2013-04-30

Privacidade na Internet -- client-side

A questão da privacidade da net é uma questão que é levantada periodicamente. Ninguém tem uma boa resposta para ela, mas entretanto vão aparecendo ferramentas engraçadas para o browser.

Mas antes o rationale:
«It's a proven fact that there are more strangers than people you know

TL;DR: não tendo controlo de quem usa a informação nem como, é do interesse das pessoas limitarem a sua exposição a estranhos.

Assim sendo, vamos passar os olhos pelas alternativas possíveis, relativamente a aumento da privacidade do lado do cliente.

Como disse o Carlos no post "Tracking na Internet", TOR.
Ninguém usa o TOR para privacidade no dia a dia. Para além disso, não quero limitações em termos de velocidade. TOR tenta muito permitir a privacidade das pessoas -- na prática, creio que permite a privacidade entre sessões diferentes, mas enquanto não fecham o browser são trackable como sendo a mesma pessoa -- creio. Queres fazer login em algum site? Congrats, esse site e todos os amigos desse site têm agora um outro método de associar as tuas sessões de browsing até esse momento nessa sessão com outras que farás a partir desse dia, desde que faças login nesse site.

Depois, na lista de coisas que ninguém faz porque dá trabalho, temos ter um perfil de browsing por site. Impossível de gerir. O uso de WebApps [feito pelo Pai Natal] permite gerir isso para um número finito de sites, mas na verdade torna-se complicado tendo em conta a quantidade de empresas que fazem tracking indiretamente (uso uma WebApp para o Gmail? E as Google searches, faço onde? E outra WebApp para o Facebook. Google+. Twitter. LinkedIn. Isto resolve o problema com os grandes mas... E as social widgets de cada um desses sites? Será que usam Flash para interligar sessões de browsers diferentes?).

Finalmente, sobra o que sobra. Tunar o Firefox com as seguintes extensões:
  • Ghostery, para bloquear todos os trackers.
  • a extensão Self-Destructing Cookies, que apaga todos os cookies criados por um site (third and first party)
  • RefControl, para evitar o envio do site anterior/de origem
  • configurar o Firefox para
    • limpar a cache sempre que se fecha o browser 
    • bloquear todos os plugins por omissão

Coisas que ficam a faltar:
  • identificação do browser usando as técnicas expostas pelo Panopticlick
  • evitar a exposição do histórico envolvendo técnicas avançadas de CSS/Javascript
  • técnicas de separação de entidade pública versus privada


10 comments:

Peres said...

Não percebo muito disso mas...

Deixar o google chrome e o seu modo "incognito" de fora???

Destroi os cookies relevantes assim que fechas a janela do incognito... e vem de raiz em qualquer google chrome.

Pedro Francisco said...

Sim, mas tens de ter a preocupação de fechar a janela do modo incognito para fechar os cookies.

Em adição a isso, todos os sites que estiverem abertos da janela Incognito podem "comunicar" entre si através dos third party cookies [na prática: o third party cookie é que sabe que estiveste nos dois sites, basta ambos os sites usarem a mesma ad network].

Para veres bem as 'teias' que ocorrem, instala o Collusion (Collusion for Chrome, Collusion for Firefox), esquece-te dele e volta a abri-lo passado um dia.

Pedro Francisco said...

Ok, respondendo como deve ser ao teu comentário, após o reler.

O modo incognito serve para ver um site de conteúdo duvidoso/seguro de cada vez.

A partir do momento em que, por exemplo, usas o modo incognito para tudo tens praticamente o mesmo problema que tens num 'browser' normal.

Tens a diferença que cookies e cache vão embora assim que o fechares, mas a partir do momento em que fizeres sign-in no Gmail, ou no Facebook ou em qualquer site que comunique um identificador único a terceiros (e não consegues saber quais fazem isto), tens um ponto de ligação entre a tua pessoa entre as várias versões de modo incógnito.

Pedro Francisco said...

*entre as várias sessões de browsing que fizeste em modo incógnito.

Pedro Francisco said...

Tens aqui a demo do Collusion, no install required.

Sintra said...

Tao mas... nao ha opcao de fazer browse sem o uso de cookies?

Pedro Francisco said...

Bom ponto de vista.
Há.
Suponho que possas ter um browser sem cookies e outro com.
Mas no browser sem cookies não podes fazer login em nada: não podes usar forums, Gmail, Facebook, etc.

Eliminas parte do problemas, mas empurras à mesma o problema dos cookies para outro browser.

Carlos Ferreira said...

A questão da privacidade torna-se um bocado inútil quando os operadores violam essa mesma privacidade.
Além disso, não interessa a privacidade que conseguimos meter em cima das nossas comunicações, se os operadores nos impedirem/limitarem o nosso acesso à Internet.
A internet não é livre... é controlada (e cada vez mais) e enquanto esse controlo existir (nomeadamente por parte da IANA) tudo o resto será meramente ilusão.
Correlação de informações, cruzamento de dados, frases que habitualmente usamos, enfim...
A nossa vida está na net e já é tarde para pensar em tirá-la de lá...

Carlos Ferreira said...

Por alguma razão dou tanta importância de conseguirmos ter uma forma alternativa e funcional, de se conseguir comunicar electronicamente sem a intervenção de operadores...

Pedro Francisco said...

Carlos, certo, tens razão, mas consegues um aumento do nível de privacidade com estratégias bem definidas :)