Co jsou cookies a Browser Fingerprinting – Jak se chránit před sledováním online?

4.8
(4)

V předchozím článku o soukromí a bezpečnosti na sociálních sítích a messengerech jsme se několikrát zmínili o tom, že šifrování zdaleka není jedinou zárukou sebeobrany proti Velkému Bratrovi.

Tentokrát se také podíváme na bezpečnost a ochranu soukromí, ale z trochu jiného úhlu pohledu. Vysvětlíme vám, jak se můžete před Velkým Bratrem chránit pomocí rozšíření pro prohlížeče, ale těm se budeme věnovat až ve druhé části tohoto seriálu.

Abychom však tomuto tématu porozuměli a pochopili, proč má ochrana vůbec smysl, měli bychom nejprve vědět, kam až Velký Bratr sahá a jak se vůbec může dostat k našim datům. A také to, která data má Velký Bratr nejraději.

V první části se tedy podíváme na browser fingerprinting a cookies.

Browser Fingerprinting

Abychom porozuměli problematice trackingu a Velkého Bratra, musíme nejprve pochopit, jak funguje “browser fingerprinting“.

Fingerprinting prohlížeče je přesnou metodou identifikace jedinečných prohlížečů a sledování online aktivit. Naštěstí existuje mnoho jednoduchých způsobů, jak se browser fingerprintingu vyhnout, ale nejprve se podívejme, co to vlastně browser fingerprinting je.

Wikipedie definuje browser fingerprinting takto:

Fingerprint zařízení, fingerprint stroje nebo fingerprint prohlížeče jsou informace shromážděné o vzdáleném počítačovém zařízení pro účely identifikace. Fingerprinty lze použít k úplné nebo částečné identifikaci jednotlivých uživatelů nebo zařízení, a to i v případě, kdy jsou soubory cookie vypnuty.

To znamená, že když se připojíte k internetu pomocí notebooku nebo smartphonu, vaše zařízení předá přijímacímu serveru mnoho konkrétních údajů o navštívených webových stránkách.

Browser fingerprinting je účinná metoda, kterou webové stránky používají ke shromažďování informací o typu a verzi vašeho prohlížeče, operačním systému, aktivních pluginech, časovém pásmu, jazyku, rozlišení obrazovky a různých dalších aktivních nastaveních.

Tyto údaje se mohou na první pohled zdát zcela obecné a nemusí vzbuzovat dojem, že jsou přizpůsobeny k identifikaci jedné konkrétní osoby. Je však velmi malá pravděpodobnost, že jiný uživatel bude mít 100% identické informace o prohlížeči. Společnost Panopticlick například zjistila, že pouze 1 z 286 777 prohlížečů bude mít stejný “fingerprint” jako jiný uživatel.

A kde přesně zde můžeme najít paralelu s Velkým Bratrem?

Jedinečnost informací o prohlížeči do jisté míry souvisí s vyšetřovací metodou, kterou policie a forenzní týmy používají k identifikaci podezřelých a zločinců na základě otisků prstů na místech činu.

The Integrated Automated Fingerprint Identification System (IAFIS) je obrovská databáze, která uchovává otisky prstů 70 milionů osob z trestních spisů a 31 milionů otisků z občanskoprávních případů. To znamená, že velká část těchto otisků prstů byla shromážděna za účelem analýzy.

A takto nějak funguje i browser fingerprinting. Webové stránky masově shromažďují velké množství údajů o návštěvnících, aby je později mohly použít k porovnání s otisky prohlížečů dosud neznámých uživatelů.

Mezinárodní reklamní průmysl a marketingové stroje naše data milují. Metody sledování a sběru dat jsou velmi cenné, protože umožňují reklamním společnostem vytvořit profil na základě vašich údajů. Čím více údajů tyto společnosti mají, tím přesněji na vás mohou cílit reklamu, což (nepřímo) znamená vyšší příjmy pro společnost.

Co jsou cookies? – Metody pro fingerprinting/tracking

V následujících kapitolách najdete informace o tom, jak webové stránky komunikují s vaším prohlížečem a jak získávají informace. Z velké části za to mohou právě naše úžasné cookies, nicméně cookies nejsou všechno. K podrobnostem se však dostaneme později.

Cookies

Běžným způsobem, jakým webové stránky shromažďují vaše údaje, je používání souborů cookies.

Mnoho lidí tak nějak “tuší”, že cookies jsou něco velmi špatného, a ptají se mě, jak by se jim dalo úplně vyhnout.

Ale co jsou vlastně cookies a jsou opravdu tak špatné?

Začněme nejprve historií a obecnou charakteristikou. HTTP cookie je označení pro malé množství dat, které webová stránka ukládá do počítače uživatele prostřednictvím jeho webového prohlížeče. Jedná se o standardní funkci obsaženou v protokolu HTTP (HyperText Transfer Protocol), který se používá od června 1994.

Jeho autorem je Lou Montulli, zaměstnanec společnosti Netscape (kdysi dominantního webového prohlížeče). Společnost Montulli vytvořila soubory cookie na počátku 90. let, aby mohla pracovat na vývoji aplikace pro elektronické obchodování. Montulli tehdy zjistil, že by bylo velmi užitečné mít možnost zapamatovat si konkrétního uživatele, aniž by se musel někam přihlašovat a zbytečně vyplňovat údaje. A tak se zrodily cookies, které dnes používají téměř všechny e-shopy.

A jak cookies fungují?

Cookie může být vytvořen buď serverem (a odeslán prohlížeči spolu s vygenerovanou stránkou ve formátu HTTP), nebo samotným prohlížečem při interpretaci stránky pomocí JavaScriptu.

V praxi to vypadá tak, že webový server přesune do prohlížeče kousek kódu JavaScriptu (prohlížeč pak uloží soubor cookie někam na disk počítače návštěvníka webu, obvykle do složky dočasných souborů). Prohlížeč tento kód lokálně spustí a ten pak spokojeně shromažďuje data. Shromažďuje například rozlišení obrazovky, hardware, IP adresu, časové pásmo, typ prohlížeče atd. JavaScript pak vytvoří hash vašich dat (browser fingerprint) a odešle jej zpět na server – cookies se pak přenášejí při každé výměně informací mezi serverem a prohlížečem. K nejčastěji obchodovaným fingerprint údajům patří především bankovní údaje, údaje o pojištění, personalizované reklamy atd.

JavaScript má navíc možnost komunikovat s návštěvníky a provádět určité úkoly, například přehrávat video. Tyto interakce také vyvolávají odezvu, a tedy o vás opět získávají určité informace.

Koloběh cookies mezi webovými servery a návštěvníky webu
Koloběh cookies mezi webovými servery a návštěvníky webu

Podle toho, jak dlouho mohou cookies existovat, rozlišujeme dva základní typy cookies – session cookies a persistent cookies.

Session Cookies

Session cookies jsou takové cookies, které se vymažou, jakmile skončí vaše session. To znamená, že cookies zmizí, jakmile zavřete okno prohlížeče, a nikde se neukládají – váš prohlížeč takové cookies rozpozná, protože například nemají nastavené datum expirace. Tomuto druhu cookie vděčíme například za to, že naše produkty zůstávají pěkně v nákupním košíku, i když jsme zavřeli webové stránky obchodu (ale nezavřeli prohlížeč).

Persistent Cookies

Persistent cookies mají naproti tomu nastavené datum vypršení platnosti, např. dva roky po návštěvě webové stránky. Toto datum však může být posunuto při každé další návštěvě webové stránky.

Přesně takto funguje například soubor cookie s názvem _ga, který služba Google Analytics používá k “měření” konkrétních návštěvníků. Proto se persistent cookies někdy nazývají i “tracking cookies” (sledovací soubory cookie).

Podle toho, kdo cookies zakládá, je lze rozdělit na 1st Party a 3rd Party Cookies. Z technického hlediska jsou oba typy cookies víceméně stejné, shromažďují stejné typy informací a plní stejné funkce, ale liší se způsobem použití.

1st Party Cookies

1st Party Cookies se používají především k zefektivnění uživatelského prostředí na webových stránkách.

Jsou přenášeny skriptem, který běží na hostitelské doméně (webové stránky, které navštěvujete a které vidíte v adresním řádku prohlížeče). Tyto soubory cookie jsou považovány za zcela nekontroverzní a bezpečné, lépe procházejí různými firewally a přísnějšími bezpečnostními pravidly některých prohlížečů (např. Safari).

Webové stránky vytvářejí 1st Party Cookies téměř při každé návštěvě, ale v některých případech je mohou vytvářet i přímo některé počítačové skripty. Každopádně; 1st Party Cookies jsou pro každou webovou stránku jedinečné.

Ačkoli 1st Party Cookies plní různé úkoly, pro zjednodušení je můžeme rozdělit do tří základních kategorií, které každý dobře zná:

  • Greeter – tato 1st Party Cookie vás rozpozná, když navštívíte webovou stránku, a umožní vám přihlásit se pomocí přihlašovacího ID a hesla.
  • Nákupní košík – pamatuje si všechny položky ve vašem košíku nebo na wish listu.
  • Personal Shopper – vidí, co se vám líbí, a na základě vašich preferencí vám doporučí další položky k nákupu.

3rd Party Cookies

3rd Party Cookies jsou již vytvořeny jinými stranami než vlastníkem webových stránek. Většinou se jedná o sledovací soubory cookie vytvořené reklamními společnostmi. Jejich sledování vám umožní zobrazit reklamy na produkty podobné těm, které kupujete.

3rd Party Cookies používají společnosti, které vám chtějí inzerovat a prodávat zboží.

Mezi 1st Party Cookies a 3rd Party Cookies je podstatný rozdíl – 3rd Party Cookies může vytvořit kdokoli, ale 1st Party Cookies může vytvořit pouze hostitelská webová stránka.
Mezi 1st Party Cookies a 3rd Party Cookies je podstatný rozdíl – 3rd Party Cookies může vytvořit kdokoli, ale 1st Party Cookies může vytvořit pouze hostitelská webová stránka.

Zde je seznam některých typů společností, které ve vašem prohlížeči zanechávají soubory cookie, aby vás mohly sledovat:

  • Ad-retargeting Services – vytvářejí malé soubory cookie, které vás zachytí při návštěvě webové stránky se stejným cookie kódem. Poté vás sledují napříč internetem, vidí, kam se ještě díváte, a ve vašem prohlížeči generují reklamy pro své klienty.
  • Plug-iny sociálních médií – propojují vás, propojují navštívenou stránku a propojují účet této stránky na sociálních médiích. Nejenže nastaví propojení na Pinterest nebo YouTube, ale také vás začnou sledovat a mohou monitorovat vaše používání této sociální sítě.
  • Chat Box Pop-upy – nabídnou vám pomoc, pokud chatujete s botem. Tyto cookies se obvykle řadí mezi session cookies, a proto by měly zmizet vždy, když zavřete prohlížeč.

3rd Party Cookies nemusí být nutně problematické, ale mohou způsobit problémy, pokud jsou používány způsobem, který shromažďuje a používá údaje bez přímého souhlasu.

Z hlediska “užitečnosti” rozděluji čtyři základní typy 3rd Party Cookies :

  • Helpful Cookie – tato 3rd Party Cookie je soubor, se kterým byste pravděpodobně souhlasili, kdybyste měli možnost volby. Jedná se o soubor cookie, který vás může spojit s programem spuštěným na webové stránce, který vám umožní např. morfovat váš obličej do zvířecích obličejů. Může se jednat o chatbota nebo jiný program prodaný tvůrci webu.
  • Sales Cookie – jedná se o neomezený tracker, který se používá k vytváření cílené reklamy (a tedy k zobrazování reklam na položky, které vyhledáváte).
  • Shady Cookie – účelem této cookie je sledovat vás na internetu a shromažďovat o vás určité informace. Tyto informace pak cookie kombinuje s dalšími soubory cookie, které obsahují identifikační údaje. Cílem je prodávat vaše údaje dalším společnostem, pravděpodobně za účelem prodeje zboží, o kterém možná ani nevíte.
  • Padouch – tato 3rd party cookie je velice nekalá. Plánuje udělat něco, co by se vám nelíbilo. Několik z nich budou zloději identity. Některé z nich plní feedy na vašich sociálních sítích nesmysly. Je třeba si uvědomit, že jediný pixel v reklamě může obsahovat 3rd party cookie a předat jej vašemu prohlížeči!

A co 2nd Party Cookies?

Pokud existuje první a třetí strana, měla by existovat i druhá strana, ne? Ano, soubory 2nd Party Cookies také existují, ale jejich účel je mnohem omezenější. Tyto cookies sdílejí údaje mezi třemi subjekty – spotřebitelem, webovou stránkou, kterou spotřebitel navštívil, a partnerem (partnery) webové stránky.

2nd Party Cookies se používají především v dohodách o sdílení dat, ačkoli jejich používání není příliš populární. Mnohé z nich reprezentují partnerství pro shromažďování údajů.

Jsou užitečné pouze pro internetové obchodníky, kteří jsou zároveň zprostředkovateli údajů.

First-party cookiesThird-party cookies
Kdo vyrobil cookies?Pocházejí od vydavatele webových stránek. Může to být kód JavaScriptu nebo součást serveru webové stránky.Reklamní servery a další servery je načítají do vašeho prohlížeče. Nepocházejí z hlavní webové stránky, kterou jste navštívili.
Kde jsou cookies používány?Funguje pouze na webové stránce, která kód vytvořila.Přístupné na všech webových stránkách, které načítají kód 3rd Party serveru.
Kdo může cookies přečíst?Lze je číst pouze na původních webových stránkách.Může si je přečíst každý, kdo má ten správný program.
Kdy lze cookie přečíst?Lze je číst pouze v případě, že je původní uživatel na původní webové stránce aktivní.Uživatelé si je mohou kdykoli přečíst.
Co s nima můj prohlížeč dělá?Podporovány všemi prohlížeči. Prohlížeče poskytují uživatelům nástroje pro odmítnutí souborů cookie.Jsou podporovány všemi prohlížeči, ale prohlížeče je stále častěji blokují nebo nabízejí způsoby, jak je obejít.
Srovnání 1st Party a 3rd Party Cookies

1st Party Cookies tu ještě nějakou dobu zůstanou, protože přinášejí výhody jak webovým stránkám, tak lidem, kteří je používají. Jednoho dne však možná někdo vymyslí lepší postup – elegantnější způsob, jak plnit jejich funkci.

Zákony se zde příliš zabývat nebudeme, protože legislativní situace se neustále mění. Zmíníme však několik klíčových bodů – směrnice o soukromí a elektronických komunikacích (ePrivacy Directive – ePD), tj. směrnice EU o ochraně údajů a soukromí v digitálním věku, byla vydána již v roce 2002. Poté regulační orgány EU zpřísnily regulaci a v roce 2016 přišly s obecným nařízením o ochraně osobních údajů, známým jako GDPR.

V roce 2021 byla vytvořena povinnost opt-out/opt-in, tj. povinnost získat svobodný, informovaný a jednoznačný souhlas s ukládáním a zpracováním všech souborů cookie, které jsou nezbytné pro provoz stránek.

Společnost Google například oznámila, že v letech 2022 až 2023 postupně ukončí používání souborů 3rd Party Cookies. Místo toho zkoumá způsoby, jak reklamy používat otevřeněji a “poctivěji”.

3rd Party Cookies tedy pomalu mizí. Částečně se o to zasloužili evropští regulátoři (ke kterým se připojila například kalifornská vláda), ale co je důležitější, většina moderních prohlížečů je již blokuje.

Moderní prohlížeče navíc podporují i jiné způsoby ukládání dat, jako je ukládání pomocí souborů cookie:

  • localStorage – jedná se o úložiště prohlížeče, ke kterému se přistupuje pomocí JavaScriptu. Data jsou zde uložena “navždy”, nemají omezenou trvanlivost (jako je tomu u souborů cookie).
  • sessionStorage – je stejné jako localStorage, ale jeho obsah se po zavření prohlížeče odstraní. Funguje tedy stejně jako session cookies.

Výhody alternativního ukládání dat lze zjednodušeně shrnout následovně:

  • větší úložiště dat,
  • nezpomalují komunikaci se serverem,
  • snáze se s nimi pracuje.

Nevýhodou těchto alternativních technologií může být to, že se data nedostanou na server automaticky. Lze je však použít pro webovou analýzu nebo pro účely autentifikace uživatelů. Pokud však potřebujete ukládat data pro offline použití webu nebo se zabýváte personalizací, localStorage nebo sessionStorage jsou vynikající náhradou za soubory cookie.

Canvas fingerprinting

Canvas fingerprinting je v době psaní tohoto článku (2022) celkem novinkou v oblasti získávání informací o prohlížečích a představuje poměrně zajímavý a elegantní způsob sledování.

Jak funguje canvas fingerprinting? Jednoduše řečeno, webové stránky jsou napsány v kódu HTML5 a v tomto kódu je malý kousek dalšího kódu, který odebírá váš browser fingerprint.

HTML5 je kódovací jazyk používaný k vytváření webových stránek. Je to základní kámen každého webu. V rámci kódovacího jazyka HTML5 existuje prvek označovaný jako “canvas”.

Původně se prvek <canvas> v jazyce HTML používal ke kreslení grafiky na webové stránce.

Wikipedie poskytuje následující vysvětlení, jak použití prvku HTML5 canvas vytváří browser fingerprinty:

Když uživatel navštíví stránku, skript pro vytvářeníbrowser fingerprintů nejprve nakreslí text písmem a velikostí podle jeho výběru a přidá barvy pozadí. Poté skript zavolá metodu ToDataURL rozhraní Canvas API, aby získal pixelové údaje Canvasu ve formátu dataURL, což je v podstatě Base64 kódovaná reprezentace binárních pixelových údajů. Nakonec skript vytvoří hash textově zakódovaných pixelových údajů, který slouží jako fingerprint.

To jednoduše znamená, že HTML5 prvek <canvas> generuje na webové stránce určité údaje, jako je nastavení velikosti písma a aktivní barvy pozadí prohlížeče návštěvníka. Tyto informace slouží jako jedinečný fingerprint každého návštěvníka.

Na rozdíl od toho, jak fungují soubory cookie, canvas fingerprint do vašeho počítače nic nenahrává, takže nebudete moci odstranit žádná data, protože nejsou uložena ve vašem počítači nebo zařízení, ale jinde.

Typické oznámení prohlížeče Tor o webové stránce, která se pokouší získat canvas fingerprint.
Typické oznámení prohlížeče Tor o webové stránce, která se pokouší získat canvas fingerprint.

Otestujte si svůj prohlížeč

Existují různé nástroje, které můžete použít k otestování identity vašeho prohlížeče. Můžete použít například Am I Unique, Panopticlick nebo Unique Machine.

Každý z těchto nástrojů zkontroluje fingerprint vašeho prohlížeče a vyhodnotí, nakolik jsou vaše data jedinečná.

Nástroj Am I Unique používá komplexní seznam 19 atributů (datových bodů). Mezi nejdůležitější atributy patří, zda jsou povoleny soubory cookie, jakou platformu používáte, jaký typ prohlížeče (a jeho verzi) a počítač používáte a zda máte zablokované tracking cookies.

Na webové stránce Am I Unique stačí kliknout na položku “View my browser fingerprint” a spustit test.

Výsledky mého fingerprintu dle Am I Unique – konkrétní údaje o jednotlivých atributech jsou k dispozici také níže na jejich stránce.
Výsledky mého fingerprintu dle Am I Unique – konkrétní údaje o jednotlivých atributech jsou k dispozici také níže na jejich stránce.

Závěr

Už víme, jak funguje tracking a co se děje na jeho pozadí. Cílem tohoto článku není moralizovat nebo hodnotit, zda je tracking “dobrý” nebo “špatný”. Měl pouze vysvětlit, co a jak funguje.

Ačkoli jsem v článku jako “Velkého Bratra” označil pouze sběr dat firmami, je třeba si uvědomit, že k datům nemusí mít přístup pouze firmičky, které nám posílají reklamu (na tento standard si obvykle zvykáme pouze my, zhýčkaní Evropané). Data jsou data a každý, kdo se k nim dostane, s nimi může pracovat. Ať už jde o jednoho zákeřného chlápka v mikině s kapucí a notebookem, nebo o supermasivní vládu, která špehuje občany (Číňané by nám o tom mohli říct něco víc). Naše data jsou především naše, a proto jim větší či menší ochrana nemůže uškodit.

K tomu, abychom věděli, že se před fingerprintingem prohlížeče nelze zcela ochránit, vlastně nepotřebujeme žádnou fingerprintingovou analýzu. Proti některým částem fingerprintingu se lze chránit například prostřednictvím služby VPN nebo Tor (která dokáže skrýt naši IP adresu), výběrem konkrétního prohlížeče (s vlastními politikami týkajícími se souborů cookie a trackování), nebo dokonce jednoduchým anonymním oknem. Dobrým nápadem je také mazání historie a cookies (například ve Firefoxu se všechny cookies automaticky vymažou, jakmile ukončíte session) a také se vyplatí být opatrnější při surfování na sociálních sítích Velkého Bratra.

V další části série si však vysvětlíme, jak se před sledováním různého druhu chránit trochu komplexněji, a přitom rychle a snadno pomocí rozšíření pro prohlížeče.

Klikni na hvězdičky pro hodnocení!

Průměrné hodnocení 4.8 / 5. Počet hlasujících 4

Buď první kdo článek ohodnotí

Přihlásit k odběru
Upozornit na
guest
0 Komentáře
Zpětná vazba na text v článku
Zobrazit všechny komentáře
spot_img