ضد الشعور الانهزامي في الخصوصية. لماذا لا يزال بإمكان المتصفحات التوقف عن بصمات الأصابع

في هذه المقالة القصيرة ، سأخبرك كيف أساءت الصناعة تفسير أبحاث الخصوصية على مر السنين وكيف عطل هذا التطور التكنولوجي في هذا المجال. وأخيرًا ، كيف عالجت الأبحاث الحديثة الموقف ، وما الفوائد التي يمكن استخلاصها منه.

الأمر يتعلق ببصمات الأصابع من خلال المتصفح. بسبب الاختلافات في نظام التشغيل ، وإصدارات المتصفح ، والخطوط ، والمكونات الإضافية ، وعشرات العوامل الأخرى على الأقل ، تميل متصفحات الويب لمختلف المستخدمين إلى الظهور بشكل مختلف. يمكن استخدام هذا من قِبل المواقع وأجهزة تتبع الجهات الخارجية لإنشاء "بصمات الأصابع" الفريدة ومعرفات المتصفح. بصمات الأصابع هذه أكثر فعالية بكثير من ملفات تعريف الارتباط لتتبع المستخدمين: فهي لا تترك أي آثار ولا يمكن محوها.

السؤال هو: ما مدى فعالية البصمات؟ بمعنى ، ما مدى تميز بصمة جهاز المستخدم العادي؟ الجواب له أهمية كبيرة للخصوصية على الإنترنت. لكن دراسة هذه المسألة من وجهة نظر علمية أمر صعب: على الرغم من أن العديد من الشركات لديها قواعد بيانات ضخمة لبصمات الأصابع ، إلا أنها لا تشاركها مع الباحثين.

أطلقت أول تجربة واسعة النطاق لبصمات الأصابع تسمى Panopticlick مؤسسة الحدود الإلكترونية في عام 2009. زار مئات الآلاف من المتطوعين panopticlick.eff.org ووافقوا على بصمة متصفحهم للبحث. أظهرت التجربة نتيجة مذهلة: أظهر 83٪ من المستخدمين في العينة بأكملها بصمات أصابع فريدة. بالنسبة للمستخدمين الذين تم تمكين Flash أو Java ، تكون بصمات الأصابع أكثر تميزًا: 94٪. وأظهرت تجربة أجراها باحثون من معهد INRIA في فرنسا بعينة أكبر نتيجة مماثلة عمومًا. وفي الوقت نفسه ، قال باحثون مختلفون ، بما في ذلك نحن ، إن عدد الوظائف التي يمكن استخدامها لبصمات الأصابع في المتصفحات آخذ في التزايد: قماش ، بطارية ، صوت و WebRTC .

كان الاستنتاج واضحًا: بصمات الأصابع فعالة للغاية. لا يمكن للمتصفح التعامل مع هذا التهديد من خلال إعطاء نصوص معلومات أقل: الكثير من تسريبات المعلومات ، الكثير من ناقلات الهجوم. العواقب خطيرة. توصل مطورو المتصفح إلى استنتاج مفاده أنهم لا يستطيعون التعامل مع مراقبة الطرف الثالث ، وبالتالي حماية خصوصية القسم تحت رحمة الإضافات. [1] لكن هذه الامتدادات لم تسعى أيضًا للحد من بصمات الأصابع. عمل معظمهم وفقًا لمخطط معقد: فقد منعوا الآلاف من متتبعو النصوص البرمجية وفقًا لقوائم مجمعة يدويًا ، ولعبوا اللحاق بالركب باستمرار عند ظهور لاعبين جدد.

ولكن كان هناك منعطف: تمكن فريق INRIA (بما في ذلك بعض مؤلفي الدراسات السابقة) من التفاوض مع موقع فرنسي كبير واختبار زواره من أجل المطبوعات. تم نشر النتائج قبل بضعة أشهر ، وهذه المرة كانت النتائج مختلفة تمامًا: فقط ثلث المستخدمين لديهم بصمات أصابع فريدة (مقارنة بـ 83٪ و 94٪ في وقت سابق) ، على الرغم من استخدام الباحثين لمجموعة كاملة من 17 علامة. بالنسبة لمستخدمي الهواتف المحمولة ، الرقم أقل من ذلك: أقل من 20٪. يتم تفسير هذه الاختلافات لسببين: زيادة العينة في الدراسة الجديدة وحقيقة أن الاختيار الذاتي للمشاركين يبدو أنه قد أدخل بعض التحيز في الدراسات السابقة. هناك عوامل أخرى: يتخلص الإنترنت تدريجيًا من المكونات الإضافية مثل Flash و Java ، لذلك يجب أن تستمر إمكانية البصمات في الانخفاض. تظهر دراسة متأنية للنتائج أن أبسط تدخل للمتصفح للحد من السمات مع أقصى قدر من الإنتروبيا سيحسن بشكل كبير قدرة المستخدمين على الاختباء في الحشد.

أعلنت آبل مؤخرًا أن Safari سيحاول الحد من بصمات الأصابع. من المحتمل أن أحدث تجربة أثرت على هذا القرار. من الجدير بالذكر أن القليل من خبراء الخصوصية يعتبرون الحماية ضد بصمات الأصابع عديمة الفائدة ، وحتى اتحاد W3C نشر منذ فترة طويلة توصيات لمطوري المعايير الجديدة حول كيفية تقليل بصمات الأصابع. لم يفت الأوان بعد. ولكن إذا كنا في عام 2009 نعرف ما نعرفه اليوم ، فإن هذا سيحفز المتصفحات على تطوير ونشر هذه الحماية.

ما هو السبب الرئيسي لسوء تفسير النتائج؟ أحد الدروس البسيطة هو أن الإحصاءات علم معقد ، وأن العينات غير التمثيلية يمكن أن تشوه نتائج البحث تمامًا. ولكن هناك استنتاج آخر يصعب قبوله: دراسة حديثة أفضل في التحقق من المستخدمين العاديين لأن الباحثين لا يسألونهم أو يخطرونهم. [2] في تجارب الإنترنت ، هناك تناقض بين الموافقة المستنيرة التقليدية وموثوقية النتائج. لحل هذه المشكلة ، هناك حاجة إلى معايير أخلاقية جديدة.

درس آخر هو أن حماية الخصوصية لا يجب أن تكون مثالية. يفكر العديد من الباحثين والمهندسين في السرية من حيث "الكل أو لا شيء": خطأ واحد يدمر كل شيء ، وإذا لم تكن الحماية مثالية ، فلا يجب عليك استخدامها على الإطلاق. قد يكون هذا منطقيًا لبعض التطبيقات ، مثل متصفح Tor ، ولكن بالنسبة للمستخدمين العاديين للمتصفحات الرئيسية ، فإن نموذج التهديد هو الموت من آلاف الجروح الصغيرة. تقوم حماية الخصوصية بعمل جيد لتعطيل اقتصاد المراقبة .

أخيرًا ، الجدل حول عدم جدوى الحماية هو مثال على الانهزامية في الخصوصية. في مواجهة هجمة الأخبار السيئة في هذا المجال ، عادة ما نكتسب مجموعة متنوعة من العجز المكتسب ونصل إلى استنتاج مبسط مفاده أن الخصوصية تموت ولا يوجد شيء يمكن القيام به حيال ذلك. لكن هذا الموقف لا يدعمه دليل: في الواقع ، نرى أنه في هذا المجال هناك نقطة توازن جديدة ثابتة باستمرار. على الرغم من وجود انتهاكات للخصوصية دائمًا ، يتم تعويضها من وقت لآخر عن طريق آليات الحماية القانونية والتكنولوجية والاجتماعية.

تبقى بصمات الأصابع من خلال المتصفحات اليوم في طليعة معركة الخصوصية. لقد جعلت اللائحة العامة لحماية البيانات الحياة صعبة بالنسبة للشركات التي تفعل ذلك. لقد توصل مطورو المتصفح أيضًا إلى معالجة هذه الممارسة الخسيسة بجدية.

[1] أحد الاستثناءات الواضحة هو متصفح Tor ، ولكن عليك أن تدفع مقابل ذلك مع فقدان خطير للأداء ووظائف معطلة على المواقع. استثناء آخر هو Brave ، الذي من المفترض أن يكون المستخدمون على استعداد لتحمل بعض الإزعاج مقابل الحفاظ على الخصوصية. [عودة]

[2] أخذت التجربة المستخدمين الذين وافقوا مسبقًا على قبول ملفات تعريف الارتباط ، ولكن لم يتم إخبارهم على وجه التحديد بالدراسة. [عودة]