Voltaképpen nem okozott meglepetést az a tanulmány, amit a Löweni Katolikus Egyetem egyik kutatócsoportja publikált a netes nyomkövetést megakadályozó technikákról. És hogy miért nem? Mert sok esetben még a fejlesztő cégek sem tartják be a játékszabályokat. Mint azt megírtuk, a közelmúltban például a Chrome-ról derült ki, hogy hiába tiltja le a felhasználó, a böngésző továbbra is naplózza a tartózkodási helyét, és a cég ezt még rendjén valónak is gondolja.

Az egyetem kutatói hét webböngészőt teszteltek közel ötven kiegészítőjükkel (antitracking eszközök, reklámblokkolók) a világ tízezer legnépszerűbb weboldalán (az Alexa Internet szerinti rangsor alapján). Arra voltak kíváncsiak, hogyan működnek azok a technikák, melyek a felhasználó webes tevékenységének nyomon követését hivatottak megakadályozni. Kiemelten vizsgálták, hogy a harmadik fél nyomkövetési kísérleteit hogyan tudják elhárítani ezek az eszközök, például azok a böngészőbővítmények, amik azt hirdetik magukról, hogy képesek megakadályozni a felhasználók cookie-kal történő követését. (Ha valaki vissza szeretné ellenőrizni az eredményeket, használhatja a vizsgálatokhoz készített keretrendszert, melyet feltettek a GitHubra.)

Vannak szabályok, de megkerülhetők

A cookie-használat persze nem az ördögtől való, hiszen abban is segít, hogy egy bejelentkezést igénylő weboldal meg tudjon győződni arról, hogy még be vagyunk jelentkezve. Ám sok esetben teljesen indokolt lehet a kiszűrése. Ebben egy böngésző sem produkált tökéletes eredményt.

A kutatók azonban nem csak a böngészőket vizsgálták, hanem egyúttal azt is, hogy azokat a technikákat, melyekkel a védelmek megkerülhetők, használják-e a népszerű webhelyek. A felhasználók anonim azonosítására alkalmas sütik használatára szigorú szabályok vonatkoznak, de vannak olyan technikák, amikkel webes támadásokra is lehetőséget nyújtanak, ha az oldal ki szeretné használni a böngészőkben és a bővítményekben található biztonsági réseket. (A legfontosabb biztonsági résekről itt található egy összefoglaló.)

Ezek zömében olyan hibák, melyek lehetőséget adnak a blokkolók megkerülésére. A kutatók lényegében minden vizsgált böngészőben találtak ilyen réseket – azokról egyébként értesítették is a fejlesztő cégeket. A legtöbb problémát a cross-site típusú támadások, illetve a harmadik féltől származó cookie-k okozzák.

A böngészők és az antitracking kiegészítők működési hatékonysága

(Kattintson a táblázatra, és nézze meg nagyobb méretben)

Az eredményeket összefoglaló fenti táblázat jól mutatja, hogy a cookie-szűrés, illetve a cookie-használatra vonatkozó házirend meglehetősen sérülékeny. Minden böngészőben találni olyan problémát, ami bizonyos helyzetekben lényegében lenullázza a szűrő mechanizmusokat.

A webhelyek nem élnek vissza a védelmek gyengeségével

A leghatékonyabb védelemnek a kutatócsoport tanulmányának [PDF] megjelenéséig a Mozilla áprilisban bejelentett same-site cookies nevű megoldása tűnt. A Firefoxban alkalmazott technológia lényege, hogy a webes alkalmazások képesek legyenek azonosítani a harmadik fél által küldött copkie-kat, hogy azokat kiszűrve megakadályozzák a cross-site típusú adatlopási kísérleteket.

A löweni kutatók adatai szerint azonban a Mozilla megoldása sem nyújt teljes védelmet. Alapnak jó, de mindenképpen ki kell egészíteni egyéb védelmekkel. A jó hír mindebben az, hogy a kutatás során nem találtak olyan webhelyeket, melyek visszaéltek volna az egyelőre csak elméleti lehetőségeket adó résekkel.

Ez a cikk független szerkesztőségi tartalom, mely a T-Systems Magyarország támogatásával készült. Részletek »