Az egyik internetes érdekvédelmi szervezet ismét felszólalt a böngészők segítségével képzett digitális azonosítók kockázatai miatt.

Az EFF (Electronic Frontier Foundation) az év elején egyszer már egy világméretű kampányba kezdett annak érdekében, hogy a felhasználók lehető legszélesebb körével ismertesse meg a böngészés során felmerülő azonosítási lehetőségeket. A szervezet a napokban ismét egy újabb akciót indított, hogy minél több internetező legyen tisztába azzal, hogy a webböngészőkön keresztül milyen adatokhoz férhetnek hozzá a weboldalak és a webes szolgáltatások üzemeltetői.

Az EFF szerint a legszélesebb körben használt böngészők, mint például az Internet Explorer vagy a Firefox az esetek 94 százalékában képes szolgáltatni olyan információkat, amelyek révén egy-egy rendszer viszonylag pontosan beazonosíthatóvá válik. Ehhez nincs másra szükség, mint JavaScript alapú megoldások révén a lehető legtöbb konfigurációs beállítást összegyűjteni, és azokból azonosítót készíteni. Az ilyen módon létrejövő digitális ujjlenyomatok generálásakor felhasználóható többek között a böngésző típusa, az operációs rendszer fajtája és verziója, a telepített plugin-ek nevei, a nyelvi és időzóna információk, de még akár a telepített betűtípusok is. Nyilvánvalóan minél több információ kerül lekérdezésre a böngészőkből annál pontosabb képet lehet kapni egy-egy rendszerről. Az így végrehajtott azonosítást nem gátolja a cookie-k letiltása, sőt az EFF szerint többnyire még a legújabb böngészőkben helyet kapó privát böngészési funkciók sem. Ebből a szempontból ugyancsak nem képesek maradéktalanul helyt állni a proxy szerverek sem.

Fontos megjegyezni, hogy ezek a digitális ujjlenyomatok alapjában véve nem alkalmasak személyek pontos beazonosítására, azonban lehetőséget teremthetnek a webhelyeken belüli és az azok közötti viszonylag pontos rendszerfelismerésre. Mindez pedig adatvédelmi aggályokat vethet fel. Peter Eckersley, az EFF biztonsági szakembere szerint további probléma, hogy a felhasználók többsége hamis biztonságérzet mellett veszi igénybe az internetes szolgáltatásokat. "Mindez azt jelenti, hogy az internetezők sokkal kevésbé anonim módon barangolnak a Világhálózaton, mint ahogy azt gondolják." - vélekedett a szakember.

Hasznosak is lehetnek a digitális ujjlenyomatok

A webböngészőkön keresztül generált digitális azonosítóknak nemcsak aggályos oldala van, ugyanis számos hasznos célt is szolgálhatnak. Jó példa minderre az iReel webhely esete. A videók kölcsönzésével foglalkozó weboldalon ugyanis pontosan ilyen ujjlenyomatok segítségével sikerült lefülelni egy szerb hekkerbandát, amely lopott hitelkártyaadatokkal igyekezett visszaélni. Adam Altman, az iReel egyik vezetője szerint, amikor egy hekker egy nap alatt több száz hitelkártyával akarta a szolgáltatásukat igénybe venni, akkor hiába rejtőzött proxy szerverek mögé, a digitális azonosítók leleplezték.

Mindenki tesztelhet

Az EFF korábban kifejlesztett egy Panopticlick nevű, webes alkalmazást, amely képes digitális ujjlenyomatok generálására. Mindezt úgy teszi, hogy egy weboldal letöltésekor - többek között JavaScriptek segítségével - feltérképezi az adott rendszeren futó operációs rendszer verzióját, a telepített plugin-eket és azok beállításait, az installált betűtípusokat, a megjelenítés felbontását és színmélységét, stb. Ezekből az adatokból egy azonosítót generál, amely digitális ujjlenyomatként szolgál. Természetesen az EFF mindent anonim módon kezel, hiszen a kockázatokra való figyelemfelhívás valamint az ujjlenyomat-képzési lehetőségek bemutatása a célja.

Nehéz gátat szabni az azonosításnak

A digitális ujjlenyomatok generálása ellen meglehetősen nehéz védekezni. A legjobb módszert a JavaScriptek futásának letiltása jelenti, azonban ez a mindennapi internetezési szokások mellett sokszor nehézkesen vagy egyáltalán nem megvalósítható. Az IDG New Service munkatársai szerint egy tesztgépen - melyen Windows XP és Firefox futott - a NoScript kiegészítő meglehetősen hatékonyan tudott gátat szabni a digitális azonosítók képzésének. Az EFF szerint azonban egyelőre a legjobb helyzetben azok vannak, akik mobil eszközeiken neteznek, ugyanis az iPhone, az Android és a Blackberry esetében sem igazán működőképes az így kivitelezett azonosítás. Viszont ez a jövőben megváltozhat, hiszen ezen eszközökön is egyre komplexebb böngészők jelennek meg.

A hír megjelenését a Biztonságportál támogatta.