Браузеры предоставляют сайтам разные API, через которые они могут получать важные метрики и затем с их помощью составлять «портрет» пользователя. Например, недавно в Google Chrome появилось Idle Detection API — теперь веб-страницы будут знать, когда вы пользуетесь ПК (недавно на сайте вышла статья про это). Это явно не та информация, которая должна попадать в чужие руки.
Бесплатное расширение JavaScript Restrictor создано для препятствия этому. Оно блокирует потенциально уязвимые API или подменяет значения на менее точные (как в случае с местоположением).
Как оно работает
Расширение поддерживается популярными браузерами: Google Chrome и другими обозревателями, основанными на Chromium (Edge, Brave), Firefox и Opera. Достаточно установить JavaScript Restrictor из официального магазина для вашего браузера.
На выбор доступно четыре уровня защиты — каждый из них отличается строгостью фильтрации. Так, нулевой режим вообще отключает всю функциональность расширения. С остальными тремя посложнее.
1 уровень
Включает минимальную защиту. По словам разработчика, этот режим вносит только те изменения, которые не «сломают» сайты. С ним округляются значения времени событий, снижается точность геолокации до нескольких сотен метров, отключается Battery Status API, который позволяет сайтам получать информацию об уровне заряда батареи.
2 уровень
Наиболее сбалансированный — не ломает большинство сайтов, но отключает намного больше уязвимых функций. Например, время событий округляется ещё больше, а точность местоположения составляет аж несколько километров.
Операция отрисовки графики и изображений с помощью JavaScript может выполняться по-разному в зависимости от устройства. Благодаря этому сайт может составить уникальный «портрет» компьютера. Такой метод трекинга называется Canvas Fingerprinting. Второй уровень защиты в JavaScript Restrictor защищает от этого.
Помимо этого, отключаются некоторые API: Mixed reality API, Gamepad API, WebVR API. Стоит учесть, что это «сломает» сайты, где действительно используется геймпад или VR-шлем. Но если это не так важно, то JavaScript Restrictor спасёт от создания подробного «отпечатка» браузера.
3 уровень
Обеспечивает максимальную защиту, но на практике сильно усложняет работу. Он не только округляет время событий, но и выдаёт случайные значения. Как и на втором уровне, защищает от Canvas Fingerprinting. Помимо геймпадов и VR-шлемов блокирует обнаружение микрофонов и камер. Здесь JavaScript Restrictor включает дополнительные механизмы для защиты памяти и отключает API для определения геолокации.
Как я упомянул выше, в этом режиме сложно комфортно пользоваться браузером: при каждом запросе сайта к серверу из JavaScript появляется уведомление для одобрения действия. Такие запросы используются для обновления части содержимого страницы без её перезагрузки. Проблема в том, что многие сайты активно используют это, из-за чего приходится постоянно подтверждать действие во всплывающем окне.
Третий уровень защиты пригодится лишь в некоторых случаях, в остальном же второго будет хватать.
Защищает ли расширение от слежки?
Лишь частично. Отключение некоторых API сможет уменьшить количество уязвимых мест, снижение точности данных повышает приватность. Однако расширение не сможет полностью защитить от создания уникального «отпечатка». Есть и другие способы получать персональные данные пользователей. А блокировка набора конкретных API может только облегчить получение «отпечатка» браузера.
