test adv
,

Это прозрачное расширение отключает слежку? Знакомлюсь с JavaScript Restrictor

Дополнение с открытым исходным кодом уменьшает поверхность атаки на браузер, но имеет подводные камни

Браузеры предоставляют сайтам разные API, через которые они могут получать важные метрики и затем с их помощью составлять «портрет» пользователя. Например, недавно в Google Chrome появилось Idle Detection API — теперь веб-страницы будут знать, когда вы пользуетесь ПК (недавно на сайте вышла статья про это). Это явно не та информация, которая должна попадать в чужие руки.

Бесплатное расширение JavaScript Restrictor создано для препятствия этому. Оно блокирует потенциально уязвимые API или подменяет значения на менее точные (как в случае с местоположением).

Как оно работает

Расширение поддерживается популярными браузерами: Google Chrome и другими обозревателями, основанными на Chromium (Edge, Brave), Firefox и Opera. Достаточно установить JavaScript Restrictor из официального магазина для вашего браузера.

На выбор доступно четыре уровня защиты — каждый из них отличается строгостью фильтрации. Так, нулевой режим вообще отключает всю функциональность расширения. С остальными тремя посложнее.

Это прозрачное расширение отключает слежку? Знакомлюсь с JavaScript Restrictor

1 уровень

Включает минимальную защиту. По словам разработчика, этот режим вносит только те изменения, которые не «сломают» сайты. С ним округляются значения времени событий, снижается точность геолокации до нескольких сотен метров, отключается Battery Status API, который позволяет сайтам получать информацию об уровне заряда батареи.

2 уровень

Наиболее сбалансированный — не ломает большинство сайтов, но отключает намного больше уязвимых функций. Например, время событий округляется ещё больше, а точность местоположения составляет аж несколько километров.

Операция отрисовки графики и изображений с помощью JavaScript может выполняться по-разному в зависимости от устройства. Благодаря этому сайт может составить уникальный «портрет» компьютера. Такой метод трекинга называется Canvas Fingerprinting. Второй уровень защиты в JavaScript Restrictor защищает от этого.

Второй уровень защиты (слева) и первый (справа) — геймпад не распознаётся из-за отключенного Gamepad API

Помимо этого, отключаются некоторые API: Mixed reality API, Gamepad API, WebVR API. Стоит учесть, что это «сломает» сайты, где действительно используется геймпад или VR-шлем. Но если это не так важно, то JavaScript Restrictor спасёт от создания подробного «отпечатка» браузера.

3 уровень

Обеспечивает максимальную защиту, но на практике сильно усложняет работу. Он не только округляет время событий, но и выдаёт случайные значения. Как и на втором уровне, защищает от Canvas Fingerprinting. Помимо геймпадов и VR-шлемов блокирует обнаружение микрофонов и камер. Здесь JavaScript Restrictor включает дополнительные механизмы для защиты памяти и отключает API для определения геолокации.

Это прозрачное расширение отключает слежку? Знакомлюсь с JavaScript Restrictor
В Google Maps подобное уведомление появляется при каждом перемещении по карте

Как я упомянул выше, в этом режиме сложно комфортно пользоваться браузером: при каждом запросе сайта к серверу из JavaScript появляется уведомление для одобрения действия. Такие запросы используются для обновления части содержимого страницы без её перезагрузки. Проблема в том, что многие сайты активно используют это, из-за чего приходится постоянно подтверждать действие во всплывающем окне.

Третий уровень защиты пригодится лишь в некоторых случаях, в остальном же второго будет хватать.

Защищает ли расширение от слежки?

Лишь частично. Отключение некоторых API сможет уменьшить количество уязвимых мест, снижение точности данных повышает приватность. Однако расширение не сможет полностью защитить от создания уникального «отпечатка». Есть и другие способы получать персональные данные пользователей. А блокировка набора конкретных API может только облегчить получение «отпечатка» браузера.


Последнее изменение:
 
markbur03
markbur03, 23 октября 2021, 14:19   (...)
Нечего мне скрывать, мы и так на виду везде. (хороший пример - ,, Враг государства'' - Enemy of the State, 1998.
Ответить
D1CKH3AD
D1CKH3AD , 23 октября 2021, 14:46   (...)
Кинь сюда свои логины и пароли от соцсетей, я почитаю твои переписки. Тебе же нечего скрывать, верно?
Ответить
Dilmen
Dilmen , 23 октября 2021, 14:23   (...)
Написать про то, что можно самому настроить нужные опции, вроде того, что для ютуба не будет работать 4 уровень из-за отлючения arrayBuffer, но если создать свой и включить все пункты кроме arraybuffer и xhr то он будет спокойно работать.
Ответить

Добавить комментарий
Если нужно ответить кому-то конкретно,
лучше нажать на «Ответить» под его комментарием