Pokud je pro vás ochrana soukromí online důležité téma, mělo by vás zajímat i to, jaký prohlížeč používáte. Nejde jen o mnohokrát skloňované cookies. Experti z Trinity College v Dublinu posuzovali rizika v oblasti ochrany osobních údajů, která byla spojena s výměnou dat v back-endu mezi prohlížeči a příslušnými servery. V rámci studie vědci provedli několik testů, zda prohlížeče sledují IP adresy uživatelů v průběhu času a zda unikají podrobnosti o navštívených webových stránkách.
Aktuálně nejpoužívanější je Chrome, naopak alternativní prohlížeče (například Brave, Tor) využívá jen velmi malé procentu uživatelů.
Studie analyzovala Google Chrome, Mozilla Firefox, Apple Safari, Microsoft Edge, Yandex a Brave. Aby bylo hodnocení férové, zkoumali vědci sdílení dat při několika scénářích: při spuštění, po nové instalaci, po zavření a opětovném otevření, po vložení a zadání adresy URL do adresního řádku a když při nečinnosti.
Cílem studie bylo odpovědět na otázky, zda daný prohlížeč umožní svým serverům sledovat IP adresu během trvající instance a zda prohlížeče unikají data o navštívených stránkách. Tyto informace se totiž mohou stát cílem hackerů při útoku na prohlížeč.
Souhrn dat sdílených prohlížeči s back-endovými servery:
Klíč: I = identifikátor instance (resetováno novou instalací prohlížeče), D = identifikátor zařízení (vyžaduje změnu továrního nastavení zařízení), H = hardwarový identifikátor (nelze změnit uživatelem), C = cookie, P = prefetch populárních webových stránek (webové stránky mohou vložit identifikátory do předem načtených stránek/javascript), F = firebase, T = telemetrie, U = url (a tak historie procházení uživatelů).
Všechny moderní prohlížeče nabízejí takzvaný soukromý mód prohlížení. Nicméně to se týká hlavně ukládání historie prohlížeče a cookies, přesněji dojde při ukončení soukromého režimu k zahození těchto dat. Tento mód také obvykle blokuje rozšíření prohlížeče.
Prohlížeč, který neprozradí, co ví
Prohlížeč Brave se ukázal jako ten s největším smyslem pro soukromí a skončil tak ve své vlastní kategorii. Vědci nebyli schopni najít žádný druh identifikátorů, které by umožňovaly sledování IP adres, ani žádné známky toho, že by prohlížeč odesílal podrobnosti o navštívených webových stránkách na back-endové servery. Stejně tak neobsahuje automatický našeptávač ve vyhledávání a nesleduje nijak proces zadávání vyhledávaného dotazu.
Prohlížeče, které uchovávají základní identifikátory
Prohlížeče Chrome a Firefox – které mají největší podíl na trhu u nás – skončily společně se Safari ve stejné skupině. Všechny označují data pomocí identifikátorů, které přetrvávají po restartování, ale nejsou k dispozici, pokud provedete novou instalaci jejich prohlížečů.
Tato kategorie prohlížečů sdílí detaily o navštívených stránkách se svými back-endovým. Ke sdílení dochází při automatické doplnění dotazu ve vyhledávání, při kterém se data odesílají na servery v reálném čase. Podle zjištění vědců se obecně odešle jakákoli informace, kterou uživatel vloží do horního řádku, nejen URL. Pokud například uživatel zkopíruje omylem heslo nebo vepíše jinou citlivou informaci, dojde k jejímu nasdílení na server. Toto sdílení je navržené, aby pomáhalo uživateli najít to, co hledá a je tedy defaultně povolené. Uživatel ale má možnost jej v nastavení vypnout (pokud je technicky zdatnější).
Chrome během vyhledávání na google.com sleduje záznam každého písmene celkově do 19 požadavků.
Firefox obsahuje také funkcionalitu pro zobrazení push notifikací, kterou lze také v nastavené vypnout. Odesílá vyhledávaný dotaz na www.google.com již při psaní. Sdílí se takto každé zadané písmeno, ale odesílání se zastaví po prvním slově (tj. pravděpodobně za tečkou v URL), což má za následek celkem 4 žádosti (ve srovnání s 19 v Chrome a 32 v Safari).
Prohlížeč Safari je z této skupiny hodnocený nejhůře. Ve výchozím nastavení umožňuje úvodní stránka sdílení se s třetími stranami (Facebook, Twitter a další stránky, které jsou známé tím, že si s ochranou soukromí hlavu moc nelámou) a umožní jim nastavit cookies bez souhlasu uživatele.
Safari je při automatickém doplňování generuje 32 požadavků směrem ke Googlu a Applu. Požadavky zahrnují identifikátory, které přetrvávají po restartování prohlížeče a lze je použít k sestavení historie procházení.
Prohlížeče, které soukromí neřeší
Yandex a Microsoft Edge vyhodnotili vědci jako nejméně přívětivé k ochraně soukromí. Oba odesílají identifikátory spojené s hardwarem zařízení. Edge kontaktuje svou domovskou základnu Microsoft s UUID zařízení, což je identifikátor, který je obtížné změnit. Navíc funkce automatického doplňování ve vyhledávání (kterou mohou uživatelé deaktivovat) sdílí podrobnosti o navštívených webových stránkách.
Yandex zasílá na back-endové servery hash sériového čísla hardwaru a MAC adresy. Ve výsledku tyto identifikátory pravděpodobně přetrvají, bez ohledu na to, kolikrát provedete novou instalaci těchto prohlížečů.