דפדפנים תומכי פרטיות

בדיון באתר whatsup הועלתה סוגיית פרטיות המשתמשים בעת הגלישה והסכנות שהם מייצרים. כמוזילאי שמחתי לראות שמוזילה עדיין מזוהה בידי הציבור כגוף שמכבד את פרטיות המשתמשים. משתמש אורח פרסם שם קישור למאמר המציג את הסכנות בשימוש בפיירפוקס ואף מציע לקוראים דרכים "להגן על עצמם". מאחר שאני חושב שתגובתי שם עשויה לעניין קהל רחב יותר, אני מפרסם אותה כאן עם שינויים קלים.

קראתי מאמר באתר unspyable הדן בשיפור פרטיות המשתמשים בפיירפוקס, ואני מוכרח לציין שהוא זורק ססמאות באוויר מבלי לבדוק אותן לעומק, ואני חושב שאם מתמקדים קצת יותר בטענות שמועלות שם אפשר למצוא להן פתרונות יעילים יותר.

באופן כללי, כל הדפדפנים מוציאים מידע על הגולש, ואם זה מה שמטריד אתכם, תצטרכו לכבות הרבה תכונות או לחזור לדפדפן בסיסי דוגמת lynx שאולי לא משדר שום פרט מידע אבל בטוח גם שהוא לא עושה שום דבר מועיל.

אם נשאיר רק את הדפדפנים המודרניים ברשימה, כאמור אנחנו נשארים עם העובדה שכל דפדפן משדר מידע ואם נכבה את השידורים ננטרל גם תכונות רבות בדפדפן. למרות זאת, כדאי לזכור שיש חשיבות גם לתוכן המידע שמשודר, אם הוא מזוהה עם הגולש בצורה חד ערכית וכדומה.

באתר browserspy ניתן לצפות בפרטי מידע רבים ומגוונים שהדפדפן שלכם חושף. אם אתם מעוניינים להגן על עצמכם, תרצו כנראה להתחיל שם ולראות איזה מידע דולף מהדפדפן שלכם החוצה, ולנסות לחסום את המידע הזה. לדעתי, מדובר במשימה מיותרת, שהרי דפדפנים מודרניים, מאובטחים ועדכניים אמורים להגן עליכם בצורה מיטבית, ותמיד ישנו סיכוי קלוש שמידע זולג החוצה שלא בצינורות הרגילים של רשת האינטרנט (למשל רכיבי תוכנה שמתקשרים ליצרן שלהם ישירות) עליהם קשה יותר לפקח, במיוחד ביישומים שאינם מבוססי קוד פתוח שאפשר להביט בהם ולחפש את מקור הבעיה.

מוזילה מתחייבים להגנה על פרטיות המשתמשים ועושים הכל כדי להימנע מאיסוף מידע. למשל מנגנון הסנכרון של דפדפן פיירפוקס בנוי כך שהוא יצפין מידע לפני שהוא נשלח לשרת, כך שהמידע שנמצא בשרתים של מוזילה מוצפן כך שאנשי מוזילה לא יכולים לצפות בנתוני הגלישה של המשתמשים (לפחות לא באופן פשוט שלא יערב שבירת ההצפנה, בכל אופן), זאת בהשוואה לדפדפן כרום שלא מבצע שום הצפנה על הנתונים וזה מה שמאפשר גם את הצפייה בהם ישירות מהאתר בכל דפדפן אחר, וגם יכול לשרת את חברת גוגל לצורך זיהוי תבניות גלישה של משתמשים ומעקב מדויק אחר כל פעילות הגלישה.

עוגיות יכולות לשמש למעקב אחר הגולש, נכון. עוגיות הן גם מה שמאפשר למשתמש להישאר מחובר לאתר כלשהו ולכן לא כדאי למהר לחסום אותן, אחרת מגיעים למצב כמו שקורה בפורומים של וואטסאפ למשל באופן די תדיר – ערב רב של משתמשים שונים שלא טורחים לכתוב תחת הזהות שלהם ומפרסמים הודעות כאורחים ואז קשה לעקוב אחרי כל דיון מבלי לתהות אם "אורח" הוא אדם בודד או שמדובר באנשים רבים שכותבים תחת אותו שם עט. ולא דיברנו על כל אותם אתרים בהם המשתמש נוהג לגשת אליהם באופן שבשגרה כמו שירותי דואר אלקטרוני ומערכות אחרות, שללא שימוש בעוגיות יחייבו התחברות בכל פעם מחשב ולא יזכרו את פרטיו לעולם.

עוגיות צד שלישי הן כבר סיפור אחר לחלוטין – עוגיות אלו יכולות לשמש מפרסמים כדי לעקוב אחר המשתמש גם כשהוא עובר בין אתרים שונים, מערכות סטטיסטיקה וכדומה. בגרסאות החדשות של פיירפוקס עוגיות צד שלישי לא נטענות באופן אוטומטי אלא אם כן המשתמש נכנס לאתר המדובר בעבר, כך שהן יכולות להיטען בתור צד ראשון ורק אז לשמש כצד שלישי. אם אני לא טועה גם דפדפן ספארי משתמש באותו מנגנון.

חסימת תסריטים יכולה להיות שימושית כדי למנוע מעקב, אבל היא גם זו שתגרום לאינטרנט שלכם לראות כאילו חזרנו בזמן לשנת 1998. ללא תסריטים אתרים רבים כיום לא יתפקדו כלל או יתפקדו בצורה חלקית בלבד, ובעוד שפעם מפתחי אתרים היו נוהגים להקפיד להשאיר אפשרות להשתמש באתר ללא תסריטים שהם היו בעיקר משמשים להוספת דינמיות לאתר (DHTML, זוכרים?), היום מקפידים פחות על טקטיקה זו, ואתרים רבים כלל לא יתפקדו.

תסריטים יכולים לשמש להעברת מידע לצד שלישי, וכמובן שאפשר גם בלעדיהם (למשל לטעון תמונה משרת מרוחק ואז לאגור בו רשימה של כתובות ה־IP שניגשו לדף המקורי). הם הפכו לאפקטיביים פחות כיום בזכות תכונות דוגמת CORS ומיזמים חשובים דוגמת Do Not Track.

Prefetching זו תכונה נחמדה שנועדה לשפר את מהירות הטעינה של אתרים ואכן יכולה לשמש במקרים מסוימים לבקשות מידע מיותרות שעשויות אף להסגיר את המיקום הנוכחי שלנו. למרות זאת, המנגנון נבנה כך שהוא לא חושף מידע בעל ערך באותן הבקשות, והוגבל מראש כדי שהוא לא ישמש לדברים זדוניים. אין שום סכנה בנטרול שלו למעט כך שהגלישה עשויה להיות אטית יותר. להערכתי הוא כמעט אינו בשימוש היום, בכל אופן.

שליחת כתובת האתר המפנה היא תכונה שקיימת עוד מהדפדפנים הראשונים ונועדה לאפשר לאתר לדעת מהיכן מגיעה אליו תעבורה, ולרוב משמש את תוכנות הסטטיסטיקה. תכונה זו הוגבלה מאד עם הופעתם של אתרים דינמיים בהם אין משמעות קבועה לכתובת הדף המפנה, הוגבלה מראש כך שהיא לא חושפת מידע לצדדים שלישיים כאשר יוצאים מאתרים מאובטחים, וגם אתרים רבים ברשת משתמשים כיום במנגנוני שיבוש כתובת הדף המפנה כך שהיא הופכת ללא רלוונטית (למשל מנוע החיפוש גוגל הפסיק להעביר את המידע הזה לאתרי האינטרנט השונים לפני מספר שנים, ככל הנראה כדי לעודד בעלי אתרים להשתמש בכלי ניהול האתרים שלו).

מנגנון ה־GeoLocation תוכנן בפיירפוקס כך שהוא לא מאפשר לאתרים להשתמש בו ללא אישור מפורש מהמשתמש, ולכן לא יכול לשמש למעקב אחר מיקום המשתמש באופן שוטף, כמובן אלא אם כן אתם לא מאמינים למוזילה שהם מאפשרים לבטל אותו, ואז באותו אופן גם אפשרות הביטול לא בהכרח תתפקד, וכדומה. במחשבים אישיים עד כמה שאני יודע פיירפוקס משתמש כיום ב־API של חברת גוגל לצורך זיהוי המיקום לפי נקודות אינטרנט אלחוטי, כך שבאופן עקרוני יכול להיות שאתם מוסרים מידע לחברת גוגל גם כאשר אתם משתמשים בתכונה זו בפיירפוקס. גוגל טוענים שהם לא פוגעים בפרטיות המשתמשים, אבל זה נאמר בתוך מסמכי מדיניות ארוכים שניתנים לפרשנויות שונות, כך שכדאי לקחת זאת בחשבון. כמו־כן, מוזילה עובדים בימים אלו על מערכת חלופית עצמאית לזיהוי מיקום מבוסס אנטנות (יש לה כיסוי בסיסי צפון הארץ ומרכזה, דרומית לבאר שבע אין לנו שום כיסוי – אתם מוזמנים להצטרף).

על הסעיף האחרון ברצוני לציין שמדובר בשטות גמורה. DOM Storage על סוגיו השונים מאפשר לאתרים לשמור מידע על מחשב המשתמש באופן דומה לעוגיות, אבל בניגוד לעוגיות הוא אינו נשלח במלואו בכל בקשת מידע, ונגיש לתסריטי ג'אווה סקריפט בלבד. בהשוואה לעוגיות הוא יכול להכיל תוכן רב יותר, ותסריטים יכולים להוציא ממנו את פריט המידע המעניין אותם בכל פעם. בדומה לעוגיות, גם כאן יש הפרדה בין צד א' לצד ג' (צד ב' הוא הדפדפן), כאשר צד ג' כלל אינו שותף למשחק, ולכן המידע נגיש לתסריטים של האתר המבוקש בלבד. תכונה זו מאפשרת ליישומי רשת עשירים לשמור מידע במחשב המשתמש (למשל ההודעות האחרונות בתיבת הדואר האלקטרוני, קבצים וכדומה), אבל מאחר שהתכונה הזו חדשה יחסית מעטים הם האתרים שמתבססים עליה באופן גורף. כמו־כן, בדומה ל־GeoLocation נדרשת כאן הסכמת המשתמש לשמירת הנתונים בפעם הראשונה, ולכן היא לא פרקטית במיוחד למעקב אחריו.

להלן הרחבה מעניינת מבית מוזילה שנועדה לסייע למשתמשים לראות באופן ברור מי עוקב אחריהם ומהם הנתונים שמועברים אליו: http://www.mozilla.org/lightbeam

במאמר באתר unspyable לא הוזכרו תכונות דוגמת שיתוף המיקרופון והמצלמה של המחשב. כן, גם הרכיבים הללו ואחרים נגישים באמצעות ה־API של HTML5, נכון, גם עליהם נדרש אישור מפורש של המשתמש טרם השימוש בהם, אבל בטח זה לא מטריד אתכם במיוחד כי כבר עקרתם מהמחשב שלכם את המיקרופון המובנה והמצלמה מחשש שמישהו מאזין לכם. ☺

2 תגובות בנושא “דפדפנים תומכי פרטיות”

  1. למצלמה שלי יש מכסה, ובמחשבים בהם אין מכסה למצלמה, אני שם פלסטר.
    כן, יש מי שלוקח את זה ברצינות.

    1. במחשב שלי יש נורית חיווי ליד המצלמה שנדלקת כאשר נעשה שימוש במצלמה. חוץ מזה, מעניין שאין באתרים דוגמת DealExtreme "כיסויים" למצלמות רשת שנדבקים למסגרת המסך באמצעות מגנט במקום אנשים שמפרקים את המחשב כדי לעקור ממנו את רכיב הצילום, או שמדביקים עליו מדבקה – בשני המקרים מדובר במעקף של בעיה (ופחד) במקום לטפל בה מהשורש.

השאר תגובה