- PVSM.RU - https://www.pvsm.ru -
В этой небольшой статье я расскажу, как индустрия годами неверно толковала исследования в области приватности и как это сдерживало развитие технологий в данной сфере. Наконец, как недавнее исследование исправило ситуацию, и какую пользу можно извлечь из этого.
Речь о фингерпринтинге через браузер. Из-за различий в ОС, версиях браузеров, шрифтах, плагинах и, по крайней мере, десятке других факторов, веб-браузеры разных пользователей, как правило, выглядят по-разному. Это могут использовать сайты и сторонние трекеры для создания уникальных «отпечатков», идентификаторов браузера. Эти отпечатки гораздо эффективнее, чем куки, для отслеживания пользователей: они не оставляют следов и их нельзя стереть.
Вопрос в следующем: насколько эффективен фингерпринтинг? То есть насколько уникален отпечаток устройства типичного пользователя? Ответ имеет большое значение для приватности в интернете. Но изучать этот вопрос с научной точки зрения трудно: хотя у многих компаний есть огромные базы отпечатков, они не делятся ими с исследователями.
Первый масштабный эксперимент по снятию отпечатков под названием Panopticlick запустил Фонд электронных рубежей в 2009 году. Сотни тысяч добровольцев посетили сайт panopticlick.eff.org [1] и согласились на снятие отпечатка своего браузера для исследования. Эксперимент показал удивительный результат [2]: у 83% пользователей во всей выборке обнаружились уникальные отпечатки. У пользователей с включенными Flash или Java отпечатки ещё более уникальные: 94%. Эксперимент [3] исследователей из INRIA во Франции с ещё большей выборкой показал в целом аналогичный результат. Между тем, разные исследователи, в том числе и мы, говорили о том, что в браузерах увеличивается количество функций, которые можно использовать для фингерпринтинга: Canvas [4], Battery, Audio и WebRTC [5].
Вывод был ясен: фингерпринтинг крайне эффективен. Браузер не может справиться с этой угрозой, выдавая скриптам меньше информации: слишком много утечек информации, слишком много векторов атаки. Последствия серьёзные. Разработчики браузеров пришли к выводу, что не могут справиться со сторонней слежкой, и поэтому защиту приватности отдела на откуп расширениям. [1] [6] Но эти расширения тоже не стремились ограничить фингерпринтинг. Большинство из них работали по сложной схеме: они блокировали тысячи скрипты-трекеры по вручную составленным спискам, постоянно играя в догонялки, когда появлялись новые игроки.
Но вот случился поворот: команде INRIA (включая некоторых авторов предыдущих исследований) удалось договориться с крупным французским веб-сайтом и протестировать его посетителей на отпечатки. Результаты опубликованы [7] несколько месяцев назад, и на этот раз результаты совершенно иные: только у трети пользователей оказались уникальные отпечатки (по сравнению с 83% и 94% ранее), несмотря на использование исследователями полного набора из 17 признаков. Для мобильных пользователей число ещё ниже: менее 20%. Эти различия объясняются двумя причинами: увеличением выборки в новом исследовании и тем, что самоотбор участников, как представляется, привнёс в предыдущие исследования определённую предвзятость. Есть и другие факторы: интернет постепенно избавляется от плагинов, таких как Flash и Java, так что возможность фингерпринтинга должна и дальше снижаться. Внимательное изучение результатов показывает, что самое простое вмешательство браузеров для ограничения атрибутов с максимальной энтропией значительно улучшит способность пользователей скрываться в толпе.
Apple недавно объявила [8], что Safari будет пытаться ограничить фингерпринтинг. Вполне вероятно, что последний эксперимент повлиял на это решение. Примечательно, что мало кто из экспертов по приватности считает защиту от фингерпринтинга бесполезной, и даже консорциум W3C давно опубликовал рекомендации [9] для разработчиков новых стандартов о том, как свести к минимуму фингерпринтинг. Ещё не слишком поздно. Но если бы мы в 2009 году знали то, что мы знаем сегодня, то это давно подтолкнуло бы браузеры к разработке и развертыванию такой защиты.
В чём главная причина неправильного толкования результатов? Один простой урок в том, что статистика — сложная наука, а нерепрезентативные выборки могут полностью исказить выводы исследований. Но есть другой вывод, который сложнее принять: недавнее исследование лучше проверяет обычных пользователей, потому что исследователи не спрашивают и не уведомляют их. [2] [10] В интернет-экспериментах существует противоречие между традиционным информированным согласием и достоверностью результатов. Для решения этой проблемы нужны новые этические нормы.
Ещё один урок заключается в том, что защита приватности не должна быть идеальной. Многие исследователи и инженеры думают о конфиденциальности в терминах «всё или ничего»: одна ошибка всё разрушает, и если защита не идеальна, то не следует вообще её использовать. Это может иметь смысл для некоторых приложений, таких как браузер Tor, но для обычных пользователей основных браузеров модель угрозы — это смерть от тысячи маленьких порезов. Защита приватности хорошо справляется, нарушая экономику слежки [11].
Наконец, аргумент о бесполезности защиты — это пример пораженческих настроений в приватности. Столкнувшись с натиском плохих новостей в этой сфере, мы обычно приобретаем разновидность выученной беспомощности [12] и приходим к упрощённому выводу, что приватность умирает и с этим ничего не поделать. Но эта позиция не подкрепляется доказательствами: на самом деле мы видим, что в этой сфере постоянно согласуется новая точка равновесия. Хотя нарушения приватности есть всегда, но время от времени они компенсируются правовыми, технологическими и социальными механизмами защиты.
Фингерпринтинг через браузеры сегодня остаётся на передовой битвы за приватность. GDPR осложнил [13] жизнь компаниям, которые этим занимаются. Разработчикам браузеров тоже пришло время серьёзно взяться за борьбу с этой подлой практикой.
[1] [вернуться] [14]
[2] [вернуться] [15]
Автор: m1rko
Источник [16]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/287502
Ссылки в тексте:
[1] panopticlick.eff.org: https://panopticlick.eff.org/
[2] результат: https://panopticlick.eff.org/static/browser-uniqueness.pdf
[3] Эксперимент: https://amiunique.org/
[4] Canvas: https://securehomes.esat.kuleuven.be/~gacar/persistent/index.html
[5] Battery, Audio и WebRTC: https://webtransparency.cs.princeton.edu/webcensus/index.html#fp-results
[6] [1]: #1
[7] опубликованы: https://www.doc.ic.ac.uk/~maffeis/331/EffectivenessOfFingerprinting.pdf
[8] объявила: https://gizmodo.com/apple-declares-war-on-browser-fingerprinting-the-sneak-1826549108
[9] рекомендации: https://www.w3.org/TR/fingerprinting-guidance/
[10] [2]: #2
[11] экономику слежки: https://freedom-to-tinker.com/2018/04/12/when-the-business-model-is-the-privacy-violation/
[12] выученной беспомощности: https://ru.wikipedia.org/wiki/%D0%92%D1%8B%D1%83%D1%87%D0%B5%D0%BD%D0%BD%D0%B0%D1%8F_%D0%B1%D0%B5%D1%81%D0%BF%D0%BE%D0%BC%D0%BE%D1%89%D0%BD%D0%BE%D1%81%D1%82%D1%8C
[13] осложнил: https://www.eff.org/deeplinks/2018/06/gdpr-and-browser-fingerprinting-how-it-changes-game-sneakiest-web-trackers
[14] [вернуться]: #1_1
[15] [вернуться]: #2_2
[16] Источник: https://habr.com/post/418527/?utm_source=habrahabr&utm_medium=rss&utm_campaign=418527
Нажмите здесь для печати.