Что такое данные браузера
Как работают браузеры — введение в безопасность веб-приложений
Давайте начнем серию статей по безопасности веб-приложений с объяснением того, что делают браузеры и как именно они это делают. Поскольку большинство ваших клиентов будут взаимодействовать с вашим веб-приложением через браузеры, необходимо понимать основы функционирования этих замечательных программ.
Chrome и lynx
Браузер — это движок рендеринга. Его работа заключается в том, чтобы загрузить веб-страницу и представить её в понятном для человека виде.
Хоть это и почти преступное упрощение, но пока это все, что нам нужно знать на данный момент.
Например, lynx — это легкий текстовый браузер, работающий из командной строки. В основе lynx лежат те же самые принципы, которые вы найдете в любых других «мейнстримных» браузерах. Пользователь вводит веб-адрес (URL), браузер скачивает документ и отображает его — единственное отличие состоит в том, что lynx использует не движок графического рендеринга, а текстовый интерфейс, благодаря которому такие сайты, как Google, выглядят так:
Мы в целом имеем представление, что делает браузер, но давайте подробнее рассмотрим действия, которые эти гениальные приложения выполняют для нас.
Что делает браузер?
Короче говоря, работа браузера в основном состоит из
Разрешение DNS
Этот процесс помогает браузеру узнать, к какому серверу он должен подключиться, когда пользователь вводит URL. Браузер связывается с DNS-сервером и обнаруживает, что google.com соответствует набору цифр 216.58.207.110 — IP-адресу, к которому может подключиться браузер.
HTTP-обмен
Как только браузер определит, какой сервер будет обслуживать наш запрос, он установит с ним TCP-соединение и начнет HTTP-обмен. Это не что иное, как способ общения браузера с нужным ему сервером, а для сервера — способ отвечать на запросы браузера.
HTTP — это просто название самого популярного протокола для общения в сети, и браузеры в основном выбирают HTTP при общении с серверами. HTTP-обмен подразумевает, что клиент (наш браузер) отправляет запрос, а сервер присылает ответ.
Например, после того, как браузер успешно подключится к серверу, обслуживающему google.com, он отправит запрос, который выглядит следующим образом
GET / HTTP/1.1
Host: google.com
Accept
Давайте разберем запрос построчно:
Воу, на этот раз довольно много информации, которую нужно переварить. Сервер сообщает нам, что запрос был выполнен успешно (200 OK) и добавляет к ответу несколько заголовков, из которых например, можно узнать, какой именно сервер обработал наш запрос (Server: gws), какова политика X-XSS-Protection этого ответа и так далее и тому подобное.
Прямо сейчас вам не нужно понимать каждую строку в ответе. Позже в этой серии публикации мы подробнее расскажем о протоколе HTTP, его заголовках и т. д.
На данный момент все, что вам нужно знать — это то, что клиент и сервер обмениваются информацией и что они делают это через HTTP-протокол.
Рендеринг
Последним по счёту, но не последним по значению идет процесс рендеринга. Насколько хорош браузер, если единственное, что он покажет пользователю, это список забавных символов?
В теле ответа сервер включает представление запрашиваемого документа в соответствии с заголовком Content-Type. В нашем случае тип содержимого был установлен на text/html, поэтому мы ожидаем HTML-разметку в ответе — и именно ее мы и находим в теле документа.
Это как раз тот момент, где браузер действительно проявляет свои способности. Он считывает и анализирует HTML-код, загружает дополнительные ресурсы, включенные в разметку (например, там могут быть указаны для подгрузки JavaScript-файлы или CSS-документы) и представляет их пользователю как можно скорее.
Еще раз, конечным результатом должно стать то, что доступно для восприятия среднестатистического Васи.
Если вам нужно более детально объяснение того, что действительно происходит, когда мы нажимаем клавишу ввода в адресной строке браузера, я бы предложил прочитать статью «Что происходит, когда…», очень дотошную попытку объяснить механизмы, лежащие в основе этого процесса.
Поскольку это серия посвящена безопасности, я собираюсь дать подсказку о том, что мы только что узнали: злоумышленники легко зарабатывают на жизнь уязвимостями в части HTTP-обмена и рендеринга. Уязвимости, злонамеренные пользователи и прочие фантастические твари встречаются и в других местах, но более эффективный подход к обеспечению защиты именно на упомянутых уровнях уже позволяет вам добиваться успехов в улучшении вашего состояния безопасности.
Вендоры
4 самых популярных браузера принадлежат разным вендорам:
W3C является краеугольным камнем разработки стандартов, но браузеры нередко разрабатывают свои собственные функции, которые в конечном итоге превращаются в веб-стандарты, и безопасность тут не является исключением.
Например, в Chrome 51 были введены файлы cookie SameSite — функция, которая позволила веб-приложениям избавиться от определенного типа уязвимости, известной как CSRF (подробнее об этом позже). Другие производители решили, что это хорошая идея, и последовали ее примеру, что привело к тому, что подход SameSite стал веб-стандартом: на данный момент Safari является единственным крупным браузером без поддержки файлов cookie SameSite.
Это говорит нам о двух вещах:
Ваша стратегия обеспечения безопасности в сети должна варьироваться в зависимости от того, какие возможности нам предоставляет вендор-поставщик браузера. В настоящее время большинство браузеров поддерживают один и тот же набор функций и редко отклоняются от своего общей дорожной карты, но случаи, подобные приведенному выше, все еще случаются, и это то, что мы должны учитывать при определении нашей стратегии безопасности.
В нашем случае, если мы решим, что будем нейтрализовывать атаки CSRF только с помощью файлов cookie SameSite, мы должны знать, что мы подвергаем риску наших пользователей Safari. И наши пользователи тоже должны это знать.
И последнее, но не менее важное: вы должны помнить, что вы можете решить, поддерживать ли версию браузера или нет: поддержка каждой версии браузера будет непрактичной (вспомните хпро Internet Explorer 6). Несмотря на это, уверенная поддержка нескольких последних версий основных браузеров — как правило, хорошее решение. Однако, если вы не планируете предоставлять защиту на какой-то определенной платформе, очень желательно, чтобы ваши пользователи об этом знали.
Совет для профи: вы никогда не должны поощрять своих пользователей использовать устаревшие браузеры или активно поддерживать их. Даже если вы приняли все необходимые меры предосторожности, другие веб-разработчики этого не сделали. Поощряйте пользователей использовать последнюю поддерживаемую версию одного из основных браузеров.
Вендор или стандартный баг?
Тот факт, что обычный пользователь обращается к нашему приложению благодаря помощи стороннего клиентского программного обеспечения (браузера), добавляет еще один уровень, усложняющий путь к удобному и безопасному просмотру веб-страниц: сам браузер может быть источником уязвимости безопасности.
Вендоры, как правило, предоставляют вознаграждения (также известные как баг-баунти) исследователям безопасности, которые могут искать уязвимость в самом браузере. Эти ошибки связаны не с вашим веб-приложением, а с тем, как браузер самостоятельно управляет безопасностью.
Например, программа поощрений Chrome позволяет исследователям безопасности обращаться к команде безопасности Chrome, чтобы сообщить об обнаруженных ими уязвимостях. Если факт наличия уязвимости подтвердится, будет выпущено исправление и, как правило, опубликовано уведомление о безопасности, а исследователь получит (обычно финансовое) вознаграждение от программы.
Такие компании, как Google, инвестируют достаточно солидный капитал в свои программы Bug Bounty, поскольку это позволяет компаниям привлекать множество исследователей, обещая им финансовую выгоду в случае обнаружения ими каких-либо проблем с тестируемым программным обеспечением.
В программе Bug Bounty выигрывают все: поставщику удается повысить безопасность своего программного обеспечения, а исследователям платят за их находки. Мы обсудим эти программы позже, так как я считаю, что инициативы Bug Bounty заслуживают отдельного раздела в ландшафте аспектов безопасности.
Джейк Арчибальд (Jake Archibald) — разработчик-«адвокат» в Google, который обнаружил уязвимость, затрагивающую несколько браузеров. Он задокументировал свои усилия по ее обнаружению, процесс обращения к различным вендорам, затронутым уязвимостью, и реакцию представителей вендоров в интересном блог-посте, который я рекомендую вам прочитать.
Браузер для разработчиков
К настоящему времени мы должны были понять очень простую, но довольно важную концепцию: браузеры — это всего лишь HTTP-клиенты, созданные для «усредненного» интернет-пользователя.
Браузеры определенно более мощны, чем простой HTTP-клиент для какой-либо платформы (например, вспомните, что у NodeJS есть зависимость от ‘http’), но, в конце концов, они «просто» продукт естественной эволюции более простых HTTP-клиентов.
Что до разработчиков, нашим HTTP-клиентом, вероятно, является cURL от Daniel Stenberg, одна из самых популярных программ, которую веб-разработчики используют ежедневно. Она позволяет нам осуществлять HTTP-обмен на лету, отправляя HTTP-запрос из нашей командной строки:
В приведенном выше примере мы запросили документ по адресу localhost:8080/, и локальный сервер успешно на него ответил.
Вместо того, чтобы выгружать тело ответа в командную строку, мы использовали флаг -I, который сообщает cURL, что нас интересуют только заголовки ответа. Сделав еще шаг вперед, мы можем дать команду cURL выдавать немного больше информации, включая фактический запрос, который он выполняет, чтобы мы могли лучше изучить весь этот HTTP-обмен. Опция, которую мы должны использовать: -v (verbose, подробнее):
Примерно та же информация доступна в популярных браузерах посредством их DevTools.
Как мы уже видели, браузеры представляют собой не более чем сложные HTTP-клиенты. Конечно, они добавляют огромное количество функций (например, управление учетными данными, создание закладок, история и т. Д.), Но правда в том, что они были рождены как HTTP-клиенты для людей. Это важно, так как в большинстве случаев вам не нужен браузер для проверки безопасности вашего веб-приложения, когда вы можете просто «закурлить его» и посмотреть на ответ.
И последнее, что я хотел бы отметить: браузером может быть все, что угодно. Если у вас есть мобильное приложение, которое использует API-интерфейсы по протоколу HTTP, то такое приложение является вашим браузером — оно просто настроено вами по индивидуальному заказу, которое распознает только определенный тип HTTP-ответов (из вашего собственного API).
Погружение в протокол HTTP
Как мы уже упоминали, что собираемся наиболее подробно осветить фазы HTTP-обмена и рендеринга, поскольку именно они предоставляют наибольшее количество векторов атак для злоумышленников.
В следующей статье мы более подробно рассмотрим протокол HTTP и попытаемся понять, какие меры мы должны предпринять для обеспечения безопасности HTTP-обмена.
Что еще о вас может знать браузер
Всем известно, что находясь внутри браузера, нельзя извлечь достаточное количество информации о его пользователе с помощью простого JavaScript. Служебная информация, вроде имени браузерного движка, операционной системы и их версий хоть и дает общее представление о пользователе (и об аудитории в целом), но все же не является всеобъемлющей.
Для комплексного анализа пользователя используется User-ID в Universal Analytics, но с помощью независимых программных компонентов, запущенных и находящихся где-то в памяти компьютера рядом с браузером, тоже можно собирать данные о пользователе. Полученная непосредственно из памяти браузера информация позволит осуществить анализ как отдельного пользователя, так и всей аудитории. Здесь будет рассмотрено семейство браузеров на движке Webkit и на конкретном примере браузера Google Chrome.
Браузер как хранилище интересной информации
Ежедневно миллионы людей доверяют своему веб-браузеру самую сокровенную информацию: личные и банковские данные, списки избранных сайтов. Большая часть действительно «вкусной» информации (в первую очередь, для злоумышленников) скрывается как самим браузером (менеджеры паролей с шифрованием), так и веб-ресурсами, которыми люди пользуются с помощью браузера (безопасно написанный и отлаженный код, SMS-оповещения/подтверждения и т.д). Но помимо этого остаются открытыми и легкодоступными данные, вроде исходного кода страниц. Ведь именно там и находится большинство того материала, на основе которого и можно произвести комплексный анализ пользователей. И материал этот отнюдь не одного лишь технического характера.
Сами по себе браузеры (особенно на базе Chromium) построены таким образом, чтобы о пользователях «утекало» как можно меньше информации во внешний мир. Т.е разработчики всячески пытаются обезопасить людей от всевозможных, пусть даже и несущественных утечек. Google Chrome, к примеру, создает для каждой отдельной вкладки свою «песочницу» в виде отдельного процесса. О деталях можно узнать, перейдя по локальной ссылке: chrome://memory Логично предположить, что каждая такая отдельная вкладка-процесс хранит исходный код собственной страницы.
Как узнать то, что знает браузер?
Процесс браузера ничем не отличается от других процессов операционной системы, а потому и он точно так же хранит все свои данные в оперативной памяти и для него свойственны все те же принципы секторной памяти. Программные компоненты, будучи запущенными в пределах ОС, находятся на одном программном уровне с браузером. Это дает возможность прочитать память браузера, снять её дамп.
Для демонстрации был создан небольшой тестовый проект на C#, позволяющий собирать сорцы исходного кода из памяти браузера. Исходный код проекта можно посмотреть в репозитории BitBucket. Утилита для непосредственного использования — здесь.
Теперь стоит понять, от чего же зависит качество сбора информации из исходных кодов открытых страниц браузера, располагающихся в памяти. Chromium — это OpenSource-проект, так что достаточно немного покопаться в его исходном коде, чтобы прояснить многие базовые аспекты.
Например, то, как устроена страница веб-документа. В классе Document, являющимся частью движка WebKit, есть вот такой код(С++):
Из этого кусочка можно судить, например, о том, что всю информацию о сущностях веб-страницы браузер хранит в объектах, являющихся иерархичными по своей структуре. В этом можно убедиться, заглянув и в каталог всех известных движку WebKit HTML-элементов.
Сочетая эту информацию со знаниями о том, как операционная система выделяет память для нового программного объекта, получается, что находиться в памяти HTML код страницы может в совершенно раздробленном виде.
Сканирование памяти и вычленение разведданных
Предположим, один из пользователей открыл у себя в браузере новую вкладку (вот такую). Что в этом простом случае, казалось бы, можно извлечь?
Например, то, что искал пользователь в поисковой системе, и что еще не было стерто браузером из памяти:
Можно узнать и некоторые персональные данные. Например, почтовый ящик конкретного пользователя:
С помощью анализатора дампа также удалось получить и исходный код страницы целиком. По всей видимости, где-то в программном коде браузера формируется строка, содержащая весь исходный код веб-страницы. Проанализировать его можно как вручную, так и с помощью всевозможных HTML-парсеров.
Часто полезную информацию получается извлечь благодаря механизму так называемого «межсайтового сопряжения». Например, когда определенные веб-ресурсы поддерживают авторизацию через аккаунт Google+, Facebook и т.д. В таком случае уже удастся получить наиболее приближённые к конкретному пользователю аналитические данные.
Предположим у целевого пользователя есть google-аккаунт и этот пользователь прокоментировал определенную сущность на сайте, который сопряжен с его аккаунтом Google. В таком случае бОльшая часть информации о google-пользователе будет инкапсулирована внутри исходного кода веб-страницы. Вот примерная часть дампа, которую можно будет вычленить из большинства страниц, интегрированных с Google:
Как минимум удалось получить ссылку на профиль пользователя, его имя и фамилию. На основе уже лишь этих данных можно развернуть широкомасштабный сбор информации о пользователе.
Что в итоге?
Часто бывает так, что крупные веб-проекты выпускают отдельные приложения для своих клиентов. Эти приложения, как правило, функционируют с браузером на одном уровне — на уровне операционной системы. Такой подход позволяет не только упрощать некоторые функции для пользователя, но и собирать о нем ценные аналитические данные, которые редко представляется возможным собрать в пределах самого браузера стандартными методами веб-аналитики. Некоторые производители клиентских приложений могут даже получать из памяти браузера глубоко личные данные, чтобы максимально «узнать» своего пользователя.
Внутри памяти браузера содержится огромное количество информации о пользователе. Вычленить базовые куски можно с помощью простого анализатора памяти процесса. Причем в этих кусках может содержаться информация широкого спектра. В конечном итоге именно эти базовые кусочки и могут лечь в основу комплексного анализа как отдельного пользователя, так и целой аудитории.
Избавляемся от отслеживания и сбора данных в браузерах
При посещении веб-сайтов в современных браузерах данные пользователей обязательно фиксируются. После этого владельцы передают их третьим лицам для использования в рекламных целях. Мы поговорим об обеспечении конфиденциальности информации в браузерах и о возможности ограничить сбор сведений на веб-сайтах.
Введение
При каждом входе сайт запрашивает информацию у вашего браузера. Что это за информация? Некоторые данные необходимы для правильного отображения сайта: например, сведения о языке устройства помогают автоматически выбрать подходящую локализацию, о типе (компьютер, мобильный телефон) — открыть более удобную мобильную версию сайта, если вы пользуетесь смартфоном, и т. д. Но не всегда собранная информация работает на ваше удобство: её также могут использовать для сбора статистики и для продажи сторонним лицам, например рекламным агентствам, интернет-магазинам и т. д. Так появляется контекстная реклама. И чем больше информации о вас соберут, тем более уникальным пользователем интернета вы становитесь. Плохо ли быть уникальным пользователем — тема отдельной статьи. Сегодня посмотрим на способы снизить свою уникальность.
Собираемая информация и способы сбора
Перечень собираемой информации — большой и обширный. Выделим основные блоки:
Это лишь некоторые примеры. Подробный перечень можно посмотреть здесь.
Совокупность такой информации называется цифровым отпечатком браузера (fingerprint).
Сбор сведений осуществляется сразу при подключении к сайту, так как браузер отправляет определённые данные при запросе веб-страницы. Но наиболее информативными являются cookie-файлы. В основном они используются для запоминания таких полезных вещей, как данные для входа в учётную запись или содержимое корзины на сетевой торговой площадке. Также на них полагаются различные трекеры (фрагменты сайтов, анализирующие и запоминающие ваши действия на сайте). Поскольку большинство трекеров написано на JavaScript, далее по тексту будет упоминаться именно этот язык программирования.
Проверка текущего состояния приватности
Для оценки текущего состояния приватности (наличия уникального отпечатка) достаточно открыть настройки браузера и посмотреть, сколько всего разрешено, но можно пойти и с другого конца. Есть специальные сайты, которые собирают информацию и показывают её вам. Вот некоторые из них: deviceinfo.me, на который мы ссылались выше, ipper.ru, ipleak.com, coveryourtracks.eff.org. Последний будем использовать для определения наличия уникального отпечатка браузера.
Рисунок 1. Пример интерфейса deviceinfo.me
Рисунок 2. Отображение уникальности отпечатка браузера до настройки
Стрелками обозначены пункты, на которые стоит обратить внимание. Разберём их более подробно. Первый и второй элементы показывают, блокируются ли трекеры вашим браузером (в данном случае — нет). Третий элемент отображает наличие уникального отпечатка, в нашем случае он есть. Пункт 4 — статистические данные; сейчас отпечаток уникален среди более чем 200 000 протестированных браузеров.
Настройка приватности в браузерах
Посмотрим, какие настройки в плане приватности дают наиболее популярные браузеры на Windows: Google Chrome, Mozilla Firefox, Microsoft Edge, «Яндекс.Браузер», а также Safari для владельцев устройств Apple.
Оговоримся, что каждый должен настраивать свой браузер под себя; при этом не стоит забывать, что «полная анонимность» тоже является отличительным признаком и может привлечь ещё больше внимания к вам. Ниже будут рассмотрены настройки, которые повышают приватность, но не делают использование браузера критически неудобным.
Google Chrome
У Chrome есть режим «инкогнито», который обеспечивает защиту конфиденциальности только от других пользователей устройства, с которого вы выходите в интернет. Включается этот режим в правом верхнем углу экрана (нажмите на значок «Настройка и управление Google Chrome» → «Новое окно в режиме инкогнито») или комбинацией клавиш «Ctrl+Shift+N». В целом включить режим инкогнито быстрее, чем чистить историю посещений и файлы cookie после посещений интернет-ресурсов, но в плане приватности данный режим бесполезен, браузер передаёт точно такое же количество информации, что и без него. Схожая ситуация в подобных режимах наблюдается и у остальных браузеров.
Попробуем сделать Chrome более приватным. Переходим в настройки браузера, открываем вкладку «Синхронизация сервисов Google» и отключаем все представленные там возможности. В следующей вкладке — «Автозаполнение» — поступаем аналогично. А вот вкладку «Файлы cookie и другие данные сайтов» в разделе «Конфиденциальность и безопасность» настраиваем как на рисунке ниже.
Рисунок 3. Настройки конфиденциальности и безопасности в Google Chrome
Далее приводим вкладку «Настройки сайтов» к следующему виду (всё запрещаем).
Рисунок 4. Настройки сайтов в Google Chrome
И под конец открываем вкладку «Дополнительные» → «Система» и отключаем первые две опции.
Проверяем настройки на приватность и получаем результаты приведённые на рисунке ниже.
Рисунок 5. Отображение уникальности отпечатка браузера после настройки
Теперь наш браузер блокирует отслеживание, хотя некоторая информация всё равно доступна, например наш IP-адрес и используемый браузер. Впрочем, надо проверить удобство использования.
Рисунок 6. «Яндекс.Карты» после настройки приватности
Рисунок 7. Google Maps после настройки приватности
Рисунок 8. YouTube после настройки приватности
Рисунок 9. Anti-Malware.ru после настройки приватности
Как видим, из этой выборки сайтов только наш работает корректно. Проблемы с функциональностью обусловлены запретом использования JavaScript. Чтобы решить их, можно зайти в «Настройки» → «Конфиденциальность и безопасность» → «Настройки сайтов» → «Контент» → «JavaScript» и внизу окна добавить необходимые сайты в качестве исключений.
А что будет, если снова включить использование JavaScript? Давайте посмотрим на рисунки ниже.
Рисунок 10. Chrome после настройки, но со включённым JavaScript
Как видим, результаты слабо отличаются от изначальных, а защита от отслеживания даже ухудшилась. Это обусловлено тем, что большая часть информации собирается с помощью JavaScript. Впрочем, теперь сервису удаётся уточнить уникальность отпечатка: каждый 41556-й браузер совпадает с нашим.
Рисунок 11. Пример собираемой информации со включённым JavaScript
Рисунок 12. Пример собираемой информации с отключённым JavaScript
Результат налицо, но не стоит забывать, что большинство интернет-ресурсов перестанут отображаться или работать корректно.
Microsoft Edge
Microsoft Edge разработан на той же платформе, что и Google Chrome, поэтому в части настроек приватности и их результативности Edge аналогичен ему. Ниже представлены настройки для Edge.
Вкладка «Конфиденциальность, поиск и службы»:
Вкладка «Файлы cookie и разрешения сайтов»:
Mozilla Firefox
Заходим в «Настройки» → «Приватность и защита»:
Рисунок 13. Отображение данных по браузеру до настройки приватности
Рисунок 14. Отображение данных после настройки
Мы пока не отключали JavaScript, поэтому улучшилась только защита от отслеживания.
Но Mozilla Firefox позволяет ещё более детально настроить свои параметры. Для этого в адресной строке надо ввести «about:config», перейти на этот внутренний адрес и согласиться с предупреждением, которое будет вам отображено. Далее вводим представленные ниже параметры и меняем их значения.
Нам надо включить (значение «true»):
Отключаем (значение «false»):
В указанных выше настройках главным является параметр «privacy.resistFingerprinting». Он подменяет информацию о вас на более распространённую. Результаты представлены ниже.
Рисунок 15. Используемая операционная система и версия браузера до настроек
Рисунок 16. Используемая операционная система и версия браузера после настроек
Рисунок 17. Значение отпечатка браузера до настроек
Рисунок 18. Значение отпечатка браузера после настроек
Для усиления эффекта «слияния с толпой» можно отключить русский язык. Для этого зайдите в настройки и в поиске введите «язык», отключите «Использовать настройки “Русский (Россия)” вашей операционной системы для форматирования даты, времени, чисел и единиц измерения» и уберите русский язык из предпочитаемых.
Рисунок 19. Настройка языка
Safari
В первую очередь можно попробовать режим «частного окна». Для этого надо выбрать «Файл» → «Новое частное окно».
При использовании частного доступа происходит следующее:
Также желательно в меню «Safari» → «Настройки» → «Конфиденциальность» включить параметры «Мешать перекрёстному отслеживанию» и «Блокировать все файлы cookie» (может повлиять на работу веб-ресурсов). Нажав на кнопку «Управление данными веб-сайта» можно посмотреть на собираемую сайтами информацию и удалить её.
В Safari можно составить отчёт о конфиденциальности, содержащий список известных трекеров, которым было запрещено отслеживать ваши действия. Для этого выберите «Safari» → «Отчёт о конфиденциальности».
«Яндекс.Браузер»
Отечественный браузер также разработан на основе Google Chrome. Приведите настройки в соответствие рисункам ниже.
Рисунок 20. Настройки блокировки рекламы
При этом реклама на сайтах «Яндекса» не блокируется.
Рисунок 21. Настройки персональных данных
Рисунок 22. Настройка защиты от угроз
Рисунок 23. Настройки использования cookie-файлов
Как и в остальных браузерах, выключение использования JavaScript приводит к неработоспособности большинства сайтов.
Расширения для браузеров
Расширения предназначены для упрощения сёрфинга интернета, но при этом обеспечивают хороший уровень приватности. Рассмотрим результаты работы двух расширений: uBlock Origin (Chrome, Firefox) и NoScript (Chrome, Firefox). Они являются блокировщиками не только рекламы, но и того же JavaScript. Они автоматизируют процесс блокировки согласно встроенным фильтрам, которые можно настроить при необходимости. Например, при просмотре онлайн-трансляции расширения показали следующее (рис. 24, 25).
Рисунок 24. Результат работы uBlock
Рисунок 25. Результат работы NoScript
Таким образом можно отследить, кто собирает информацию о вас, и запретить это делать. Но если заблокировать всё, то можно нарушить работоспособность интернет-ресурса.
Вернёмся к тестам. Проверять будем на Firefox, настроенном по всем рекомендациям выше и со включёнными uBlock и NoScript.
Рисунок 26. Отображение уникальности отпечатка браузера после настройки
Рисунок 27. Пример собираемой информации
Теперь защита максимальна: отслеживание заблокировано, отпечаток браузера неинформативен (каждый 125-й браузер выглядит так же, как наш). При этом если страдает работоспособность популярных интернет-ресурсов, то можно быстро и удобно включить JavaScript или убрать блокировку для конкретных доменов, для всей веб-страницы и т. п. Хорошим бонусом будет отсутствие рекламы.
Иные способы повышения приватности
Специальные браузеры
Есть специальные браузеры, нацеленные на обеспечение анонимности в интернете. Самым популярным из них является Tor. В рамках данной статьи мы не будем рассматривать их эффективность и их настройки; получить информацию такого рода можно здесь.
Шифрование DNS-трафика
Система доменных имён (DNS) преобразует удобочитаемые URL (например, «www.anti-malware.ru») в IP-адреса (например, «34.107.151.202»). Когда пользователь вводит доменное имя в веб-браузере, последний отправляет запрос на DNS-сервер, а тот в свою очередь возвращает IP-адрес для подключения. Запросы и ответы DNS пересылаются по сети в виде обычного текста в незашифрованном виде. На данный момент есть два протокола шифрования DNS:
В современные браузеры встроена возможность использования DoH, но она отключена по умолчанию.
DoH отправляет DNS-запрос в зашифрованном HTTPS-соединении. Однако DoH работает только на сайтах, которые могут поддерживать этот протокол.
Для включения DoH в Firefox нужно зайти в настройки сети и щёлкнуть по «Включить DNS через HTTPS». Для браузеров на Chromium понадобится ввести в адресную строку: имя_браузера://flags/#dns-over-https (вместо «имя браузера» надо вписывать «chrome», «edge» и т. д.).
Различия есть и в принципе работы. DoH в Chrome работает по следующему алгоритму:
В Firefox же появляется посредник между вами и сайтом. По умолчанию таким посредником является DNS-сервер Cloudflare, но вы можете поменять его в настройках.
Выводы
К сожалению, при посещении сайтов собирается большой массив данных о вас, но с этим можно успешно бороться. Для эффективной борьбы со сбором информации мало только настроить браузер, необходимо также использовать и специализированные расширения (не только те, которые были рассмотрены в статье).