých a zločincov na základe odtlačkov prstov na mieste činu.
The Integrated Automated Fingerprint Identification System (IAFIS) je obrovská databáza, v ktorej sú uložené odtlačky prstov 70 miliónov subjektov z trestných spisov, ako aj 31 miliónov odtlačkov z občianskoprávnych záležitostí. To znamená, že veľká časť týchto odtlačkov prstov bola zhromaždená na účely analýzy.
A takto nejak funguje aj browser fingerprinting. Webové stránky hromadne zhromažďujú veľké množstvo údajov o návštevníkoch, aby ich neskôr mohli použiť na porovnanie s browser fingerprintami zatiaľ známych používateľov.
Medzinárodný reklamný priemysel a marketingové mašiny milujú naše údaje. Metódy sledovania a zhromažďovania údajov sú mimoriadne cenné, pretože umožňujú reklamným spoločnostiam vytvoriť si na základe vašich údajov profil. Čím viac údajov tieto podniky majú, tým presnejšie na vás môžu cieliť reklamu, čo (nepriamo) znamená vyššie príjmy pre spoločnosť.
Metódy pre fingerprinting/tracking
V nasledujúcich častiach vám poskytnem informácie o tom, ako webové stránky komunikujú s vaším prehliadačom a ako získavajú informácie. Do veľkej miery za to môžu práve naše milé súbory cookies, no cookies aj tak nie sú všetko. K detailom sa však dostaneme neskôr.
Cookies
Bežným spôsobom, akým webové stránky získavajú vaše údaje, je práve používanie súborov cookie.
Veľa ľudí tak nejak „tuší“, že cookies sú niečím veľmi zlým a pýtajú sa ma ako by sa vôbec dalo cookies súborom vyhnúť.
Čo však cookies vlastne sú a sú naozaj až také zlé?
Začnime najskôr s históriou a všeobecnou charakteristikou. HTTP cookie je označenie pre malé množstvo údajov, ktoré webová stránka ukladá do počítača používateľa prostredníctvom jeho webového prehliadača. Je to štandardná funkcia obsiahnutá v protokole HTTP (HyperText Transfer Protocol), ktorý je v prevádzke už od júna 1994.
Jeho autorom je Lou Montulli, zamestnanec spoločnosti Netscape (kedysi dominantného webového prehliadača). Spoločnosť Montulli vytvorila začiatkom 90. rokov 20. storočia súbory cookie, aby mohla pracovať na vývoji aplikácie pre e-commerce. Montulli vtedy zistil, že by bolo veľmi užitočné, ak by mal možnosť zapamätať si určitého konkrétneho užívateľa bez toho, aby sa musel kamkoľvek prihlasovať a zbytočne vypĺňať údaje. No a tak sa zrodili súbory cookies, ktoré dnes používajú takmer všetky e-shopy.
A ako cookies fungujú?
Cookie môže vytvoriť buď server (a poslať ju do prehliadača spoločne s vygenerovanou stránkou vo forme HTTP hlavičky), alebo samotný browser pri interpretácii stránky pomocou jazyka JavaScript.
V praxi to vyzerá tak, že web server presunie snippet JavaScript kódu do vášho browsera (browser následne cookie uloží niekam na disk počítača návštevníka webu, obvykle do foldera dočasných súborov). Váš browser daný kód lokálne executne a kód si veselo zbiera údaje. Zbiera napríklad váš screen resolution, hardware, IP adresu, časové pásmo, druh browsera a pod. JavaScript následne vytvorí hash vašich dát (browser fingerprint) a pošle ho späť na server – cookies sa potom prenášajú pri každej výmene informácií medzi serverom a prehliadačom. Medzi najviac obchodovanými fingerprint údajmi kolujú hlavne bankové údaje, poisťovacie údaje, personalizované reklamy a pod.
JavaScript navyše vie interagovať s návštevníkmi s cieľom vykonať určité úlohy, napríklad prehrať video. Tieto interakcie tiež vyvolávajú odozvu, a preto o vás opäť získavajú nejaké informácie.
Druhy cookies podľa životnosti
Podľa toho, ako dlho môžu cookies existovať, rozlišujeme ich dva základné typy – session cookies a persistent cookies.
Session Cookies
Session cookies sú také cookies, ktoré sa vymažú akonáhle skončí vaša session. To znamená, že cookies zmiznú akonáhle zavriete okno vášho prehliadača a nikam sa neuložia – váš prehliadač takéto cookies rozpozná napríklad vďaka tomu, že nemajú nastavený dátum expirácie. Tomuto druhu cookies napríklad vďačíme za to, že naše produkty na eshope zostanú pekne v košíku aj vtedy, ak sme zavreli stránku daného eshopu (ale nezavreli sme prehliadač).
Persistent Cookies
Persistent cookies majú naopak nastavený dátum vypršania platnosti, napríklad dva roky po návšteve webovej stránky. Pri každej ďalšej návšteve webu však môže byť tento dátum posunutý.
Presne takto funguje napríklad súbor cookie s názvom _ga, ktorými služba Google Analytics „meria“ svojich konkrétnych návštevníkov. Preto sa persistent cookies niekedy nazývajú aj „trackovacie cookies“.
Druhy cookies podľa zakladateľa
Podľa toho, kto cookies založil, ich môžeme rozdeliť na 1st Party a 3rd Party Cookies. Technicky sú oba druhy cookies viac-menej rovnaké, zbierajú rovnaké typy informácií a vykonávajú rovnaké funkcie, avšak líšia sa v tom, ako sú používané.
1st Party Cookies
1st Party Cookies slúžia najmä na zefektívnenie user experience na webovej stránke.
Prenášajú sa pomocou skriptu, ktorý beží na host domain doméne (webovej stránke, ktorú ste navštívili a ktorú vidíte v adresnom riadku prehliadača). Tieto súbory cookie sa považujú za celkom nekontroverzné a bezpečné, lepšie prechádzajú cez rôzne firewally a prísnejšie bezpečnostné pravidlá niektorých prehliadačov (napr. Safari).
Webové stránky vytvárajú 1st Party Cookies takmer vždy keď ich navštívite, no v niektorých prípadoch ich môžu priamo vytvárať aj nejaké počítačové skripty. Každopádne; 1st Party Cookies sú jedinečné pre každú webovú stránku.
Aj keď 1st Party Cookies vykonávajú rôzne úlohy, pre zjednodušenie si ich môžeme rozčleniť do troch základných kategórií, ktoré sú každému veľmi dobre známe:
- Greeter – táto 1st Party Cookie vás rozpozná, keď navštívite webovú stránku, a umožní vám prihlásiť sa pomocou vášho prihlasovacieho ID a hesla.
- Nákupný košík – pamätá si všetky položky, ktoré ste vložili do košíka alebo na wish list.
- Personal Shopper – vidí, čo sa vám páči, a odporúča vám ďalšie položky na nákup na základe vašich preferencií.
3rd Party Cookies
3rd Party Cookies už vytvárajú iné strany ako vlastník webovej stránky. Väčšinou ide o sledovacie súbory cookie vytvorené reklamnými spoločnosťami. Ich sledovanie vám umožňuje zobrazovať reklamy na produkty podobné tým, ktoré kupujete.
3rd Party Cookies používajú spoločnosti, ktoré vám chcú inzerovať a predávať tovar.
Tu je zoznam niektorých typov spoločností, ktoré vo vašom prehliadači zanechávajú súbory cookie, aby vás mohli sledovať:
- Ad-retargeting Services – vytvárajú malé súbory cookie, ktoré vás zachytia, keď navštívite webovú stránku s rovnakým cookie kódom. Potom vás sledujú po celom internete, vidia, kam sa ešte pozeráte, a generujú reklamy svojich klientov vo vašom prehliadači.
- Plug-iny sociálnych médií – spájajú vás, spájajú stránku, ktorú navštevujete, a spájajú účet tejto stránky na sociálnych sieťach. Nielenže nastavia prepojenie na Pinterest alebo YouTube, ale začnú vás aj sledovať a môžu monitorovať vaše používanie danej sociálnej siete.
- Chat Box Pop-upy – ponúknu vám pomoc, ak budete chatovať s botom. Takéto cookies obvykle patria medzi session cookies a mali by teda zmiznúť vždy, keď zatvoríte prehliadač.
3rd Party Cookies nie sú nutne problémové, ale môžu spôsobiť problémy, ak sa používajú spôsobom, ktorý zhromažďuje a používa údaje bez priameho povolenia.
Z hľadiska „užitočnosti“ rozdeľujem štyri základné typy 3rd Party Cookies:
- Helpful Cookie – táto 3rd Party Cookie je súbor, s ktorým by ste pravdepodobne súhlasili, keby ste mali možnosť voľby. Ide o cookie, ktorá vás napríklad môže zviazať s programom spusteným na webovej stránke, ktorý vám napríklad umožňuje morfovať vašu tvár do zvieracích tvárí. Môže to byť chatbot alebo iný program predaný tvorcovi stránky.
- Sales Cookie – je to neobmedzený tracker ktorý sa používa na vytvorenie cielenej reklamy (a teda na to, aby sa vám zobrazovali reklamy na položky, ktoré vyhľadávate).
- Shady Cookie – cieľom tejto cookie je sledovať vás na internete a zbierať o vás kúsky informácií. Tieto informácie potom cookie skombinuje s inými cookies, ktoré obsahujú identifikačné údaje. Cieľom je tu predaj vašich údajov iným spoločnostiam, pravdepodobne za účelom predaja tovaru, o ktorom ani nemusíte vedieť.
- Zloduch – táto 3rd party cookie je veľmi nekalá. Plánuje urobiť niečo, čo by sa vám nepáčilo. Niekoľko z nich bude zlodejmi identít. Niektoré z nich plnia feedy na vašich sociálnych sieťach bullshitom. Treba mať napamäti, že jeden jediný pixel v reklame môže obsahovať 3rd Party Cookie a odovzdať ju vášmu prehliadaču!
A čo 2nd Party Cookies?
Ak existuje prvá aj tretia strana, mala by existovať aj druhá, nie? Áno, existujú aj 2nd Party Cookies, ale ich účel je oveľa viac obmedzený. Takéto cookies zdieľajú údaje medzi tromi subjektmi – spotrebiteľom, webovou stránkou ktorú spotrebiteľ navštívil a medzi partnerom/partnermi webovej stránky.
2nd Party Cookies sa používajú predovšetkým v dohodách o zdieľaní údajov, aj keď ich používanie nie je veľmi populárne. Mnohé z nich reprezentujú partnerstvá na zhromažďovanie údajov.
Sú užitočné len pre internetových obchodníkov, ktorí sú zároveň sprostredkovateľmi údajov.
First-party cookies | Third-party cookies | |
Kto vyrobil cookies? | Pochádzajú od vydavateľa webovej stránky. Môže to byť kód JavaScriptu alebo súčasť servera webovej stránky. | Reklamné servery a iné servery ich načítajú do vášho prehliadača. Nepochádzajú z hlavnej webovej stránky, ktorú ste navštívili. |
Kde sú cookies použité? | Funguje len na webovej lokalite, ktorá kód vytvorila. | Prístupné na všetkých webových stránkach, ktoré načítavajú kód 3rd Party servera. |
Kto si vie cookie prečítať? | Čítať ich môže len pôvodná webová stránka. | Môže ich čítať každý, kto má správny program. |
Kedy vie byť cookie prečítaná? | Čítať ich možno len vtedy, keď je pôvodný používateľ aktívny na pôvodnej webovej stránke. | Používatelia si ich môžu kedykoľvek prečítať. |
Čo s nimi robí môj prehliadač? | Podporované všetkými prehliadačmi. Prehliadače poskytujú používateľom nástroje na odmietnutie súborov cookie. | Sú podporované všetkými prehliadačmi, avšak prehliadače ich však čoraz častejšie blokujú alebo poskytujú spôsoby, ako ich obísť. |
Cookies v budúcnosti a Cookie zákony
1st Party Cookies tu budú ešte nejaký čas, pretože z nich profitujú webové stránky aj ľudia, ktorí ich používajú. Jedného dňa však možno niekto vyvinie lepší postup – elegantnejší spôsob, ako naplniť ich funkciu.
Zákony tu veľmi riešiť nebudeme, keďže situácia v legislatíve sa neustále mení. Spomenieme si však pár kľúčových bodov – smernica o súkromí a elektronických komunikáciách (ePrivacy Directive – ePD), teda smernica EÚ o ochrane údajov a súkromia v digitálnom veku, bola vydaná už v roku 2002. Regulačné orgány EÚ potom sprísnili reguláciu a v roku 2016 prišli so všeobecným nariadením o ochrane údajov, ktoré je známe ako GDPR.
V roku 2021 bola vytvorená povinnosť opt-out/opt-in, t. j. povinnosť získať slobodný, informovaný a jednoznačný súhlas s ukladaním a spracovaním všetkých súborov cookie, ktoré sú potrebné na prevádzku stránky.
Spoločnosť Google napríklad oznámila, že v rokoch 2022 – 2023 postupne ukončí používanie 3rd Party Cookies. Namiesto toho skúma spôsoby, ako používať reklamy otvorenejšie a „čestnejšie“.
3rd Party Cookies teda pomaly miznú. Z časti je to prácou európskych regulátorov (ku ktorým sa pridala napríklad aj kalifornská vláda), ale čo je hlavné, väčšina moderných prehliadačov ich už blokuje.
Moderné prehliadače navyše podporujú aj iné spôsoby ukladania údajov ako sú cookies:
- localStorage – ide o úložisko prehliadača, ku ktorému sa pristupuje pomocou JavaScriptu. Údaje sú tu uložené „navždy“, nemajú obmedzenú dobu trvanlivosti (ako je to v prípade súborov cookie).
- sessionStorage – je rovnaké ako localStorage, ale jeho obsah sa po zatvorení prehliadača vymaže. Funguje to teda rovnako ako session cookies.
Zjednodušene povedané, výhody alternatívneho ukladania údajov môžu byť nasledovné:
- väčšie úložisko dát,
- nespomaľujú komunikáciu so serverom,
- ľahšie sa s nimi pracuje.
Nevýhodou týchto alternatívnych technológií môže byť to, že údaje sa nedostanú na server automaticky. Môžu sa však používať pri webovej analýze alebo na autentifikáciu používateľov. Ak však potrebujete ukladať dáta pre offline používanie webu alebo sa zaoberáte personalizáciou, localStorage alebo sessionStorage sú vynikajúcimi náhradami cookies.
Canvas fingerprinting
Canvas fingerprinting je v čase písania tohto článku (2022) celkom novinkou na poli získavania informácií o prehliadači a je celkom zaujimavým a elegantným spôsobom sledovania.
Ako canvas printing funguje? Jednoducho povedané, webové stránky sú napísané v HTML5 kóde a v tomto kóde je malý kúsok iného kódu, ktorý odoberá váš browser fingerprint.
HTML5 je kódovací jazyk používaný na vytváranie webových stránok. Je to jadro základov každej webovej stránky. V rámci kódovacieho jazyka HTML5 existuje prvok, ktorý sa nazýva „canvas“.
Pôvodne sa HTML prvok <canvas> používal na kreslenie grafiky na webovej stránke.
Wikipédia poskytuje nasledujúce vysvetlenie, ako využívanie prvku HTML5 canvas generuje browser fingerprinty:
Keď používateľ navštívi stránku, skript na vytváranie browser fingerprintov najprv nakreslí text s písmom a veľkosťou podľa vlastného výberu a pridá farby pozadia. Potom skript zavolá metódu ToDataURL rozhrania Canvas API, aby získal pixelové údaje Canvasu vo formáte dataURL, čo je v podstate Base64 kódovaná reprezentácia binárnych pixelových údajov. Nakoniec skript prevezme hash textovo zakódovaných pixelových údajov, ktorý slúži ako fingerprint.
To jednoducho znamená, že HTML5 prvok <canvas> generuje na webovej stránke určité údaje, napríklad nastavenia veľkosti písma a aktívnej farby pozadia prehliadača návštevníka. A tieto informácie slúžia ako jedinečný fingerprint každého návštevníka.
Na rozdiel od toho, ako fungujú súbory cookie, canvas fingerprint nič nenahráva do vášho počítača, takže nebudete môcť odstrániť žiadne údaje, pretože nie sú uložené vo vašom počítači alebo zariadení, ale inde.
Otestujte si váš prehliadač
Existujú rôzne nástroje, vďaka ktorým si môžete otestovať identitu vášho prehliadača. Môžete použiť napr. Am I Unique, Panopticlick alebo Unique Machine.
Každý z týchto nástrojov skontroluje fingerprint vášho prehliadača a vyhodnotí, nakoľko sú vaše dáta jedinečné.
Nástroj Am I Unique používa komplexný zoznam 19 atribútov (data pointov). Medzi najdôležitejšie atribúty patrí, či sú povolené súbory cookie, akú platformu používate, aký typ prehliadača (ako aj jeho verziu) a počítač používate a či máte zablokované trackovacie cookies.
Na webovej stránke Am I Unique stačí kliknúť na položku „View my browser fingerprint“ a spustíte test.
Záver
Už vieme, ako funguje tracking a čo sa na jeho pozadí odohráva. Tento článok nemal nad ničím moralizovať a ani posudzovať to, či je tracking „dobrý“ alebo „zlý“. Mal iba vysvetliť, čo a ako funguje.
Aj keď som v článku ako „Veľkého Brata“ označoval iba zbieranie údajov firmami, treba mať napamäti, že k dátam nemusia mať prístup iba firmičky ktoré nám posielajú reklamy (na tento štandard sme obvykle zvyknutí iba my rozmaznaní Európankovia). Dáta sú dáta a pracovať s nimi môže ktokoľvek, kto sa k nim dostane. Či už je to jeden zákerák v kapucni s laptopom, alebo supermasívna vláda ktorá špehuje občanov (niečo viac by nám o tom vedeli povedať Číňania). Naše dáta sú v prvom rade naše a väčšia či menšia ochrana preto nezaškodí.
Na to, aby sme vedeli, že proti browser fingerprintingu sa kompletne chrániť nedá, vlastne ani nepotrebujeme žiadnu fingerprint analýzu. Pred nejakými časťami fingerprintingu sa dá chrániť napríklad službou VPN alebo sieťou Tor (ktoré vedia skryť našu IP adresu), výberom špecifického browsera (s vlastnou cookie a tracking politikou) alebo aj obyčajným anonymným oknom. Fajn nápad je aj mazanie histórie a mazanie cookies (vo Firefoxe sú napr. všetky cookies automaticky vymazané akonáhle ukončíte session) a oplatí sa aj zvýšiť pozornosť pri surfovaní na Big Brother sociálnych sieťach.
V nasledujúcej časti Hrádze pred Veľkým Bratom si však vysvetlíme, ako sa pred trackingom rôzneho druhu chrániť o niečo komplexnejšie a pritom rýchlo a jednoducho pomocou browser extensions.
Mimo iné, staršia verzia Panopticlicku pre zvýšenie súkromia na internete odporúčala aj stiahnutie extension s názvom Privacy Badger, ktorej sa (taktiež) povenujeme v II. časti.