ウェブが最初に主流になったのは90年代半ば(mid 90s)かそこらで、その重要な特徴の1つは匿名性でした。誰も彼らの本名を使用していませんでした、そしてあなたは燃えるような33kbpsでオンラインでセカンドライフを生きることができました。(life online)
今日のウェブは大きく異なります。人々の匿名化を強く推進しているだけでなく、毎日アクセスするWebサイトは、あなたに関するあらゆる種類の情報を記録およびキャプチャできます。どんな情報?調べるために読んでください。
あなたのIPアドレス(Your IP
Address)
これは、Webサイトがログに記録する最も一般的なタイプの情報です。IPまたはインターネットプロトコル(Internet Protocol)アドレスは、インターネット上のどこにいるかを示す番号です。
これは基本的に実際のアドレスと同じです。誰かがあなたに手紙を送りたいと思ったら、彼らはそれにあなたの住所を書きます。あなたがそれを受け取るとき、彼らの差出人住所(return address)は裏にあります。だからあなたはそれがどこから来たのか知っています。
「文字」を「インターネットパケット」に置き換えると、基本的に(internet packet)IPアドレス(IP address)がどのように機能するかがわかります。問題は、Webサイトが実際にあなたのIPアドレス(IP address)だけからあなたに関するかなりの数の個人情報を把握できることです。
彼らはあなたがどこからブラウジングしているのか、そしてあなたがどのISP(ISP)を使っているのかを多かれ少なかれ知っているでしょう。もう少し探偵の仕事(そしておそらく法的令状)で、IPアドレス(IP address)は誰かをあなたのドアに直接導くことができます。
これが、最近多くの人がVPN(VPNs)(仮想プライベートネットワーク)を使用している理由です。VPNは仲介者として機能するため、アクセスしているサイトにはVPNのIPアドレスのみが表示されます。(IP address)
ハードウェアとソフトウェアの詳細(Hardware & Software
Details)
Webブラウザーは、あらゆる種類の情報を、それを要求するWebサイトに報告します。これには、使用しているコンピューターに関する豊富な情報が含まれます。
サイトは、オペレーティングシステム(operating system)、プロセッサ、GPUなどを認識します。これは無害に見えるかもしれませんが、特定のマシンを追跡または識別するために使用できます。
これを回避する1つの方法は、仮想マシン内から参照することです。これにより、一般的なシステム情報(system information)がWebサイトに提供されます。
ファーストパーティおよびサードパーティのCookie(1st & 3rd Party Cookies)
Cookieは、サイトの設定などを記録するためにサイトがコンピューターに残す小さなファイルです。したがって、次に訪問するとき、それはすでにあなたについてのことを知っているでしょう。
クッキー技術(Cookie technology)自体は悪いことではありません。たとえば、セッションCookieは、ブラウザを閉じると自動的に削除されます。(Session)また、自社で使用するためにサイトによってデバイスに保存されるファーストパーティの永続的なCookieも取得します。
トラッキングCookie(tracking cookie)は、永続的なサードパーティのCookieであり、それらを作成したサイト以外のサイトによって読み取られます。そのCookieは、Webアクティビティに関する情報を蓄積し、その情報はCookieの作成者に戻ることができます。
クッキーをいつどのように使用できるかについての法律は、近年厳しくなっています。これ(Which)は、ほとんどすべてのサイトで、初めてアクセスした瞬間にCookieポリシー(cookie policy)がポップアップ表示される方法です。そのポリシーに同意しない場合、Cookieはマシンに保存されません。
ただし、不正なサイト(rogue site)が知らないうちにトラッキングCookieを使用してマシンを攻撃するのを阻止するものは何もありません。幸い、ブラウザのプライバシー設定を使用して、必要に応じてCookieをブロックおよび削除できます。
インビジブルトラッカー(Invisible
Trackers)
Cookieはおそらく非表示トラッカーの一例ですが、より大きなカテゴリとして、非表示トラッカーには、正規のサイトに埋め込まれたWebアプリや外部サイトも含まれます。
主要なニュースサイトやその他の人気のあるWebページでは、記事の下部に何らかの形の追跡を含む広告コンテンツが埋め込まれていることがよくあります。Googleもこれを行います。これが、 Google(Google)で特定の製品を検索すると、その製品の広告がGoogleAdsenseを備えた他のすべてのサイトにポップアップ表示される理由です。
幸いなことに、明示的にあなたを追跡しないDuckDuckGoのようなプライバシーに焦点を当てた検索エンジンがあります。
最近のブラウザは、「追跡しない」と呼ばれる機能もサポートするようになりました。この機能は、アクセス時に追跡テクノロジをオフにする必要があることをサイトに通知します。ただし、これは任意の合意であるため、サイトは必要に応じて無視できます。
目に見えないトラッカーとの戦いで最も効果的なツールは、EFFのPrivacyBadgerです。
データの自動入力(Autofill
Data)
これまでにアクセスしたことのない新しいサイトで配送の詳細を入力する必要がある場合、ブラウザが名前や住所(name and address)などの詳細を自動的に入力することに気付いたと思います。これは便利な機能ですが、
プライバシーの悪夢(privacy nightmare)でもあります。
悪意のあるサイトは、自動入力された2番目にその情報をキャプチャするようにコーディングできます。これは、サイトがあなたの知らないうちにあなたの完全な詳細をキャプチャしたことを意味します。ご想像のとおり、住所、氏名、社会保障番号(security number)などの情報を使用して、悪意のある人に大混乱をもたらす可能性があります。
ブラウザの設定で自動入力を無効にすることをお勧めします。
ログインしている他のアカウント(Other Accounts
You’re Logged In To)
サイトにアクセスすると、マシンに残されたトレースによって、現在ログインしている他のアカウントを検出できます。これは実際には非常に貴重な情報です。既知の電子メールアドレス(email address)
と組み合わせると、ハッカーに他のどのアカウントを持っているかがわかるからです。
したがって、これらのアカウントの1つがデータ侵害(data breach)の一部であり、パスワードが明らかになった場合は、問題が発生している可能性があります。多くの人がアカウント間で同じまたは類似のパスワードを使用しているため、ハッカーがセキュリティを侵害しやすくなります。
ここで行う最善の方法は、すべてのアカウントに強力で一意のパスワードを使用することです。これらのランダムなパスワードを生成する優れたパスワードマネージャーを強くお勧めします。(password manager)
詳細な入力ログ(Detailed
Input Logs)
すべてのキーストロークとすべてのマウスの動き(mouse movement)が詳細に記録されるように、Webサイトをコーディングすることができます。この点でのウェブサイトの追跡能力はかなり広範囲です。
「セッション再生スクリプト(session replay scripts)」を詳述した研究論文は、ほとんどの主要なWebサイトが、訪問中のキーストロークとマウスの動きを完全に記録し、これをさらに分析するために使用することを示しました。あなたはおそらくこれが引き起こす可能性のある種類のプライバシー問題を想像することができます。
ブラウザの指紋(Browser Fingerprints)
ブラウザの「フィンガープリント」は、システムにあるCookieやインストールされているプラグインなどのブラウザデータの一意の組み合わせです。ブラウザが長く使用され、カスタマイズされるほど、特定のユーザーへのリンクが容易になります。
たとえば、VPNを使用してサイトにアクセスする場合でも、サイトは指紋を認識しています。したがって、匿名性を保護せずに同じブラウザを使用して別のサイトにアクセスすると、それらのアクティビティ間に明確なリンクを作成できます。
Tor(Tor Browser)ブラウザなどのプライバシー指向のブラウザを使用することは、この種の匿名化を防ぐための良い方法です。
漏れているものを確認する方法(How To Check What You Are
Leaking)
どこでどのように情報を漏らしているのかを把握するのに役立ついくつかのWebサイトが存在します。Panopticlickは、まさにそれを行うElectronicFrontierFoundationによる優れたツールです。
大きな「テストミー」ボタンをクリックするだけで、すべての妄想的な恐怖が確認される可能性があります。幸いなことに、プライバシー慣行を強化するのに悪い時期はありません。
What Type of Data Do Websites Collect About You?
When the web first became mainstream in the mid 90s or so, one of its key
characteristics was anonymity. No one used theіr real names and you could live
a second life onlіne, at a blazing 33 kbps.
The web of today is very different. Not only is there a strong push to
deanonymize people, the websites you visit on a daily basis can record and
capture all sorts of information about you. What kinds of information? Read on
to find out.
Your IP
Address
This is the most common type of information that a website will log. Your IP or Internet Protocol address is a number that denotes where on the internet you are located.
It’s basically the same thing as a real-world address. If someone wants to send you a letter, they’ll write your address on it. When you receive it, their return address will be on the back. So you know where it came from.
If you replace “letter” with “internet packet” you basically know how an IP address works. The problem is that a website can actually figure out quite a lot of private information about you from just your IP address.
They’ll know more or less where you are browsing from and which ISP you’re using. With a little more detective work (and perhaps a legal warrant) an IP address can lead someone directly to your door.
This is why so many people are using VPNs (virtual private networks)
these days. The VPN acts as a middleman, so only their IP address is visible to
the site you are visiting.
Hardware & Software
Details
Web browsers report all sorts of information to a website that asks for
it. This includes a wealth of information about the computer you are using.
The site will know your operating system, processor, GPU and more. This
may seem innocent, but could be used to track or ID a specific machine.
One way to get around this is to browse from within a virtual machine,
which will provide generic system information to the website.
1st & 3rd Party Cookies
A cookie is a small file that a site leaves on your computer to keep a
record of things such as your site preferences. So the next time you visit, it
will already know things about you.
Cookie technology is not a bad thing in itself. Session cookies, for
example, delete themselves when you close the browser. You also get first-party
persistent cookies, which are the ones saved to your device by the site for its
own use.
A tracking cookie is a persistent, third-party cookie which is read by
sites other than the ones which created them. That cookie accumulates information
about your web activities and that information can then go back to the cookie’s
creator.
Legislation about how and when cookies can be used has been tightening in
recent years. Which is way almost every site has its cookie policy pop up the
minute you visit it for the first time. If you disagree with that policy then
no cookies will be stored on your machine.
However, there is nothing stopping a rogue site from peppering your
machine with tracking cookies without your knowledge. Luckily you can use your
browser’s privacy settings to block and delete cookies as desired.
Invisible
Trackers
Cookies are perhaps one example of an invisible tracker, but as a larger
category, invisible trackers also include web apps and external sites embedded
in a legitimate site.
Major news sites and other popular web pages often have advertising
content embedded at the bottom of an article which includes some form of
tracking. Google does this as well. This is why when you search for a specific
product in Google you’ll see ads for it pop up on every other site that
features Google Adsense.
Luckily there are privacy-focused search engines such as DuckDuckGo which explicitly don’t track you.
Modern browsers now also support a feature known as “do not track”, which
tells a site that it should turn off its tracking technology when you visit.
However, this is a voluntary agreement so the site can ignore it if it wants
to.
The most effective tool in the fight against invisible trackers is the EFF’s Privacy Badger.
Autofill
Data
You’ve probably noticed that when you have to fill in shipping details on
a new site you’ve never visited before, your browser automatically fills in
details like your name and address. It’s a convenient feature, but it is also a
privacy nightmare.
Unscrupulous sites can be coded to capture that information the second
it’s autofilled. This means that site has now captured your full details
without your knowledge. As you can imagine having information such as an
address, full name or social security number can be used to wreak havoc in the
wrong hands.
It’s best to just disable autofill in your browser settings.
Other Accounts
You’re Logged In To
When you visit a site, it can detect what other accounts you are
currently logged into by the traces they leave on your machine. This is
actually very valuable information, because combined with a known email address
it tells hackers which other accounts you have.
So if one of those accounts have been part of a data breach and your
password is uncovered, you may be in trouble. Many people use the same or
similar passwords across accounts so this makes it much easier for hackers to
breach your security.
The best thing to do here is use strong, unique passwords for every
account. A good password manager that generates those random passwords is
highly recommended.
Detailed
Input Logs
It’s possible for websites to be coded in such a way that every keystroke
and every mouse movement you make are recorded in detail. The tracking
abilities of websites in this regard are pretty extensive.
A research paper detailing “session replay scripts” demonstrated that most major websites make complete recordings of your keystrokes and mouse movement while you are visiting and then use this for further analysis. You can probably imagine the sorts of privacy issues this could cause.
Browser Fingerprints
A browser “fingerprint” is simply the unique combination of browser data,
such as which cookies are on your system and what plugins are installed. The
longer a browser is used and the more it is customized the easier it is to link
to a specific user.
For example, even if you use a VPN to access a site, the site knows your
fingerprint. So if you visit another site using that same browser without the
protection of anonymity, a clear link between those activities can be made.
Using a privacy-oriented browser such as the Tor Browser is a good way to
prevent this sort of de-anonymization.
How To Check What You Are
Leaking
Several websites exist that will help you figure out where and how you are leaking information. Panopticlick is a great tool by the Electronic Frontier Foundation which does just that.
Just click the big “test me” button and all your paranoid fears may be
confirmed. Luckily there’s never a bad time to sharpen up your privacy
practices.