DiepgaandHoe privacy-minded zijn onze web browsers?

16 februari 2020
https://ministryofprivacy.eu/wp-content/uploads/2020/02/cdc-tQZ9nTjsQwU-unsplash-1-1280x852.jpg

Inleiding & disclaimer

Vooraleer verder te gaan wou ik graag een paar van mijn vooroordelen uit de weg: Ik ben een fan van Open Source Software (OSS), en ik gebruik Fedora als m’n daily driver, waardoor mijn voorkeuren nogal vaak de richting van Open Source uitgaan. Wil dat daarom zeggen dat OSS het beste is? Zeker niet, het wil gewoon zeggen dat ik daar een beetje meer kennis over heb.

Maar ja, het is beter dan al de rest. JK ;).

Wat is browser fingerprinting?

Om een oordeel kunnen vellen of onze browser ons adequaat kan beschermen, moeten we de vijand eerst begrijpen.

“If you know the enemy and know yourself, you need not fear the result of a hundred battles. If you know yourself but not the enemy, for every victory gained you will also suffer a defeat. If you know neither the enemy nor yourself, you will succumb in every battle.”

– Sun Tzu, The Art of War

Eén van de manieren die gebruikt wordt om ons te “volgen” heet “browser fingerprinting”. Net zoals je eigen vingerafdruk, heeft je webbrowser een redelijk unieke vingerafdruk.

Een browserfingerprint is een unieke identificator die aangemaakt wordt door de website die je bezoekt. Die ID kan dan gebruikt worden door de website om je te volgen op haar eigen website, zelfs zonder het gebruik van cookies, of – in het ergste geval – systeemkwetsbaarheden (system vulnerabilities). Ook al heb je een “Do not Track” functie (zoals in Firefox, ea) om je te helpen beschermen, dat blijkt niet steeds effectief.

Je kan je bijvoorbeeld al beter beschermen door Flash af te zetten (zet het nu af, mocht het aanstaan. Echt!), Java en zelfs JavaScript, al wordt het dan wel heel moeilijk voor websitebouwers.

Headers

Elke browser stuurt een aantal zaken standaard naar de website die je bezoekt.. Dit worden headers genoemd. Standaard staat daarin welke browser je hebt, welke taal die spreekt, van welke pagina je komt (in het geval dat je daar geraakt via aan link op een andere pagina) en nog een paar andere zaken. Hiermee kom je al een heel eind, waarmee je iemand kan volgen op de website.

Vele websites maken tegenwoordig ook veel gebruik van JavaScript, waardoor er nog meer informatie kan opgezocht worden en doorgestuurd. Zo kunnen buiten de eerder aangehaalde standaard zaken aangevuld worden met informatie zoals welke plugins geïnstalleerd zijn, ondersteuning voor verschillende bestandsformaten, zoals Quicktime, H.264, Acrobat, …

VPN

Elke persoon heeft verschillende zaken geïnstalleerd, en vaak verschillende versies, die dan ook nog eens variëren van OS (operating system, je besturingssysteem, nvdr) tot OS. Dit alles draagt bij tot het uniek karakter van je browserfingerprint.

Bekijk het zo: veel mensen rijden rond met een donkere wagen. Hoeveel rijden er echter rond met een donkere wagen die niet in Antwerpen binnen mag door de LEZ, én met een “Ik rem ook voor dieren” sticker op de bumper?

De Electronic Frontier Foundation (EFF) heeft een tool gemaakt die je kan gebruiken om te kijken hoe uniek jouw browser’s vingerafdruk is: https://panopticlick.eff.org/ Ze maken gebruik van een heleboel methodes om je vingerafdruk samen te stellen.

De Electronic Frontier Foundation (EFF) heeft een tool gemaakt die je kan gebruiken om te kijken hoe uniek jouw browser’s vingerafdruk is: https://panopticlick.eff.org/

Er zijn niet veel manieren om browser fingerprinting tegen te gaan. De TOR Browser (https://www.torproject.org/projects/torbrowser.html) biedt heel wat bescherming tegen fingerprinting, maar het nadeel is dan weer dat het trager is dan een “standaard” browser.

Een andere manier is om JavaScript uit te zetten, maar zoals eerder gezegd, maken veel websites de dag van vandaag gebruik van JavaScript en kan het zijn dat ze niet meer werken.

Het gebruik van een “Standaard” browser op een “Standaard” OS werkt ook redelijk. Chrome op Windows bijvoorbeeld, is redelijk moeilijk te fingerprinten omdat er zoveel van zijn. Hoe minder gebruikt je OS en browser, hoe makkelijker het wordt je te fingerprinten.

Het gebruik van anti-fingerprinting plugins kan net het fingerprinting juist in de hand werken, omdat ze niet alles kunnen filteren. Hoe minder plugins, hoe groter de kans dat je een minder “unieke” OS/browser configuratie je hebt.

Het blijft dus moeilijk om je integraal te beschermen tegen deze methode, maar met de juiste tools schiet je al een heel eind op!

Geschreven door William Leemans, board member bij the Ministry of Privacy. 

Ministry of Privacy

https://ministryofprivacy.eu/wp-content/uploads/2020/01/logo-web.png
Neem je privacy terug in handen
Contact
Private Stichting
Nr. 0716.922.347
+32 9 320 00 34