Неважно, что вы делаете в интернете: проверяете почту, читаете новый детектив или сидите на порносайте — ваш браузер об этом знает. Более того, ему известно не только то, как выглядит ваш виртуальный мир, но и то, где вы находитесь в мире реальном. При желании, найти вас не составит труда. Специалист по компьютерной безопасности Джеймс Линн наглядно показывает это в своем выступлении на TED Talk:
Чем больше информации вы сообщаете своему браузеру, тем откровеннее вы выглядите в интернете. Замечали ли вы, как одна и та же реклама преследует вас от одного сайта к другому? Не пугает ли вас то, что на какой бы сайт вы не зашли, этому сайту уже известно ваше местоположение, время, браузер, который вы используете, и то, где до этого вы побывали в интернете? Знаете ли вы о том, что ваша сохраненная история форм содержит данные о том, что и когда вы искали в сети, ваш адрес и телефон, если вы когда-либо заказывали еду или товары в интернет-магазинах, и даже ваши банковские данные.
И хотя для того, чтобы узнать историю ваших поисковых запросов, специалисту потребуется некоторое время, остальную информацию вы вероятнее всего транслируете в интернет, даже не подозревая об этом. Проверить, что о вас знают вебсайты, можно на различных сервисах. Подобные инструменты покажут вам, какой браузер вы используете, включены ли у вас cookies и откуда осуществляется доступ в интернет.
Зачем сайтам нужны ваши куки
Первое, на что стоит обратить внимание при проверке настроек вашего браузера — это то, включено ли у вас сохранение файлов cookies. По умолчанию они включены в любом браузере. Когда вы впервые посещаете веб-сайт, то ваш браузер автоматически запоминает небольшой кусочек кода, который сайт запрашивает при ваших последующих посещениях. Таким образом, вы можете заходить на ваши аккаунты в соцсетях или в вашу почту без повторной авторизации.
Загвоздка в том, что другие вебсайты тоже могут получить доступ к этим файлам, чтобы затем отслеживать вашу историю просмотров. При этом полное отключение файлов cookies, которое предлагают большинство браузеров, не всегда является лучшим решением, поскольку эта функция всё же была создана для удобства пользователей. Многие онлайновые магазины используют cookies для того, чтобы запоминать покупки в корзине пользователя или предлагать покупателю наиболее полезный товар, основываясь на его истории просмотров.
Для того, чтобы позволить пользователю без труда заходить на любимые сайты, но при этом не транслировать историю посещений на весь интернет, в самых современных браузерах имеется функция отключения сторонних cookies, которая позволяет веб-сайтам получить доступ только к своим собственным сохраненным в браузере файлам.
Какие еще данные собирает о вас браузер (если вы это ему позволите)
1. Базовая информация
Установка браузера, его удаление, количество зависаний (crash information), а также то, в течение какого времени программа была запущена на компьютере. Практически все браузеры собирают эту информацию без ведома пользователя.
2. Информация по использованию браузера
Каждый разработчик хочет знать, как именно вы используете браузер, на какие кнопки нажимаете и сколько раз вы включили или отключили ту или иную функцию. Эта информация помогает оценить полезность программы для пользователей и понять, что нужно улучшить, а от чего можно вообще избавиться.
Однако получить эти данные разработчик сможет только в том случае, если вы ему это позволите. При установке Maxthon вас спросят, не хотите ли вы поучаствовать в «Программе по улучшению браузера», в Firefox функция отправки данных «Телеметрия» включается в дополнительных настойках, а вот с Chrome история немного сложнее. Несмотря на то, что по умолчанию отправка информации по использованию программы отключена, браузер продолжает «шпионить» за пользователем, отсылая, например, статистику поисковых запросов в Google. Подобную информацию Firefox называет частично персональной, поскольку, например, адрес сайта, на который вы зашли, ничего не говорит о вашем реальном адресе, но в теории ваши интернет-следы могут привести злоумышленника прямо к вам домой (см. TED-talk выше).
3. Данные, необходимые для поддержки работы облачных сервисов
В эту категорию входят ваш адрес электронной почты, пароль и другая информация, необходимая для осуществления авторизации и работы в облаке. Чем больше облачных функций предлагает браузер, тем больше информации ему от вас потребуется. Firefox, например, предлагает совсем простую синхронизацию — вкладки, история просмотров, сохраненные пароли и данные форм. Для того, чтобы воспользоваться этой функцией, адреса почты будет достаточно. В Chrome синхронизация осуществляется также через почту, но, опять же благодаря тесным отношениям между браузером и его прародителем, как только вы попытаетесь синхронизировать браузер на нескольких устройствах, Google тут же вас признает, и услужливо предложит рекламу и поисковые запросы, основанные на вашей предыдущей истории просмотров.
Браузер Maxthon, известный в том числе под именем «Облачный браузер», предлагает довольно широкий набор облачных функций, включая доступ к загруженным файлам с различных устройств. Разумеется, это требует определенного доверия со стороны пользователя, поскольку личные файлы в этом случае хранятся на сервере компании. Однако информация намного менее персонализирована, чем, скажем, когда вы загружаете фотографию во «ВКонтакте», да и к тому же полностью зашифрована.
Как бродить по интернету, не оставляя следов
Оставаться полностью анонимным в интернете практически невозможно, но сделать своё присутствие менее заметным вполне реально. Начать, пожалуй, следует с включения функции «Не отслеживать», которая существует в большинстве современных браузеров. В этом случае, ваш браузер сообщит вебсайту, что вы не желаете, чтобы за вами следили, но решение о том, выполнять вашу просьбу или нет, останется на совести разработчиков самих сайтов.
Просмотр страниц через секретный режим в браузере Maxthon, режим «Инкогнито» в Chrome или приватный просмотр в FIrefox позволит вам бродить по интернету без сохранения вашей истории просмотров, файлов cookies, данных форм и файлов кэша. Тем не менее, сайты все равно будут видеть ваш IP адрес , а ваш работодатель сможет отследить, какие ресурсы вы посещали.
Для тех пользователей сети, для которых приватность является необходимым условием, можно порекомендовать браузер Tor, который хоть и не гарантирует полную анонимность, но довольно неплохо справляется с задачей переадресации сообщений клиента, что затрудняет его обнаружение в сети.
Однако во многих странах, в том числе и в Китае, правительство блокирует известные сервера «Тора». Именно поэтому многие китайские компании разрабатывают свои собственные продукты и технологии, позволяющие оставаться невидимым в интернете.
Однако и Tor не может защитить пользователей от «пакетной инъекции» — метода взлома браузера, при котором в процессе передачи данных подменяются входящие пакеты. Когда компьютер жертвы отправляет запрос на сервер, этот запрос может быть перехвачен где-то по пути, а ожидаемый браузером ответ подменен на сообщение об ошибке или на поддельную страницу, которая ничем не отличается от настоящей, кроме того, что временно заражает браузер пользователя для сбора информации о нем. Обнаружить подобную атаку довольно сложно, поскольку вирус присутствует только в памяти браузера, и может быть удален при очистке кэша и файлов cookies.
Именно по такому принципу работает Великий Китайский Файервол, и, как ни странно, этот же метод «взлома практически любого браузера», согласно документам, опубликованным Эдвардом Сноуденом, возможно применяется Агентством национальной безопасности США.
Пока что ни в одном браузере не существует функции, позволяющей оградить пользователей от подобной атаки. Китайские разработчики Maxthon, особенно заинтересованные в том, чтобы позволить своим пользователям обойти файервол и тем самым обеспечить доступ к большинству заблокированных в Китае популярных международных вебсайтов, в настоящий момент ищут пути для того, чтобы защитить браузеры пользователей от «пакетных инъекций».
В случае успеха, подобная технология позволила бы не только открыть международный интернет для китайских пользователей, но и заодно защитить их информацию от несанкционированного доступа.
