.FILE

Stockholm Waterfront 23-24 november 2020

Ingen människa är en ö, speciellt inte när vi surfar

Den personliga integriteten är något som flertalet tar för givet. Ett fåtal kämpar för att vår integritet ska fortsätta vara en naturlig rättighet på nätet. Tyvärr räcker inte minoritetsröster för att få till stånd en hållbar lösning. Majoriteten måste ta ställning för att värna vår egen digitala person, ifall vi anser det vara en rättighet. Innan vi går in på att presentera förslag på åtgärder är det läge att beskriva problembilden. Mycket av det vi skriver om är sedan länge känt, annat är relativt nytt. Vi skulle här vilja peka på framförallt två problem som inte verkar vara intressant nog för att leverantörer av standarder och webbläsare skall engagera sig!

Problemen med CSS

Under konferensen Web 2.0 Security & Privacy 2010 som gick av stapeln förra veckan presenterade forskarna Artur Janc och Lukazs Oljenik hur enkelt användare kartläggs genom att nyttja en standard. Cascading Style Sheets visited används för att göra det enklare för användaren att hålla koll på vilka sidor den har besökt. Det görs genom att markera de sidornas länkar med en rödaktig färg, som illustreras i bilden nedan.

Besökta sajter markerade med rött.

Genom att använda den standardfunktionen kan webbutvecklare enkelt baka in kod på sina webbplatser för att hämta in information från din webbläsare och kartlägga en användares surfvanor. I tillägg till det kan man även söka efter fördjupad information som sökord du har angett, vilka vänner du har på Facebook och en hel del annat.

Säkerhetsforskarna har gjort tester med sina kodexempel och anger att de kan kartlägga upp till 30 000 länkar per sekund i en webbläsare. För att exemplifiera hur det hela går till har de skapat en webbplats på What The Internet Knows About You. I valde att besöka några porrsajter och även WikiLeaks innan vi siktade in vår webbläsare till sajten. Nedan är en bild som visar resultatet.

Enkelt presenterat vilka sidor som har besökts.

Igenkänning via ”Fingerprinting”

Att vissa webbplatser vill lagra s.k. kakor (eng. Cookies) på din dator för att senare kunna identifiera dig när du återvänder är ingen nyhet. På så sätt kan en webbplats både hantera dina personliga inställningar men också kartlägga ditt beteende som användare. Genom att jämföra t.ex. vilken typ av nyheter och vilka reportage du läser kan man skapa en bra bild av dig som besökare. För olika ändamål. Webbplatsen får kanske inte reda på ditt namn men det är inte det viktigaste. Att tillåta kakor som kan användas av flera webbplatser ger givetvis ännu mer information om dig som användare.

Men alla vill inte att deras liv skall vara så lätt att kartlägga. Kakor för flera webbplatser är det knappt någon som tillåter längre och många slänger alla kakor efter en surf-session så det inte skall gå att identifiera dig när du återkommer till en webbplats.

Men blir man då ”privat” och ”osynlig” bara för att man stänger av kakor? Nja, så enkelt är det inte. Din webbläsare lämnar rent tekniskt ut en massa information om t.ex. din skärmstorlek, ditt operativsystem, versionen på webbläsaren, vilka tilläggsprogram du installerat, deras version, vilka typsnitt din skärm stödjer mm. Egentligen ganska oskyldig information kan man tänka. Den är ju bara till för att en webbplats skall kunna anpassa sig så den ser bra ut i din webbläsare.

Problemet är att när man studerar den information som din webbläsare lämnar ut, så är den omfattande och framförallt varierar den beroende på dina personliga förutsättningar. Det är mängder av små-små detaljer och versionsnummer och fakta som om man lägger ihop dem ger ett sorts fingeravtryck av ditt besök på en webbplats!

Detta faktum inspirerade Peter Eckersley hos Electronic Frontier Foundation att göra en studie av hur pass enkelt det är att identifiera en enstaka användare baserat på denna information. Går det med andra ord att strunta i kakor som användaren kan styra och få samma fakta på ett sätt som användaren INTE kan styra?

Deras resultat visar att besökare på en webbplats kan förväntas att vara unik i detta fingeravtryck till en nivå av 1 på nästan 300.000!

För att uttrycka det enkelt – du är inte det minsta osynlig även om du stängt av allsköns kakor! Webbplatser kan utan problem spåra dig, och ännu viktigare, jämföra information med andra webbplatser om ditt beteende!

Vad kan jag göra?

Det vi har beskrivit är inget specifikt för någon enskild webbläsare. Istället är det inbyggda funktioner i standarder som kan missbrukas. Det finns tre generella råd med vad du kan göra:

  • Stäng av historiken i din webbläsare eller använd dig av funktionen Privat Surfning.
  • Hitta ett tilläggsprogram till din webbläsare som hjälper dig att begränsa spåren du lämnar efter dig.
  • Den häftigaste lösningen på problemet vore att skapa en ”kontakta din webbläsar-leverantörsdag” då alla samtidigt ställer kravet. Vilket genomslag det skulle få! Men, i väntan på den manifestationen kan var och en av oss ställa kravet till webbläsartillverkaren.

Länksamling

What The Internet Knows About You:

http://whattheinternetknowsaboutyou.com/

Sida med tips på lösningar och länkar till tilläggsprogram:

http://www.wtikay.com/docs/solutions.html

Fördjupad rapport med alla fakta och metodik:

http://w2spconf.com/2010/papers/p26.pdf

Konferensen Web 2.0 Security & Privacy 2010

http://w2spconf.com/2010/

En sida som med hjälp av din webbhistorik och en kategorisering av webbplatser gör en demografisk gissning på vem du är

http://cssfingerprint.com/

På den här webbplatsen kan du göra en test på hur unika spåren efter din webbläsare är.

https://panopticlick.eff.org/

Det finns också en sida där olika metoder att hantera problemet diskuteras

https://panopticlick.eff.org/self-defense.php

Skriv upp dig på intresselistan!

Genom intresselistan får du info först av alla när höstens fullspäckade program finns tillgängligt, helt utan förbindelse.

Jag samtycker till att ta emot nyhetsbrev och har tagit del av integritetspolicyn

Skriv upp dig på intresselistan!

Genom intresselistan får du info först av alla när höstens fullspäckade program finns tillgängligt, helt utan förbindelse.

Jag samtycker till att ta emot nyhetsbrev och har tagit del av integritetspolicyn