מחקר: הדפדפן מזהה אתכם

ה-EFF מראה כי אנחנו צריכים להגדיר מחדש מהו “מידע שאינו מזהה אישית”. הדפדפן שלנו, מסתבר, מזהה אותנו, ומאוד.

מקור: יח"צ, עיבוד תמונה

מחקר שערך לאחרונה ארגון ה-EFF, ה-Electronic Frontier Foundation, מגלה כי המידע שעד עתה הגדרנו כ”מידע שאינו מזהה אישי” עשוי להיות מאוד מזהה, ויכול לזהות את המחשב/העמדה שבה נמצא הגולש מול יתר הגולשים שאי-פעם נכנסו לאתר.

תכירו – Panopticlick

הפרויקט עונה לשם “Panopticlick“, וזוכה להתעניינות רבה ברחבי הרשת. במסגרת הפרויקט, פיתחו ב-EFF שיטה הבודקת את המחשבים של הגולשים באמצעות כלים הזמינים לכל, ומצליבה מידע מכמה ערוצים במקביל, אשר יחד מייצרים פרופיל למחשב של הגולש. פרטים אלה כוללים את סוג וגרסת מערכת ההפעלה וסוג וגרסת הדפדפן (User Agent), רזולוצית המסך (גודל + כמות צבעים), האם המחשב מסכים לקבל קבצי עוגיות, בדיקת HTTP_ACCEPT Headers, אזור זמן שבו מוגדר המחשב, ואחד הדברים המעניינים ביותר – באיזה תוספים לדפדפן אתם משתמשים.

לכאורה, כל אחד מפרטי המידע הללו לכשעצמו אינו מזהה אישית. המחקר של ה-EFF מגלה כי כאשר מצליבים את פרטי המידע הללו, ניתן לקבל תמונת מצב של המחשב של הגולש. תמונת מצב זו, לפי הניסיון של ה-EFF עד כה, מצביע על ייחודיות גבוהה. את המחקר עצמו פרסמו החוקרים לאחר דגימה של מעל 470,000 דפדפנים מגולשים אשר בחרו במודע לקחת חלק בניסוי. יש לציין כי מאז פורסם האתר, מספר זה שילש את עצמו, ועומד על כ-1,600,000 דפדפנים שנדגמו.

מעל 94 אחוזים

המחקר של ה-EFF פורץ דרך, בכך שהוא מדגיש את העובדה שאיסוף המידע הלא-מזהה, כביכול, עשוי להיות מזהה בהחלט. במחקר מתארים החוקרים כיצד הם הצליחו להגיע לדרגת זיהוי של 83.6% בדפדפנים ללא ג’אווה וללא פלאש, אך כאשר היו בדפדפן ג’אווה ופלאש אחוז הזיהוי הייחודי קפץ ל-94.2 אחוזים.

החוקרים אף מתייחסים לעובדה שהמדגם שלהם עדיין לא מייצג את כלל האוכלוסיה, אך כמות המדגם הולכת וגדלה בהתמדה. בנוסף, מציינים החוקרים כי דווקא המדגם של הגולשים אל אתר ה-EFF מייצגים אנשים שדווקא מודעים יותר לסוגיות פרטיות ואבטחת מידע, וסביר שהם מודעים לחשיבות של הגדרת שימוש בעוגיות לאתרים שונים, ואילו הרשאות להגדיר בדפדפן לעוגיות השונות.

וידאו: הרצאה ב-DEFCON על הפרויקט

פרסום כחוק

לזיהוי של הגולשים השונים, גם ללא ידיעת שמם, יש חשיבות רבה מאוד למספר גורמים הפועלים ברשת. ביניהם ניתן להזכיר את כוחות שוק הפרסום, שבוודאי ישמחו לדעת האם אותו משתמש ספציפי שהיה באתר מסוים דילג לאתר אחר שגם בו הם מפרסמים, ולנסות להתאים עבורו פרסומות מותאמות אישית. גורמים נוספים שישמחו לקבל אינדיקציות יותר מדויקות הן רשויות החוק, אשר יכולות לקבל באמצעות נתונים אלה מידע הרבה יותר אישי ואינדיווידואלי ממה שנחשב עד כה.

מבחינת ראיות, זיהוי של מאפייני הפרטיות של דפדפן ומערכת ההפעלה לא מזהים אדם. גם כתובת IP מזהה רק כתובת קצה בחיבור שבין העולם הוירטואלי לאמיתי, ואיננה מזהה אדם. אם מישהו מגלה שאדם מכתובת מסוימת ביקר באתר שלו, גם אם יצליח לברר באמצעות ספק האינטרנט מיהו בעל החשבון, אין בכך כדי לזהות את האדם שאכן גלש לאתר, ולמעשה, היום בעידן של רשתות אלחוטיות ביתיות, בכלל לא בטוח שהוא גלש מאותה כתובת, אפילו אם החיבור היה דרך החיבור של השכן (לדוגמא). יש לא מעט מקרים לאחרונה בהן הרשויות בארצות הברית פושטות על בתים של אנשים פרטיים, רק כדי לגלות שיש שם רשת אלחוטית ובעצם כל אחד יכול היה לגלוש דרכם, בין אם זה השכן או מישהו שחנה בקרבת מקום וגלש מתוך האוטו שלו באמצעות חיבור האינטרנט של אותם אנשים.

בפועל, הדגימה של הדפדפן ומערכת ההפעלה, כפי שעושה האתר של ה-EFF בהדגמה שלו, מאפשר לנו לקבל תמונת מצב מהמחשב של הגולש. כלומר, זה שכרגע רזולוציית המסך היא בגודל מסוים, לא אומר שמייד לאחר הגלישה באתר זה הגולש לא יכול להחליף רזולוציה. בדיקה קצת יותר קשה לשינוי היא בדיקת רשימת הפונטים המותקנים במערכת ההפעלה, אך גם אינדיקציה זו עשויה להיות בעייתית ברגע שישנה אפשרות שהגלישה היתה ממערכת הפעלה וירטואלית (שלא לדבר על מה יקרה כשמערכות ההפעלה יעברו אל הענן?), או שהגלישה נעשתה דרך פרוקסי.

בין האמצעים הפשוטים להתגבר על אפשרויות המעקב שנחשפו במחקר, נכללים הגדרות נכונות של הדפדפן, שימוש בתוספים לדפדפן שיציגו User Agent השונה ממה שהמשתמש משתמש בו, לא להשתמש בפלאש או בג’אווה (למרות שהיום זה בפועל כמעט בלתי-אפשרי), שימוש בפרוקסי כדי לגלוש, שימוש במערכת הפעלה וירטואלית כדוגמת VMware, לוודא בכל פעם שמוחקים עוגיות למחוק גם עוגיות פלאש, ועוד.

מי שירא לפרטיותו, יתעניין מאוד במחקר של ה-EFF (קישור PDF), ויכול לקרוא מידע נוסף באתר הייעודי שהקימו ב-EFF לפרויקט הזה.

נדב דופמן-גור

עו"ד העוסק בתחומי דיני הטכנולוגיה, דיני פרטיות וקניין רוחני. מרצה ומנטור לסטארטאפים, ובעל ניסיון רב-שנים בפיתוח ווב (http://about.me/nadavdg).

הגב

7 תגובות על "מחקר: הדפדפן מזהה אתכם"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
Mendi Sudri
Guest

מדהים,
זו אגב הסיבה ש גוגל לא ביזבזו זמן ופיתחו את כרום.
מגלישה סטנדרטית לחלוטין אפשר לדעת עליך הכל אחרי כמה שעות.
כבר היום הם זוכרים התנהגויות מכתובות IP, ככה שגם אם אתה מאפס את העוגיות, באתר השני הם כבר ידעו מי אתה.
אין לאן לברוח!!!
פרוקסי על באמת יכול להוות פתרון חלקי, חבל שהפרוקסים המהירים עולים הרבה כסף.

הדרך היחידה למנוע זהות לגמרי היא מחיקות מידיות אחרי כל גלישה, שימוש במספר שרתי פרוקסי, תוכנות למניעת מעקב שלא קשורות לדפדפן שימוש וכו, לדעתי זה לא שווה את זה.
שינסו למכור לי וזהו

need4steer
Guest

אחלה כתבה.
תודה רבה!.

אלון
Guest

אולי breadcrumbs?
http://breadcrumbssolutions.com/

מעניין שחיפוש בגוגל לא נותן את זה מיידית… :-)

דרור
Guest

אכן פיתרון טוב, פותר גם את המעקב שכל הסרגלי כלים עושים.

אץבץ
Guest

אין אנונימיות, אין פרטיות וזה רק ילך ויחמיר!
כדאי שנתחיל להתרגל לזה ולפעול בהתאם, לקחת אחריות על הפעילות המקוונת שלנו ולהיות מודעים לכך שהכל שקוף לחלוטין.

אם כל כמה שזה מפחיד ומדאיג ובעיקר מרגיז יש בכך *גם* אמת פשוטה ואמינות גבוהה.
כל אחד הוא מי שהוא, עם האף והעיניים והטעם היחודי שלו.

רוני
Guest

סרטון שמתאר את הפתרון של breadcrumbs

ניקס
Guest
wpDiscuz

תגיות לכתבה: