Témák

How Tor Browser protects you against browser fingerprinting

Websites can use browser fingerprinting to track users without cookies. Tor Browser includes multiple defenses - like letterboxing, user-agent spoofing, and first-party isolation - that make it harder to identify you online.

A böngésző ujjlenyomatolás megértése

A böngésző ujjlenyomatolás a böngészővel kapcsolatos információk szisztematikus gyűjtése annak érdekében, hogy megalapozott következtetéseket lehessen levonni annak identitásáról vagy jellemzőiről. Minden böngésző beállítás és funkció együtt egy "böngésző ujjlenyomatot" alakít ki. A legtöbb böngésző véletlenül egyedi ujjlenyomatot hoz létre minden felhasználó számára, amely az interneten keresztül nyomon követhető. A böngésző ujjlenyomatolásról további részletes információkat a Tor Blog következő cikkeiben talál: Böngésző ujjlenyomatolás: Bevezetés és a jövőbeli kihívások és Tor Böngésző: a privát böngészés innovációjának öröksége.

Why browser fingerprinting threatens online privacy?

Először is, nincs szükség a felhasználó engedélyére ezeknek az információknak az összegyűjtéséhez. A böngészőben futó bármely szkript létrehozhatja az eszköz ujjlenyomatát akár a felhasználó tudta nélkül.

Másodszor, ha a böngésző ujjlenyomatának egy tulajdonsága egyedi, vagy ha több tulajdonság kombinációja egyedi, akkor az eszköz online azonosítható és nyomon követhető. This means that even without cookies, a device can be tracked using its fingerprint.

How Tor Browser mitigates fingerprinting

A Tor Böngésző kifejezetten úgy lett kialakítva, hogy minimálisra csökkentse az egyes felhasználók ujjlenyomatának egyediségét különböző szempontokból. Bár gyakorlatilag lehetetlen a Tor Böngésző minden felhasználóját azonosnak tekinteni, a cél az, hogy minden mutató esetében csökkentsük a megkülönböztethető „kategóriák” számát. Ez a megközelítés megnehezíti az egyes felhasználók hatékony nyomon követését.

Bizonyos tulajdonságok, mint például az operációs rendszer és a nyelv, a működéshez szükségesek, és nem lehet őket teljesen elrejteni vagy álcázni. Ehelyett a Tor Böngésző korlátozza ezeknek az attribútumoknak a változatosságát, hogy csökkentse a megkülönböztethetőséget. Például korlátozza a betűtípusok felsorolását és karakter-helyettesítést alkalmaz, szabványosítja a képernyő és az ablak méretét letterboxing segítségével, és a kért nyelvek változatosságát egy kicsi, előre meghatározott készletre korlátozza.

A Tor Böngésző ujjlenyomatolás-ellenes védelmének legfőbb célja, hogy jelentősen megnehezítse a felhasználók egyedi azonosításához szükséges információk összegyűjtését, ezáltal javítva a magánélet védelmét anélkül, hogy a szükséges funkcionalitást veszélyeztetné.

Anti-fingerprinting features in Tor Browser

Letterboxing

A képernyő mérete alapján történő ujjlenyomatolás megakadályozása érdekében a Tor Böngésző egy 200x100 pixeles, többszörösére kerekített tartalomablakkal indul. A stratégia itt az, hogy az összes felhasználót több csoportba soroljuk, hogy nehezebb legyen őket elkülöníteni. Ez addig működik, amíg a felhasználók el nem kezdik átméretezni az ablakaikat (pl. maximalizálják őket vagy teljes képernyős módba váltanak). A Tor Böngésző ezekre az esetekre is tartalmaz egy ujjlenyomat-védelmi funkciót, amely Letterboxing néven ismert, és amelyet a Mozilla fejlesztett ki és 2019-ben mutattak be. Ez úgy működik, hogy margókat ad hozzá a böngészőablakhoz, így az ablak a lehető legközelebb kerül a kívánt mérethez, miközben a felhasználók továbbra is néhány képernyőméret-kategóriába tartoznak, ami megakadályozza, hogy a képernyő mérete alapján megkülönböztessék őket.

Egyszerűen fogalmazva, ez a technika csoportosítja a bizonyos képernyőméretekkel rendelkező felhasználókat, ami megnehezíti a felhasználók képernyőméret alapján történő kiválasztását, mivel sok felhasználó ugyanolyan képernyőmérettel rendelkezik.

letterboxing

User-Agent and Operating System spoofing

A User-Agent karakterlánc egy érték, amelyet a webhelyek felhasználhatnak a böngésző, az operációs rendszer (OS), a CPU architektúra, a gyártó és a verzió adatainak azonosítására. Mivel ez az információ felfedheti, hogy a felhasználó milyen operációs rendszert vagy eszközt használ, ez a böngésző ujjlenyomatoláshoz használható, ami lehetővé teszi a weboldalaknak vagy nyomkövetőknek, hogy potenciálisan azonosítsák a felhasználókat.

A Tor Böngésző ezt úgy oldja meg, hogy álcázza a User-Agentet. A felhasználók nem választhatnak ki egy adott operációs rendszert, és nem próbálhatnak meg minden lehetséges platformot utánozni. Ehelyett a Tor Böngésző szabványosítja a User-Agent értékeket, hogy csökkentse az egyediséget és elkerülje az adatvédelem hamis érzésének kialakulását:

  • Minden Windows rendszer Windows 10-ként jelenik meg.
  • Minden macOS OS X 10.15-ként jelenik meg.
  • Minden Android mint Android 10.
  • Az összes többi rendszer, mint például az összes Linux-disztribúció (beleértve a Tails és a Qubes rendszereket), * a BSD és más operációs rendszerek egy csoportba vannak sorolva, és „Linux X11-gyel” alatt szerepelnek a jelentésben.
  • Az összes többi részlet (például az architektúra) szintén platformonként standardizált.

Ebben az esetben a Tor Böngésző azonosítás elleni stratégiája az, hogy spoofing (álcázás) segítségével védi a User-Agent valódi tartalmát, de egyben elég nagy felhasználói bázissal is rendelkezik.

A User-Agent HTTP-fejlécként kerül elküldésre a webhelyeknek, és JavaScriptben a navigator.userAgent néven érhető el. Ezen értékek közötti eltérések miatt az anti-bot és anti-csalás rendszerek a Tor felhasználókat botként kategorizálhatják, és elutasíthatják kérésüket, ami viszont befolyásolja a Tor Böngésző felhasználók számára a használhatóságot.

Egyes adatvédelmi eszközök vagy felhasználók szerint a legjobb álca az lenne, ha minden felhasználó Windowsként jelenne meg. Azonban nem lehetséges minden böngészőkontextusban tökéletesen álcázni, és az aktív ujjlenyomatolás-módszerek (betűtípusok, funkciók, viselkedés JavaScript használatával vagy anélkül stb.) gyakran felhasználhatóak a hardver vagy az operációs rendszer jellemzőinek megállapítására.

A Tor Böngésző nem engedi a felhasználóknak kiválasztani, hogy milyen operációs rendszernek tűnjenek. Ez szándékos: bármelyik lehetőség választása csak még egyedibbé tenné a felhasználókat, és így könnyebb lenne ujjlenyomatolni őket. A szabványosított lehetőségek kis halmaza kulcsfontosságú ahhoz, hogy a felhasználók összekeveredjenek, és maximalizálják mindenki adatvédelmét.

Other anti-fingerprinting features

A letterboxing mellett a Tor Böngésző számos más funkciót is alkalmaz a böngésző ujjlenyomatolás lehetőségének csökkentésére és a felhasználók adatainak védelmére. Ezek a funkciók, mint a Canvas képek kivonásának blokkolása, a NoScript integráció és az elsődleges fél izolálása. A funkciók teljes listájáért kérjük olvassa el a Tor Böngésző tervezési és megvalósítási dokumentumot.