Skocz do treści

Jak zablokować wykradanie adresów z historii w Firefoksie?

Ostatnimi czasy coraz więcej mówi się o nowych metodach śledzenia internautów, wpierw głośno zrobiło się na temat sygnatur przeglądarek, które są swoistym odciskiem palca (ang. fingerprint), na który składają się informacje o wersji przeglądarki, rozdzielczości ekranu, zainstalowanych wtyczkach i czcionkach systemowych. Następnie o sprawdzaniu historii przeglądania.

Pętla się zaciska...

O ile do tematu odcisku przeglądarki jestem nastawiony dość sceptycznie, zwłaszcza jeśli miałaby to być jedyna metoda weryfikacji tożsamości internauty (windowsowych, a nawet linuksowych, użytkowników Firefoksa są miliony w samej Polsce - jak dla mnie taka informacja nie wiele daje), to wchodzenie z buciorami w historię przeglądanych stron, bardzo mi się nie podoba.

Odpytanie historii jest możliwe dzięki pseudoklasie :visited w CSS, która pozwala na różne ostylowanie linków odwiedzonych i nieodwiedzonych. Przy domyślnej konfiguracji Firefoksa, jesteśmy podatni na wgląd w to, co odwiedzaliśmy przez ostatnie 90 dni. Można odwiedzać wrażliwe strony w trybie prywatnym, którym dysponują już chyba wszystkie przeglądarki. Niestety jest to dość uciążliwe, trybu prywatnego nie da się uruchomić w karcie (która powinna mieć po prostu osobny cache), w dodatku trzeba zamknąć aktywną sesję. Na szczęście można inaczej...

Czy odwiedzasz strony porno?

Prosty test na obecność stron porno w historii przeglądania można wykonać na DidYouWatchPorn.com:

DidYouWatchPorn.com: Byłeś grzecznym chłopcem DidYouWatchPorn.com: Byłeś niegrzecznym chłopcem

Nic Ci do tego!

Na szczęście można temu zapobiec, użytkownicy Firefoksa mogą wyłączyć obsługę pseudoklasy :visited. w about:config zmieniając wartość zmienne layout.css.visited_links_enabled na false.

Firefox 3.7 - zmiany w about:config

Na zakończenie dodam, że najgorzej mają się użytkownicy Chrome, które w domyślnej konfiguracji trzyma historię odwiedzonych adresów w nieskończoność. Jeśli jesteś użytkownikiem przeglądarki Google powinieneś „przespacerować się po jej opcjach” lub zmienić ją na Iron.

Spodobał Ci się artykuł? Prześlij kilka złotych na moje konto. Jeśli prowadzisz portal lub czasopismo skontaktuj się, aby odkupić ten artykuł.

Dołącz do toczącej się dyskusji!

Możesz śledzić komentarze czytelników przez RSS , napisać, co o tym wszystkim sądzisz lub zostawić ślad prowadzący do Twojej strony.

  1. Definitywnie zamienić na Iron; jakieś praktyczne zastosowanie tej wartości layout.css.visitedlinksenabled, pomijając szpiegowanie?

    favicon

    redapple

    4 Lut 2010 12:05:58

  2. redapple: Pomijając szpiegowanie, to oczywiście możliwość ostylowania odwiedzonych odnośników (np. zmiana koloru linków do wpisów, które już przeczytałeś).

    Grzegorz

    4 Lut 2010 12:07:22

  3. (Komentarz zmodyfikowany 04.02.2010 o 14:05)

    Chrome nie dba o prywatność?

    favicon

    look997

    4 Lut 2010 13:56:35

  4. look997: Opisywany, w podlinkowanym artykule, problem jest nieistotny. Chrome śledzi w inny sposób - w Firefoksie, IE czy Operze odbywa się to tylko za pomocą ciasteczka Google.

    Jednak Google nie wystarcza już 6-miesięczne ciasteczko, każda przeglądarką Chrome ma unikalne ID, które pozwala dodatkowo uskutecznić śledzenie poczynań internauty.

    Przy okazji polecam zapoznać się z rozszerzeniami GoogleSharing i OptimizeGoogle, które pozwalają anonimowo wyszukiwać i wyłączyć śledzenie kliknięć w usługach Google.

    Grzegorz

    4 Lut 2010 14:04:13

  5. No właśnie, przy instalacji niektórych rozszerzeń do Chrome/Iron pojawia się informacja, że mogą one mieć dostęp do historii czy innych prywatnych danych. Na ile te rozszerzenia są bezpieczne w użyciu? Przykładowo mogę przytoczyć 2, które mnie zainteresowały: minimize to tray i gmail notes. Jest tego więcej, zwłaszcz te do obsługi gmaila lub kalendarza google.

    A jak do śledzenia ma się korzystanie z WOT?

    favicon

    sleazoid

    4 Lut 2010 14:23:19

  6. sleazoid: Na temat dodatków dla Chrome, najlepiej żeby się wypowiedział ktoś kto tego używa, ja raz w miesiącu sprawdzam nowości, nic poza tym - więc o Chrome wiem stosunkowo nie wiele.

    Natomiast, co do WOT to można temu ufać, ostatnio Aza Raskin z Mozilla Labs zaproponował włączenie podobnego mechanizmu na stałe do Firefoksa (w okolicach wersji 4.0). Na razie projekt jest znany pod nazwą Privacy Icons, z tą różnicą, że ikona identyfikująca stopień zagrożenia ma być zintegrowana z paskiem adresu, a nie doklejana do odnośnika, a o statusie będzie decydował administrator strony. To ostanie jest chyba najsłabszym elementem układanki, w WOT społeczność ocenia witryny i oznacza zaufaniem, w PI mają to robić "zainteresowani" administratorzy.

    Grzegorz

    4 Lut 2010 14:37:14

  7. W końcu jakieś rozwiązanie problemu. :)
    czy można też zabezpieczyć operę?

    favicon

    Dawer

    4 Lut 2010 15:10:38

  8. Dawer: Nie wiem czy Opera pozwala selektywnie wyłączać obsługę elementów JavaScriptu, HTML lub CSS. Jej mechanizm Zablokuj zawartość czy opcja włącz/wyłącz obsługę wtyczek, JavaScriptu itd. chyba się w tym przypadku nie sprawdzi.

    Nie wiem czy zwróciliście uwagę na przycisk See what your friedns watched na DidYouWatchPorn.com za pomocą, którego można wygenerować odnośnik do strony, która po otwarciu doniesie nam na maila, czy w przeglądarce osobnika, któremu podesłaliśmy linka przeglądano strony porno.

    Kto sprawdzi swojego szefa? :D

    Grzegorz

    4 Lut 2010 17:38:52

  9. tylko czekać na dodatek do Foxa, który będzie imitował standardową listę wtyczek + standardową listę czcionek w windowsie + ukrywał historię ;D

    saCOOL

    4 Lut 2010 20:17:39

  10. Śmieszne.
    Chcecie, to chętnie udostępnię całą historię moich www.
    To jest zwykła histeria.

    favicon

    Kędziorek

    4 Lut 2010 20:55:26

  11. Kędziorek: Jeśli o mnie chodzi to możesz sobie wydrukować i na drzwiach powiesić lub rozsyłać do znajomych. Ja nie lubię jak ktoś bez mojej wiedzy, a przede wszystkim zgodny, wykrada informacje o tym, co robię.

    Grzegorz

    4 Lut 2010 21:37:27

  12. Tylko po co grzebać w about:config, skoro można zainstalować NoScript i mieć spokój, a javascriptowe badziewie uruchamiać tylko na zaufanych witrynach... :>

    A jesli już o javascripcie mowa - te labelki ("nazwa", "pisz bez błędów...") da się zrobić w czystym CSS. Teraz na przykład nachodzi mi toto na tekst. Ble.

    favicon

    Y.

    5 Lut 2010 02:59:14

  13. Y.: Zwykły użytkownik nie wytrzyma nawet godziny intensywnego serfowania z NoScriptem. Rozszerzenie zabezpiecza Cię przed niepożądanymi elementami i działaniem wtyczek i JavaScriptu. W żaden sposób nie ingeruje w sposób obsługi CSS (w tym pseudoklasy :visited, z tym, że odczyt informacji o przeglądanych stronach może wymagać włączonej obsługi JavaScriptu).

    A jeśli chodzi o etykiety formularza to są w "czystym CSS", Szablon będzie w krótkim czasie zmieniony, dlatego nie poprawiam już żadnych usterek w obecnym.

    Grzegorz

    5 Lut 2010 09:47:30

  14. O ile do tematu odcisku przeglądarki jestem nastawiony dość sceptycznie, zwłaszcza jeśli miałaby to być jedyna metoda weryfikacji tożsamości internauty (windowsowych, a nawet linuksowych, użytkowników Firefoksa są miliony w samej Polsce - jak dla mnie taka informacja nie wiele daje) (...)

    No nie wiem. Na stronie https://panopticlick.eff.org/ można przeczytać, że mój fingerprint seems to be unique pomiędzy 500k+ już przetestowanych. A teraz nie działam na lynksie pod sparcem ani niczym takim - ot, zwykły fx pod WinXP.

    favicon

    torerotorero

    5 Lut 2010 10:35:46

  15. Tak na marginesie tematu przeglądarek, czy ktoś zna zasadnicze różnice pomiędzy ChromePlus, a Iron'em. Na stronach ChromePlusa stoi jedynie "User private data protection". Czy to oznacza takie samo podejście do danych, jak w przypadku Irona?

    favicon

    MareX

    8 Lut 2010 15:20:18

  16. Firefox 4 (od pierwszej bety) jest zabezpieczony i nie udostępnia informacji za pomocą pseudoklasy :visited.

    Grzegorz

    3 Paź 2010 11:34:54

Dodaj komentarz

Markdown (szczegółowy opis znaczników):
*em* | 1. lista 2. numerowana | * lista wypunktowana | _strong_ | [link](http://) | <http://> | > cytat.