Webbläsarfingeravtryck – hur spårbar är din webbläsare?

januari 30, 2010

Jag upptäckte att Electronic Frontier Foundation (EFF) har en webbsida där man kan testa (prova själv) hur mycket information som ens webbläsare lämnar ut. Själv blev jag litet förvånad över att min webbläsare ger ut så mycket som 18 bitars information, dvs. det är bara en person på 262 144 som har mina webbläsarinställningar, vilket ger ett mått på spårbarheten. Även utan cookies påslagna är jag alltså identifierbar till denna grad. Hur mycket information ger din webbläsare ut?

Läs mer om informationsteori på wikipedia om du undrar hur de räknar fram värdet (och hur man kan ange bitar med decimaler).

På tal om integritet och spårbarhet tycker jag att det är förvånande att inte fler stänger av sin referer header. Om man låter den vara på kommer alla webbsidor som du besöker att kunna logga vilken föregående sida som du besökte, vilket jag personligen tycker är ganska integritetskränkande och helt onödigt. Om du använder Firefox kan du lätt stänga av denna funktion så här:

  1. Skriv ”about:config” i adressfältet och tryck enter.
  2. Skriv ”sendref” i Filter-fältet och tryck enter.
  3. Dubbelklicka på raden med ”network.http.sendRefererHeader” och fyll i siffran 0 och tryck enter. Klart!
    (se Firefox-dokumentationen om du undrar vilka värden som är möjligt att använda)

Man bör dock vara medveten om att det finns sidor som använder dessa headers. I praktiken leder det dock ytterst sällan till problem att slå av dem.

Uppdatering: ”anonym fegis” påpekar mycket riktigt att referer-informationen endast sänds om man följer en länk. Den skickas alltså inte om du klickar på ett bokmärke eller fyller i en URL manuellt. Jag skulle vara tydligare på den punkten. Tack för påpekandet. Personligen tycker jag dock ändå att det oftast saknas anledning att skicka denna information.

11 Responses to “Webbläsarfingeravtryck – hur spårbar är din webbläsare?”

  1. Anonym fegis Says:

    Alltså, referer talar inte om ”vilken föregående sida som du besökte”, det är en för vid beskrivning. Den talar om vilken sida länken du tryckte på för att komma till den aktuella sidan fanns. Vem som länkar till sidan du kom till.

    Det finns ett antal siter och webbramverk som exempelvis använder den för att avgöra om man tittar på bilder på deras sidor, eller om man försöker länka in dem (”stjäla bandbredd”) från andra sidor.

  2. Henrik Holst Says:

    >Den talar om vilken sida länken du tryckte på för att komma till den aktuella sidan fanns. Vem som länkar till sidan du kom till.

    Vilket alltså precis är ”vilken föregående sida som du besökte”. Detta eftersom referern sätts även när du matar in URLen manuellt.

    Så istället för att disabla den helt så borde ju Firefox byggas om till att inte sätta referer när man matar in urlen manuellt samt att ha en setting där den alltid sätts till samma site som man kommer till sas (detta löser problemet med de som kollar refereren för bilder i tron att de har ett säkerhetssystem).

  3. Tor M Says:

    ingvar,
    den där länken gäller tyvärr den person som klickar på den. Det vill säga, om jag följer länken presenteras data för min webbläsare istället för dina resultat.

  4. Anonym fegis Says:

    @Henrik Holst:

    > Vilket alltså precis är ”vilken föregående sida som du besökte”.

    Problemet med den formuleringen är att den är för vid. Den passar jättebra att röra upp opinion mot refererheadern med, eftersom den ger intrycket att den ger ett spår bakåt hur man än gör, men det stämmer inte.

    > Detta eftersom referern sätts även när du matar in URLen manuellt.

    Här måste jag tyvärr be dig om en källa för det påståendet.

    Ett experiment:
    Sätt upp en site med två sidor, vinkel.html och hake.html. Sätt en länk till hake.html på vinkel.html och tvärtom.

    Be din webbläsare gå till vinkel.html och titta på serverloggen. Ingen referer.

    Följ länken till hake.html och tillbaka till vinkel.html. Då får du referer i loggen.

    Skriv manuellt in vinkel.html och hake.html i locationfältet. Jag slår vad om en kaka att det inte dyker upp någon referer i loggen, oavsett vilken sida du står på då.

  5. Tor M Says:

    Anonym fegis,
    din beskrivning är helt korrekt. Jag borde ha förtydligat det redan från början.

  6. Per Sandström Says:

    Stort tack för denna varning! Min egen browser (Safari på OSX) ”appears to be unique”, och det är ju inte så konstigt när man uppenbarligen kan identifiera samtliga installerade typsnitt på en dator via Adobes Flash-plugin…

  7. Anonym fegis Says:

    Tor,
    Kände bara lite löpsedelsvibbar. Inget illa menat med det.🙂

  8. Henrik Holst Says:

    Anonym fegis: My bad, tog för givet att den funkade så. Frågan är dock om man kan plocka ut föregående sidan via DOM+Javascript dock?

  9. Tor M Says:

    Per Sandström,
    jag kan kanske tillägga att det går att identifiera typsnitt även via javascript. Detta kan man göra genom att en efter en testa en rad strängar som har en unikt bredd/höjd för varje typsnitt och mäta hur stort DOM-elementet blir.

    EFF föreslog förresten att privatsurfningslägena som en del webbläsare nu har borde se till att normalisera informationen om user-agent etc. Det låter som en god idé tycker jag.


  10. Integritetsteknik – IxQuick och YouTubekakor…

    Google må dominera sökmotorområdet men själv upplever jag en viss oro för att denna dominans de facto lämnar mycket att önska ur integritetshänseende. Intressant är därför att en liten uppstickare noterat detta behov och erbjuder en bättr……


Kommentarer inaktiverade.