Menu

Je váš prohlížeč špionem?

Je váš prohlížeč špionem?

Víte, jak vás Facebook a nové webové technologie dokáží na internetu vystopovat? A víte, jak ani v roce 2011 neztratit své soukromí? My vám to prozradíme.
DOMINIK HOFERER, PETR KRATOCHVÍL

Prohlížeč je na síti vaším neustálým "společníkem": ví, které stránky prohlížíte, kde nakupujete a v jaké komunitě trávíte desítky hodin. V mnoha případech není nadnesené ani tvrzení, že "váš prohlížeč vás zná lépe než váš nejlepší přítel". Jenomže Firefox a spol. zdaleka nemlčí jako hrob. S trochou znalostí a trpělivosti může kdokoliv vyšťourat soukromé, a dokonce i pikantní informace z vašeho života. Ukážeme vám, kde o sobě zveřejníte více, než chcete, a jak se můžete před podobným slíděním chránit.

Informátoři: Facebook a Xing

To, že komunitní služby o svých uživatelích často prozrazují hodně informací, už dávno není nic nového. Jen málokdo ale tuší, že uživatel za sebou zanechává stopy nejen přímo na Facebooku (a v podobných komunitách), ale doslova po celém internetu. Například u Facebooku je hlavní příčinou tlačítko "Like", které lze mimo sociální síť nalézt i na obrovském množství dalších webových stránek. Facebook vám navíc nabízí možnost integrovat toto tlačítko do jakékoli webové stránky. Uživatelé na něj mohou kliknout a tak informovat své přátele na Facebooku, že se jim konkrétní stránka líbí. To vše se "děje" dobrovolně. Co ale mnozí nevědí, je skutečnost, že pokud je uživatel v jednom panelu prohlížeče přihlášen jako uživatel Facebooku a na dalším panelu surfuje na stránkách se zmiňovaným tlačítkem, může Facebook sledovat jeho chování při surfování – bez ohledu na to, zda na tlačítko klikne nebo ne. Dr. Mario Fischer, editor časopisu "Website Boosting", říká: "Není známo, zda Facebook sleduje chování při surfování, ale s ohledem na přístup k soukromí jeho zakladatele to lze očekávat."
Snadno sledováni však mohou být i uživatelé jiných sociálních sítí. Typickou ukázkou může být síť pro profesionály Xing (zaměřená především na budování pracovních kontaktů). Pomocí jednoduchého triku mohou provozovatelé webových stránek zjistit, kdo z přihlášených uživatelů sítě Xing na jejich stránkách surfuje. Například pokud správce webu (a zároveň člen sítě Xing) přidá do zdrojového textu webové stránky kód

(příkaz vyvolá profil Jiri_Voprsalek na síti Xing), může správce (Jiri Voprsalek) vidět jméno, povolání a další informace o surfaři, který navštívil jeho stránku jako uživatel sítě Xing.
OCHRANA: Před surfováním se vždy z portálů a sociálních sítí odhlaste. Protože však ne každý uživatel má chuť se neustále odhlašovat a přihlašovat ke svým oblíbeným službám, poradíme vám i jiné řešení. Uživatelé Firefoxu mohou využít doplněk prohlížeče nazvaný Prism, který spouští stránku jako svou vlastní aplikaci a běží paralelně s prohlížečem. Je to nejen pohodlné (stránka zůstane aktivní, i když prohlížeč restartujete), ale také to pomáhá chránit vaše soukromí, protože zde surfujete pomocí jiného profilu. S touto funkcí přichází dokonce i nový Internet Explorer 9, na rozdíl od Firefoxu však nepotřebuje žádný doplněk. Pouze musíte připnout stránku k hlavnímu panelu pomocí funkce "drag & drop".

Sledovací zařízení: Nové cookies prohlížečů

Stačí hledat informace o potenciálním novém pevném disku pro svůj počítač v internetovém obchodě, a máte zaděláno na dotěrnou reklamu na celém webu. Zmiňovaný hardware je vám nyní nabízen, i když navštívíte jiné webové stránky, a bývá zobrazen na každém reklamním místě. To umožňují cookies, které obchod nainstaloval na počítač uživatele. Běžný uživatel očekává, že se reklam zbaví, pokud vyčistí svůj prohlížeč od příslušných souborů s cookies. Hacker Samy Kamkar ale ukázal, že tento předpoklad je poněkud mylný.
Kamkar není neznámé jméno: v roce 2005 způsobil značný rozruch zneužitím chyby ve službě MySpace, pomocí níž (a šikovně napsaného červa) "vytvořil" během pouhých osmnácti hodin milion "nepřátel".
                                                                              Pomocí JavaScriptu můžete být sledováni napříč celým webem.
                                                                                                                              Christian Funk, virový analytik firmy Kaspersky
Tentokrát způsobil pozdvižení s kódem JavaScriptu, tzv. evercookie. Pomocí jeho triku má být schopen správce navštíveného webu do počítače propašovat cookie, kterých se uživatel jen tak nezbaví. Kamkarův trik: evercookie je tvořena třinácti částmi, které jsou uloženy na různých místech, od standardní HTTP po Flash cookies a místo pro HTML5 data. Trik spočívá v tom, že i jeden jediný kousek informace z libovolné části stačí k tomu, aby se evercookie kompletně obnovila. A i když z počítače vymažete všechny cookies, stále existuje dodatečně vytvořený soubor PNG, který Kamkar přečte pomocí HTML5.
Tyto evercookie nabízí Kamkar všem zdarma na svých stránkách www.samy.pl a nemá strach z jejich rychlého masového zneužití. Hacker se Chipu svěřil: "Nebojím se, že budou programátoři používat právě moje evercookie. Nejvíce starosti mi naopak dělá to, že celá řada firem již tyto a podobné techniky delší dobu používá. Já chci pouze ukázat na to, co se mnoho firem snaží skrýt."
Hrozivé je, že ke sledování dochází, aniž byste si toho všimli, bez instalace jakýchkoliv doplňků a ve všech prohlížečích. Stačí například přítomnost Flash cookies. A nový standard HTML5, který najdete na některých stránkách, činí anonymní surfování téměř nemožným. Více informací o HTML 5 a ochraně osobních údajů najdete v rámečku vlevo.
OCHRANA: Pokud opravdu chcete surfovat na webu inkognito, použijte bezpečnostní prohlížeč Chipu. Při našich testech v něm nedokázala "evercookie" obnovit žádná uživatelská data. Podle Kamkara v soukromém režimu důkladně čistí i prohlížeč Safari a nezanechává za sebou v počítači žádné stopy.

Zamořeno chybami: Soukromý režim

Většina uživatelů, kteří si cení svého soukromí, obvykle používá tzv. soukromý režim, který v současnosti už najdete ve všech prohlížečích. Problémem ovšem je, že ten proti "čmuchalům" neposkytuje žádnou kouzelnou ochranu. Ačkoli v tomto režimu za sebou prohlížeč zanechává mnohem méně stop, zákaz doplňku Flash nebo použití rozšíření "Adblock Plus" často nabídne mnohem větší soukromí.
Důvod: Zatímco Firefox a spol. v soukromém režimu odstraní obyčejné HTTP cookies, historii a vyhledávací dotazy, flash cookies nadále v počítači zůstávají. Tyto soubory totiž nemohou být "řízeny" z prohlížeče, ale přístup k nim má plug-in Flash. Více informací o flash cookies jsme vám nabídli v Chipu 12/2010 (strana 74, článek Neanonymní surfování).
Je pravda, že firma Adobe mezitím svůj "Flash plug-in" opravila a jeho nová verze (od 10.1) již skutečně soukromé prohlížení podporuje. Předchozí verze jsou však ke "špehování" stále náchylné – také doporučujeme používat a pravidelně aktualizovat Adblock Plus (doplněk pro blokování reklam ve Firefoxu). Zde je důležité podotknout, že jestliže na vybrané stránce povolíte v soukromém režimu zobrazování reklam, mohou být vaše stopy vysledovány stejně jako v normálním režimu.
OCHRANA: Aktualizujte Flash player, čímž eliminujete zmiňovanou chybu. V doplňku Adblock Plus nepovolujte v soukromém režimu žádné stránce zobrazování reklam.
PETR.KRATOCHVIL@CHIP.CZ


HTML5 a JavaScript: Konec soukromí
V současné době pracují vývojáři na novém webovém standardu pod jménem HTML5, o kterém jsme se již v Chipu několikrát zmiňovali. Ten nabídne celou řadu zajímavých možností – například integraci multimediálních souborů, které fungují bez jakýchkoliv doplňků. Nicméně kritici se obávají, že s HTML5 a JavaScriptem bude soukromí na internetu konec.
NEBEZPEČNÁ LOKÁLNÍ PAMĚŤ
HTML5 lze použít ke kopírování dat z webových stránek do počítače nebo mobilního telefonu. Na rozdíl od cookies mohou být do počítače uloženy dokonce i mnohem větší soubory – to je sice praktická funkce, může se však změnit na vstupní bránu pro viry a malware.
Problém je v tom, že data z lokální paměti může číst, modifikovat, nebo dokonce odstranit "třetí osoba". Další kritika ze strany odborníků: Pomocí HTML5 a JavaScriptu mají inzerenti mnohem více příležitostí k vytvoření uživatelských profilů. Obzvláště citlivá je také "funkce" usnadňující lokalizaci uživatele navštěvujícího web pomocí smartphonu vybaveného GPS. Tato funkce by měla "mobilním" uživatelům usnadňovat vyhledávání a zlepšovat možnosti surfování. HTML5 a JavaScript zkrátka nabízejí mnoho zajímavých novinek, zároveň však představují hrozbu pro soukromí. Christian Funk, virový analytik společnosti Kaspersky, říká: "Pomocí JavaScriptu je možné generovat jakýsi druh digitálních otisků webového prohlížeče; jeho součástí jsou například parametry doplňků prohlížeče nebo nainstalované fonty. Pomocí tohoto ‚otisku prstu' může být analyzováno chování uživatelů – na různých stránkách, téměř nezávisle na použitých anonymizačních zařízeních".


Foto: Otisk prstu: Webová stránka panopticlick.eff.org ukazuje, jak snadno může být váš prohlížeč identifikován…