Браузери надають сайтам різні api, через які вони можуть отримувати важливі метрики і потім з їх допомогою складати «портрет» користувача. Наприклад, нещодавно в google chrome з’явилося idle detection api – тепер веб-сторінки будуть знати, коли ви користуєтеся пк (нещодавно на сайті вийшла стаття про це). Це явно не та інформація, яка повинна потрапляти в чужі руки.
Безкоштовне розширення javascript restrictor створено для перешкоди цьому. Воно блокує потенційно вразливі api або підміняє значення на менш точні (як у випадку з місцем розташування).
Як це працює
Розширення підтримується популярними браузерами: google chrome і іншими оглядачами, заснованими на chromium (edge, brave), firefox і opera. Досить встановити javascript restrictor з офіційного магазину для вашого браузера.
На вибір доступно чотири рівні захисту — кожен з них відрізняється строгістю фільтрації. Так, нульовий режим взагалі відключає всю функціональність розширення. З іншими трьома складніше.
1 рівень
Включає мінімальний захист. За словами розробника, цей режим вносить тільки ті зміни, які не» зламають ” сайти. З ним округлюються значення часу подій, знижується точність геолокації до декількох сотень метрів, відключається battery status api, який дозволяє сайтам отримувати інформацію про рівень заряду батареї.
2 рівень
Найбільш збалансований — не ламає більшість сайтів, але відключає набагато більше вразливих функцій. Наприклад, час подій округляється ще більше, а точність місця розташування становить аж кілька кілометрів.
Операція відтворення графіки і зображень за допомогою javascript може виконуватися по-різному в залежності від пристрою. Завдяки цьому сайт може скласти унікальний «портрет» комп’ютера. Такий метод трекінгу називається canvas fingerprinting. Другий рівень захисту в javascript restrictor захищає від цього.
Крім цього, відключаються деякі api: mixed reality api, gamepad api, webvr api. Варто врахувати, що це» зламає ” сайти, де дійсно використовується геймпад або vr-шолом. Але якщо це не так важливо, то javascript restrictor врятує від створення докладного «відбитка» браузера.
3 рівень
Забезпечує максимальний захист, але на практиці сильно ускладнює роботу. Він не тільки округлює час подій, але і видає випадкові значення. Як і на другому рівні, захищає від canvas fingerprinting. Крім геймпадів і vr-шоломів блокує виявлення мікрофонів і камер. Тут javascript restrictor включає додаткові механізми для захисту пам’яті і відключає api для визначення геолокації.
В google maps подібне повідомлення з’являється при кожному переміщенні по карті
Як я згадав вище, в цьому режимі складно комфортно користуватися браузером: при кожному запиті сайту до сервера з javascript з’являється повідомлення для схвалення дії. Такі запити використовуються для оновлення частини вмісту сторінки без її перезавантаження. Проблема в тому, що багато сайтів активно використовують це, через що доводиться постійно підтверджувати дію у спливаючому вікні.
Третій рівень захисту стане в нагоді лише в деяких випадках, в іншому ж другого буде вистачати.
Чи захищає розширення від стеження?
Лише частково. Відключення деяких api зможе зменшити кількість вразливих місць, зниження точності даних підвищує приватність. Однак розширення не зможе повністю захистити від створення унікального “відбитка”. Є й інші способи отримувати персональні дані користувачів. А блокування набору конкретних api може тільки полегшити отримання “відбитка” браузера.
