Firefox 52 nie zostawi tylu odcisków palców, ukryje systemowe fonty przed ciekawskimi
Electronic Frontier Foundation już od kilku lat ostrzegainternautów, że nawet anonimizując ruch sieciowy przez VPN czyTora, możemy zostać namierzeni – przeglądarka pozostawiaunikatowy odcisk, poprzez który napastnik może „wyróżnić ją wtłumie” i śledzić, by z czasem nawet uzyskać adres IP. Możeciesami się o tym przekonać, korzystając z narzędzia Panopticlick,które pokazuje, ile to bitów identyfikującej przeglądarkęinformacji w ten sposób z niej wycieka. Przywiązana do kwestiiprywatności Mozilla pracuje nad sposobem znacznego ograniczenia tegozagrożenia – i obiecuje, że w Firefoksie 52 rozwiąże istotnyproblem z fontami.
Ważną częścią odcisku przeglądarki są bowiem zainstalowanew systemie fonty, do których listy łatwo uzyskać dostęp prostymzapytaniem w JavaScripcie. Nawet użytkownicy Windowsa nierzadko majądoinstalowane liczne dodatkowe fonty z innych aplikacji – i toprzez nie przeglądarka zaczyna się wyróżniać. W wypadku systemówlinuksowych jest zaś naprawdę kiepsko, możemy szybko odkryć, żepod względem odcisku drugiej takiej przeglądarki jak nasza tonigdzie nie ma na świecie.
Programiści Mozilli wprowadziliwięc do Firefoksa możliwość kontroli wyjawianejprogramistycznie listy fontów. Firefox 52 będzie ujawniał jedyniete fonty, na jakie zdecyduje się użytkownik, konfigurując sobiebiałą listę. Służyć temu ma nowe ustawienie konfiguracyjne wpanelu about:config o nazwie font.system.whitelist, któregozawartość zawierać będzie ujawnianą listę fontów, z nazwami poprzecinku. Pozostaje mieć nadzieję, że na tym nowym ustawieniuMozilla nie poprzestanie i zapewni odpowiedni interfejs użytkownika,łatwiejszy do skonfigurowania.
Póki co w wersji testowej Firefoksa działa to tak sobie, nawetjeśli dodamy do białej listy tylko jeden font (np. Ariala), to itak zwrócony zostanie zestaw zawierający m.in. Couriera i Timesa.Pozostawienie tej opcji w rękach użytkowników raczej nie jestjednak planem docelowym, z dyskusji toczącej się na Bugzilli widać,że najlepszą opcją byłoby dostarczanie przez samą Mozillędomyślnych białych list, zawierających najpopularniejsze w danymczasie fonty. Włączenie funkcji ochrony zwracałoby tylko takądomyślną listę. W przeciwnym wypadku każda prywatna biała listaszybko stałaby się łatwo namierzalna, a cała funkcja tylkoosłabiła bezpieczeństwo użytkowników.
Warto pamiętać, że przeglądarka Tor Browser bazuje naFirefoksie ESR i wśród swoich rozmaitych uszczelniającychFirefoksa ustawień zawiera też listy domyślnychfontów dla poszczególnych systemów. Oczywiście wszystkie tezabezpieczenia są na nic, jeśli użytkownik korzysta z FlashPlayera – ten potrafi odczytać listę systemowych fontów zpominięciem mechanizmów przeglądarki. Miejmy jednak nadzieję, żenikt, kto troszczy się o swoją prywatność, Flash Playera już nieużywa.
