В этой небольшой статье я расскажу, как индустрия годами неверно толковала исследования в области приватности и как это сдерживало развитие технологий в данной сфере. Наконец, как недавнее исследование исправило ситуацию, и какую пользу можно извлечь из этого.
Речь о фингерпринтинге через браузер. Из-за различий в ОС, версиях браузеров, шрифтах, плагинах и, по крайней мере, десятке других факторов, веб-браузеры разных пользователей, как правило, выглядят по-разному. Это могут использовать сайты и сторонние трекеры для создания уникальных «отпечатков», идентификаторов браузера. Эти отпечатки гораздо эффективнее, чем куки, для отслеживания пользователей: они не оставляют следов и их нельзя стереть.
Вопрос в следующем: насколько эффективен фингерпринтинг? То есть насколько уникален отпечаток устройства типичного пользователя? Ответ имеет большое значение для приватности в интернете. Но изучать этот вопрос с научной точки зрения трудно: хотя у многих компаний есть огромные базы отпечатков, они не делятся ими с исследователями.
Первый масштабный эксперимент по снятию отпечатков под названием Panopticlick запустил Фонд электронных рубежей в 2009 году. Сотни тысяч добровольцев посетили сайт panopticlick.eff.org и согласились на снятие отпечатка своего браузера для исследования. Эксперимент показал удивительный результат: у 83% пользователей во всей выборке обнаружились уникальные отпечатки. У пользователей с включенными Flash или Java отпечатки ещё более уникальные: 94%. Эксперимент исследователей из INRIA во Франции с ещё большей выборкой показал в целом аналогичный результат. Между тем, разные исследователи, в том числе и мы, говорили о том, что в браузерах увеличивается количество функций, которые можно использовать для фингерпринтинга: Canvas, Battery, Audio и WebRTC.
Вывод был ясен: фингерпринтинг крайне эффективен. Браузер не может справиться с этой угрозой, выдавая скриптам меньше информации: слишком много утечек информации, слишком много векторов атаки. Последствия серьёзные. Разработчики браузеров пришли к выводу, что не могут справиться со сторонней слежкой, и поэтому защиту приватности отдела на откуп расширениям. [1] Но эти расширения тоже не стремились ограничить фингерпринтинг. Большинство из них работали по сложной схеме: они блокировали тысячи скрипты-трекеры по вручную составленным спискам, постоянно играя в догонялки, когда появлялись новые игроки.
Но вот случился поворот: команде INRIA (включая некоторых авторов предыдущих исследований) удалось договориться с крупным французским веб-сайтом и протестировать его посетителей на отпечатки. Результаты опубликованы несколько месяцев назад, и на этот раз результаты совершенно иные: только у трети пользователей оказались уникальные отпечатки (по сравнению с 83% и 94% ранее), несмотря на использование исследователями полного набора из 17 признаков. Для мобильных пользователей число ещё ниже: менее 20%. Эти различия объясняются двумя причинами: увеличением выборки в новом исследовании и тем, что самоотбор участников, как представляется, привнёс в предыдущие исследования определённую предвзятость. Есть и другие факторы: интернет постепенно избавляется от плагинов, таких как Flash и Java, так что возможность фингерпринтинга должна и дальше снижаться. Внимательное изучение результатов показывает, что самое простое вмешательство браузеров для ограничения атрибутов с максимальной энтропией значительно улучшит способность пользователей скрываться в толпе.
Apple недавно объявила, что Safari будет пытаться ограничить фингерпринтинг. Вполне вероятно, что последний эксперимент повлиял на это решение. Примечательно, что мало кто из экспертов по приватности считает защиту от фингерпринтинга бесполезной, и даже консорциум W3C давно опубликовал рекомендации для разработчиков новых стандартов о том, как свести к минимуму фингерпринтинг. Ещё не слишком поздно. Но если бы мы в 2009 году знали то, что мы знаем сегодня, то это давно подтолкнуло бы браузеры к разработке и развертыванию такой защиты.
В чём главная причина неправильного толкования результатов? Один простой урок в том, что статистика — сложная наука, а нерепрезентативные выборки могут полностью исказить выводы исследований. Но есть другой вывод, который сложнее принять: недавнее исследование лучше проверяет обычных пользователей, потому что исследователи не спрашивают и не уведомляют их. [2] В интернет-экспериментах существует противоречие между традиционным информированным согласием и достоверностью результатов. Для решения этой проблемы нужны новые этические нормы.
Ещё один урок заключается в том, что защита приватности не должна быть идеальной. Многие исследователи и инженеры думают о конфиденциальности в терминах «всё или ничего»: одна ошибка всё разрушает, и если защита не идеальна, то не следует вообще её использовать. Это может иметь смысл для некоторых приложений, таких как браузер Tor, но для обычных пользователей основных браузеров модель угрозы — это смерть от тысячи маленьких порезов. Защита приватности хорошо справляется, нарушая экономику слежки.
Наконец, аргумент о бесполезности защиты — это пример пораженческих настроений в приватности. Столкнувшись с натиском плохих новостей в этой сфере, мы обычно приобретаем разновидность выученной беспомощности и приходим к упрощённому выводу, что приватность умирает и с этим ничего не поделать. Но эта позиция не подкрепляется доказательствами: на самом деле мы видим, что в этой сфере постоянно согласуется новая точка равновесия. Хотя нарушения приватности есть всегда, но время от времени они компенсируются правовыми, технологическими и социальными механизмами защиты.
Фингерпринтинг через браузеры сегодня остаётся на передовой битвы за приватность. GDPR осложнил жизнь компаниям, которые этим занимаются. Разработчикам браузеров тоже пришло время серьёзно взяться за борьбу с этой подлой практикой.
[1] Одно явное исключение — браузер Tor, но за это приходится платить серьёзной потерей производительностью и неработающими функциями на сайтах. Другое исключение — Brave, пользователи которого предположительно готовы смириться с некоторым неудобством в обмен на сохранение приватности. [вернуться]
[2] В эксперимент взяли пользователей, которые раньше подтвердили согласие на приём куков, но специально их не информировали об исследовании. [вернуться]
Речь о фингерпринтинге через браузер. Из-за различий в ОС, версиях браузеров, шрифтах, плагинах и, по крайней мере, десятке других факторов, веб-браузеры разных пользователей, как правило, выглядят по-разному. Это могут использовать сайты и сторонние трекеры для создания уникальных «отпечатков», идентификаторов браузера. Эти отпечатки гораздо эффективнее, чем куки, для отслеживания пользователей: они не оставляют следов и их нельзя стереть.
Вопрос в следующем: насколько эффективен фингерпринтинг? То есть насколько уникален отпечаток устройства типичного пользователя? Ответ имеет большое значение для приватности в интернете. Но изучать этот вопрос с научной точки зрения трудно: хотя у многих компаний есть огромные базы отпечатков, они не делятся ими с исследователями.
Первый масштабный эксперимент по снятию отпечатков под названием Panopticlick запустил Фонд электронных рубежей в 2009 году. Сотни тысяч добровольцев посетили сайт panopticlick.eff.org и согласились на снятие отпечатка своего браузера для исследования. Эксперимент показал удивительный результат: у 83% пользователей во всей выборке обнаружились уникальные отпечатки. У пользователей с включенными Flash или Java отпечатки ещё более уникальные: 94%. Эксперимент исследователей из INRIA во Франции с ещё большей выборкой показал в целом аналогичный результат. Между тем, разные исследователи, в том числе и мы, говорили о том, что в браузерах увеличивается количество функций, которые можно использовать для фингерпринтинга: Canvas, Battery, Audio и WebRTC.
Вывод был ясен: фингерпринтинг крайне эффективен. Браузер не может справиться с этой угрозой, выдавая скриптам меньше информации: слишком много утечек информации, слишком много векторов атаки. Последствия серьёзные. Разработчики браузеров пришли к выводу, что не могут справиться со сторонней слежкой, и поэтому защиту приватности отдела на откуп расширениям. [1] Но эти расширения тоже не стремились ограничить фингерпринтинг. Большинство из них работали по сложной схеме: они блокировали тысячи скрипты-трекеры по вручную составленным спискам, постоянно играя в догонялки, когда появлялись новые игроки.
Но вот случился поворот: команде INRIA (включая некоторых авторов предыдущих исследований) удалось договориться с крупным французским веб-сайтом и протестировать его посетителей на отпечатки. Результаты опубликованы несколько месяцев назад, и на этот раз результаты совершенно иные: только у трети пользователей оказались уникальные отпечатки (по сравнению с 83% и 94% ранее), несмотря на использование исследователями полного набора из 17 признаков. Для мобильных пользователей число ещё ниже: менее 20%. Эти различия объясняются двумя причинами: увеличением выборки в новом исследовании и тем, что самоотбор участников, как представляется, привнёс в предыдущие исследования определённую предвзятость. Есть и другие факторы: интернет постепенно избавляется от плагинов, таких как Flash и Java, так что возможность фингерпринтинга должна и дальше снижаться. Внимательное изучение результатов показывает, что самое простое вмешательство браузеров для ограничения атрибутов с максимальной энтропией значительно улучшит способность пользователей скрываться в толпе.
Apple недавно объявила, что Safari будет пытаться ограничить фингерпринтинг. Вполне вероятно, что последний эксперимент повлиял на это решение. Примечательно, что мало кто из экспертов по приватности считает защиту от фингерпринтинга бесполезной, и даже консорциум W3C давно опубликовал рекомендации для разработчиков новых стандартов о том, как свести к минимуму фингерпринтинг. Ещё не слишком поздно. Но если бы мы в 2009 году знали то, что мы знаем сегодня, то это давно подтолкнуло бы браузеры к разработке и развертыванию такой защиты.
В чём главная причина неправильного толкования результатов? Один простой урок в том, что статистика — сложная наука, а нерепрезентативные выборки могут полностью исказить выводы исследований. Но есть другой вывод, который сложнее принять: недавнее исследование лучше проверяет обычных пользователей, потому что исследователи не спрашивают и не уведомляют их. [2] В интернет-экспериментах существует противоречие между традиционным информированным согласием и достоверностью результатов. Для решения этой проблемы нужны новые этические нормы.
Ещё один урок заключается в том, что защита приватности не должна быть идеальной. Многие исследователи и инженеры думают о конфиденциальности в терминах «всё или ничего»: одна ошибка всё разрушает, и если защита не идеальна, то не следует вообще её использовать. Это может иметь смысл для некоторых приложений, таких как браузер Tor, но для обычных пользователей основных браузеров модель угрозы — это смерть от тысячи маленьких порезов. Защита приватности хорошо справляется, нарушая экономику слежки.
Наконец, аргумент о бесполезности защиты — это пример пораженческих настроений в приватности. Столкнувшись с натиском плохих новостей в этой сфере, мы обычно приобретаем разновидность выученной беспомощности и приходим к упрощённому выводу, что приватность умирает и с этим ничего не поделать. Но эта позиция не подкрепляется доказательствами: на самом деле мы видим, что в этой сфере постоянно согласуется новая точка равновесия. Хотя нарушения приватности есть всегда, но время от времени они компенсируются правовыми, технологическими и социальными механизмами защиты.
Фингерпринтинг через браузеры сегодня остаётся на передовой битвы за приватность. GDPR осложнил жизнь компаниям, которые этим занимаются. Разработчикам браузеров тоже пришло время серьёзно взяться за борьбу с этой подлой практикой.
[1] Одно явное исключение — браузер Tor, но за это приходится платить серьёзной потерей производительностью и неработающими функциями на сайтах. Другое исключение — Brave, пользователи которого предположительно готовы смириться с некоторым неудобством в обмен на сохранение приватности. [вернуться]
[2] В эксперимент взяли пользователей, которые раньше подтвердили согласие на приём куков, но специально их не информировали об исследовании. [вернуться]
