פיירפוקס שומר עליכם יותר

לפני מספר ימים פרסם רן בר־זיק רשומה המציגה פרטים על סכנת אבטחה ופרטיות שהוא גילה, המאפשרת לאתרים להתחבר למיקרופון ולמצלמה (וגם באנגלית, וגם באתר „הארץ”) דרך הדפדפן ללא חיווי ברור על הפעולה אצל המשתמשים. כצעד מקדים, נדרש אישור ראשוני מהמשתמש לגישה לאמצעים אלו. אישור זה ניתן לאתרים כאשר הם מבקשים למשל לצלם תמונה עבור פרופיל המשתמש, ביצוע שיחות וידאו או קוליות וכדומה. מה שלדעתי לא נכתב בשום מקום בצורה מספיק בולטת הוא שהבאג הזה, קריטי ככל שהוא יהיה, פשוט לא קיים בפיירפוקס.

לאחרונה צפיתי בכתבה שפורסמה בנושא זה בתכנית ”חי בלילה” בערוץ השני. הכתבה לדעתי התמקדה מידי בבעיה עצמה, ופספסה פרט די חשוב – גוגל כרום אינו הדפדפן היחיד. למעשה, אני מחזיק בדעה כי דפדפן פיירפוקס מציע פתרונות מוצלחים יותר במישור האבטחה והפרטיות של הגולשים. במקביל, התפרסמה כתבה גם בתכנית ”הצינור” בערוץ 10 (החל מדקה 24:35), שמביאה פרטים נוספים ופחות נועדה לשדר פחד ואימה, אבל עדיין לא נאמר בה ואף לא נרמז שהבעיה שתוארה מתרחשת בדפדפן אחד ויחיד.

כדי לממש את הבעיה שהתגלתה, יש צורך לבצע שני שלבים, הראשון הוא אישור הגישה למצלמה, ובשלב השני האתר חוזר על פעולה זו, כאשר הפעם הוא כבר מצויד באישור המשתמש לגישה למצלמה ולכן לא נדרש לבקש שוב את אישור המשתמש.

כך נראית בקשת הגישה למצלמה בדפדפן Google Chrome:

בקשת גישה למצלמה בדפדפן גוגל כרוםלעומת זאת, כך נראית ההודעה המקבילה בדפדפן פיירפוקס:

בקשת גישה למצלמה בדפדפן מוזילה פיירפוקסלכאורה שני הדפדפנים מציגים הודעה די דומה המבקשת את אישור המשתמש לעשות שימוש במצלמה, עם הבדל קטן ומשמעותי מאד – פיירפוקס מאפשר למשתמש להחליט אם הוא מעוניין לתת לאתר גישה למצלמה באופן חד פעמי או קבוע, בעוד דפדפן גוגל כרום מאפשר שני מצבים בלבד, לאשר את הבקשה או לדחות אותה.

פיירפוקס לא זוכר כבררת מחדל את ההרשאהההבדל הפעוט בין שתי בקשות הגישה הוא פעוט אך משמעותי מאד, ומשקף בצורה יפה את הבדלי הגישה. בעוד בדפדפן של גוגל כבררת מחדל מתן גישה לאתר תאפשר לו להפעיל את המדיה בכל עת כל עוד המשתמש לא בחר באופן יזום להסיר את הגישה של אותו אתר, בפיירפוקס כבררת מחדל הגישה היא חד פעמית, ואם האתר יבקש גישה חוזרת לאמצעי זה, תופיע הודעה נוספת, כל עוד המשתמש לא הודיע מיוזמתו שברצונו לבטל את הגישה של האתר לאמצעי זה.

בשימוש שוטף בפייסבוק, למשל, המשתמש לא עושה כנראה שימוש במצלמה או במיקרופון, ולכן אין טעם לתת לאתר זה גישה מלאה לרכיבים אלו. ייתכן שהמשתמש ירצה באופן יזום לבצע שיחות דרך האתר או לצלם תמונת פרופיל דרך המצלמה המובנית במחשב, ואז יש טעם לאפשר גישה לרכיבים אלו, אבל כל עוד זו אינה פעולה שגרתית, לא יקרה שום דבר אם המשתמש יצטרך לאשר באופן פרטני את הגישה הזו. למעשה, אישור קבוע יכול להוות פתח לתחבולות נוספות; למשל אתר יזהה שהמשתמש לא פעיל במשך זמן ממושך, ויפעיל אמצעי האזנה מתוך ההנחה שהמשתמש לא ליד המחשב ולכן לא יבחין בחיווי פעולת הרכיב.חיוויים לשימוש במצלמה בגוגל כרום

כאשר אתר מבקש לעשות שימוש במצלמה, גוגל כרום מציג חיווי על השימוש במצלמה על הלשונית וכן גם בשורת הכתובת. החיווי על הלשונית גם מהבהב עם תחילת השימוש במצלמה, ככל הנראה כדי למשוך את תשומת ליבו של המשתמש, אבל כדי להפסיק את המצלמה, עליו למצוא את את סמל המצלמה בקצה שורת הכתובת וללחוץ עליו כדי לבטל את הגישה של האתר למצלמה, וכן לטעון מחדש את הדף כדי שפעולת המצלמה תופסק. אם מדובר באתר לגיטימי, סביר שהוא יציג כפתור בולט בדף לכיבוי המצלמה, אבל אם מדובר באתר עם כוונות קצת פחות טהורות, סביר שהוא לא ימקם שום אמצעי כזה. החיווי על הלשונית מאד מועיל, אבל סביר שניתן יהיה לזייף חיווי פיקטיבי שייראה מספיק דומה באמצעות סימני אימוג׳י.

הרשאות גישה למצלמה בגוגל כרוםהתופעה שרן בר־זיק מצא היא שאם פותח חלון נוסף קטן מספיק, לא יוצג החיווי למשתמש, ומכאן שהאתר יוכל להקליט וידאו ואודיו ללא ידיעת המשתמש. באופן דומה, אפשר להשתמש גם בטכניקת פתיחת חלונות ברקע, הידועה גם בשם pop under ובה נעשה שימוש (לצערנו!) בעיקר למטרות פרסומיות – בצורה זו הגישה למצלמה תתבצע מחלון אחר שאינו חשוף למשתמש, ולכן המשתמש לא יבחין בשום חיווי גם אם הוא אכן מוצג באותו חלון. זו בהחלט בעיה חמורה, אבל כפי שכבר כתבתי, אם האתר מפעיל את המצלמה לאחר זמן מסוים של חוסר פעילות ולא באופן מידי כתגובה לפעולת משתמש, ייתכן שהמשתמש יהיה עם יישום אחר פעיל או בלשונית אחרת בדפדפן ולא יבחין כלל בפעילות החשודה.

בפיירפוקס, לעומת זאת, חשבו על מקרים אלו, ולכן החיווי על פעילות זו מרחף מעל החלון, כך שהוא יהיה חשוף גם אם הווידאו יופעל בלשונית אחרת או בחלון אחר, וגם אם המשתמש נמצא כעת ביישום אחר. לחיצה על החלון המרחף החיווי תעביר את המיקוד אל הלשונית הרלוונטית ותציג את הרשאות האתר, משם בלחיצה אחת המשתמש יוכל לבחור לחסום את האתר שהעז לגשת לרכיבים אלו. כאשר הפעילות מתבצעת בלשונית הפעילה יוצג חיווי בשורת המיקום, והוא יהבהב לסירוגין כדי לרמוז למשתמש על פעילות זו, ואם הפעילות מתבצעת בלשונית אחרת, סמל האתר באותה הלשונית יתחלף לסירוגין עם חיווי המצלמה כדי לרמוז למשתמש היכן מתבצעות פעילות זו.הרשאות שימוש במצלמה בדפדפן פיירפוקס

מקרה זה מדגים לדעתי את הבדלי הגישות של יצרני הדפדפנים. גוגל מייצרים דפדפן שעובד טוב, אבל פחות מקדישים תשומת לב לפרטים הקטנים כמו נוחות עבודה או פרטיות המשתמש. מוזילה, כארגון בו השקיפות והקוד הפתוח הנם בין עקרונות היסוד של הארגון כולו מקדישים הרבה יותר חשיבה על פרטים אלו, ויעשו הכל כדי לשמור את פרטיות משתמש הקצה. אז במקום להילחץ מכך שהדפדפן שלכם לא מכבד את הפרטיות שלכם, למה שלא תעברו לדפדפן מוצלח יותר?

 

6 תגובות בנושא “פיירפוקס שומר עליכם יותר”

  1. תודה! תוכל להגיד איך ניתן לבדוק האם לכרום יש גישה למצלמה? והאם מחיקה של הדפדפן תנטרל אותה?

    1. בעקרון ליישום יש תמיד גישה למצלמה, והוא נותן הרשאה שימוש במצלמה לפי רשימת מורשי הגישה שהוא מנהל. בדפדפן כרום, כמו גם בפיירפוקס, אתר שמורשה שימוש במצלמה (או במיקרופון) יציג חיווי בולט בשורת הכתובת, ובאמצעות לחיצה עליו ניתן יהיה לנהל את הרשאות הגישה של האתר לרכיבים אלו. בנוסף לכך, כפי שנכתב למעלה, בדפדפן פיירפוקס שולבו אמצעי פרטיות ואבטחה מוצלחים יותר, ולכן ניתן לתת לאתרים הרשאות גישה חד פעמיות לרכיבים אלו, כך שבכניסה הבאה הם לא יקבלו את ההרשאה בצורה אוטומטית, אלא יחויבו לבקש אותה מחדש מהמשתמש.

  2. תומר אתה חי?????????
    (אל תפרסם את התגובה פשוט זו הדרך היחידה שלי לתפוס אותך כיוון שנמחקו לי כל המספרים מהטלפון)

    1. זה בדיוק העניין. לפעמים צריך לוותר קצת על שיקולי שמישות כדי להבטיח אבטחה מרבית. בהתחשב בכך שמשתמש ממוצע לא מבקש להפעיל מצלמה כל חמש דקות, ההודעה החוזרת לא תטריד אותו יותר מידי, וגם אם כן, תמיד הוא יוכל פשוט לאשר את הבקשה באופן קבוע.

השאר תגובה