25. syyskuuta 2010

Super-evästeet tietosuojaongelmana nettiselaimissa

Arvelisin, että melkein kaikki internetin käyttäjät ovat joskus kuulleet, että selaimen evästeet (cookies) voivat olla tietosuojaongelma. Ei ole kauan aikaa, kun vielä Internet Explorerissakaan ei ollut mahdollisuutta järkevästi poistaa näitä evästeitä, vaan käyttäjän piti itse kaivaa ne esille tietokoneen kansioista ja poistaa käsipelillä. Tällä hetkellä ihmiset ymmärtävät vähintäänkin poistaa nämä evästeet, ehkäpä samalla kun poistavat koko selainhistoriansa nettiselailunsa päättääksi. Paranoidisemmat ja edistyneemmät käyttäjät (kuten allekirjoittanut, heh) säätävät selaimensa automaattisesti hylkäämään kaikki muut, paitsi aivan välttämättömät evästeet - ja nekin hyväksytään vain selaussession ajaksi.

Valitettavasti nettisivustot ja erilaiset suunnittelijat ovat kuitenkin askeleita edellä tavallista netinkäyttäjää. Jatkuvasti keksitään erilaisia keinoja seurata ihmisten liikkeitä netissä, tallentamalla kaikenlaista tietoa käyttäjän tietokoneelle ilman tämän lupaa ja ymmärrystä. Voit kokeilla piruuttasi, miten sitkeästi selaimeesi ja tietokoneeseesi voidaan kätkeä tietoja menemällä tänne sivulle ja suorittamalla siellä esitetyn testin (jotkin virustentorjuntaohjelmat voivat antaa varoituksen, mutta tuo sivusto EI ole haitallinen)...vaikka testin jälkeen teet "normaalit" selaimen puhdistusrituaalit, kas kummaa, selaimeesi ja tietokoneeseesi jää siltikin tuolta tietoja.

Käydäänpä läpi kolme yleisintä tapaa säilöä tietoa selaimen kautta ihmisten koneelle internetistä käsin. Annan myös vinkkejä siitä, miten nuo menetelmät voi tehdä tyhjäksi.


"Flash-evästeet" (Local Shared Object, LSO)
tallentuvat tietokoneelle C:\Documents and Settings\käyttäjänimesi\Application Data\Macromedia\Flash Player\ -kansion taakse. Vaikka flash-asetukset säätäisi siten, että flashin ei anneta säilöä tietoa kiintolevyllesi, se säilöö siltikin tiedot siitä, missä nettisivuilla olet käynyt (jos ne käyttävät LSO:ta). Adobe Flash Player on miltei välttämätön netissä, joten siitä ei voi oikeastaan luopua. Se pitää säätää tai kikkailla kohdalleen jollakin seuraavista tavoista:

- Voit poistaa ko. kansioista kaikki muut, paitsi setting.sol -tiedoston. Sitten säätää flash-asetukset kohdalleen ja tämän jälkeen muuttaa ko. hakemistojen asetuksia siten, että suojaus-ominaisuudet estävät kirjoittamasta mitään ko. kansioihin (mutta sallivat yhä niiden lukemisen). Tällä on se seuraus, että Flash-playerin asetukset ovat nyt ok, eikä mitään kökköä pääse enää tulemaan ko. kansioihin. Tämä ratkaisu on kaikkein tehokkain, mutta, kun päivität flashin (mikä on syytä tehdä aina kun uusi versio tulee julki, koska tietoturva-aukot vaivaat flashiä useasti), kirjoitusoikeudet pitää taas sallia päivityksen ajaksi jne.

- Mikäli käytät Firefox-selainta, voit asentaa ja käyttää BetterPrivacy-lisäosan, jonka voit säätää poistamaan flash-evästeet ja tiedot selaimestasi vaikka aina kun suljet selaimesi, aina tietyin väliajoin tai halutessasi valitsemalla Firefoxin oman selaushistorian poiston (jonne BetterPrivacy laittaa lisäosansa valittavaksi). Voit myös suojata osia näistä evästeistä tai asetuksista jne. Kätevä ja helppokäyttöinen työkalu todellakin!

- Voit poistaa flash-evästeet myös käyttämällä esimerkiksi CCleaner-ohjelmaa aina halutessasi. Flash-evästeet poistamalla ohjelma tosin samalla resetoi flashin asetukset, jotka ovat oletuksena vähän huonot. Ohjelmalla voi poistaa myös paljon muutakin yksityisyyttä loukkaavaa tietoa tietokoneeltasi, suosittelen tutustumaan, sekä käytössä valitsemaan asetuksista turvallisen ylikirjoituksen pelkän tavanomaisen poistamisen sijaan.


Silverlightin Isolated Storage 
on sekin netinkäyttäjän riesana, jos on asentanut Silverlightin tietokoneelle. Kyse on hyvin pitkälti samanlaisesta, kuin aikaisemmin kuvaamani flash-evästeestä. Ne tallentuvat Windows Vistassa ja Windows 7:ssä C:\Users\käyttäjänimesi\AppData\LocalLow\Microsoft\Silverlight\is kansioon. Windows XP:ssä ne tallentuvat C:\Documents and Settings\käyttäjänimesi\Local Settings\Application Data\Microsoft\Silverlight\is kansioon. Mutta mikä ratkaisuksi?

-
Edellä mainittujen kansioiden tyhjennys ja kirjoitussuojaus.

-
Menemällä jollekin sivulle, jossa on Silverlight-sovellus ja klikkaamalla ko. sovellusta, jolloin asetukset aukeavat. Asetussivulta valitse "Application storage" ja poista sieltä kaikki sekä ota lopuksi kruksi pois kohdasta "Enable application storage".

- Helpoiten tästä ongelmasta pääsee eroon, kun ei alunperinkään asenna Silverlightia koneelleen, tai poistaa sen asennuksen. Vaikka Silverlight onkin Flashin pahin kilpailija, sitä ei käytetä yhtä yleisesti kuin Flashiä, joten sitä ilmankin pärjää yleensä.


"DOM-storage" (Document Object Model)
onkin hieman vaikeampaa selittää, otsikon Wikipedian linkki tai Mozillan selitys pystyy siihen ehkä minua paremmin. Totean vain, että nämä ovat evästeiden kaltaisia tietoja, joita selaimeen voidaan tallentaa. Ja paljon. Paljon enemmän, kuin mitä evästeisin. Ratkaisuja ongelmaan on kuitenkin onneksi olemassa, esimerkiksi:

-
Voit ottaa DOM-storagen pois käytöstä. Firefox-selaimessa se onnistuu, kun kirjoitat osoiteriville about:config ja painat enter. Hae ko. asetuksista dom.storage.enabled ja muuta sen perässä oleva arvo muotoon "False". Mikäli haluat ottaa DOM-storagen pois Operassa, sinun pitää tyhjentää ja kirjoitussuojata \pstorage -kansio, joka löytyy Operan profiilihakemistosta. Internet Explorerissa voit ottaa DOM-storagen pois asetuksista menemällä "Lisäasetukset" välilehdelle ja poistamalla kruksin kohdasta "Käytä DOM-storage", sekä menemällä "Suojaus" välilehdelle ja valitsemalla sieltä "Mukautettu taso" ja laita "Käyttäjätietojen pysyvyys" muotoon "Pois päältä".

-
Firefoxissa DOM-storagen keräämät tiedot saa hävitettyä, kun valitsee selaushistorian poiston "Kaikki"-ajalta, sekä valitsee kaikkien evästeiden poiston ja poistaa tämän jälkeen selaushistorian. Operassa DOM-storagen tiedot saa hävitettyä, kun valitsee selaushistorian poiston ja ruksaa "Delete Persistant Storage" ja poistaa tämän jälkeen selaushistorian. Internet Explorerissa DOM-storagen tiedot pystyy tuhoamaan valitsemalla "Tyhjennä selaushistoria" sekä kruksittamalla kohdat "Evästeet" ja ottamalla pois ruksin kohdasta "Säilytä suosikkien tiedot" ja poistamalla tämän jälkeen selaushistorian.



Yleisesti ottaen voi siis sanoa, että jäljet kannattaa aina hävittää koneelta. Kertomani CCleaner on siihen hyvä apuväline, samoin CleanAfterMe, mutta muistakaa ihmiset hyvät katsoa noidenkin asetuksia hieman, jotta varmasti poistavat kaiken olennaisen. Netissä surffailussa voi hyödyntää selainten "yksityisiä tiloja", joissa mitään historiatietoja ei tallenneta mihinkään, mutta siitäkin huolimatta...Aina, kun lopettaa nettisurffailun, kannattaa selaimesta tyhjentää kaikki historiatiedot (ehkä poislukien esimerkiksi tallennetut salasanat, jos saat ne selaimessa kuten Firefoxissa tai Operassa vahvan salauksen ja pääsalasanan taakse turvaan). Kun näistä pitää kiinni, suurin murhe oman nettisurffailun ja nettitottumusten seurailusta niin nettisivustojen kun seuraavaksi tietokoneelle istuvankin taholta poistuu.

2 kommenttia:

  1. Olisit voinut mainita myös Firefoxiin saatavasta NoScript-lisäosasta, johon voit määrittää "whitelistin" luotetuista domaineista. Tuntemattomista domaineista (josta voi tulla esim. vihamielisiä mainoksia tai hyökkäyskoodia) ei sallita esim. javascriptiä, flashia tai pdf:ää. Se voi olla kuitenkin aloittelijoille vähän vaikeakäyttöinen, kun useimmat sivut eivät toimi ilman javascriptiä, eikä ehkä tajua heti että mistä kiikastaa.

    VastaaPoista
  2. Eikö kannata suoraan ajaa selaimia sandboxie -hiekkalaatikkosovelluksen alla. Saa ainakin kaiken tauhkan pois selailun jälkeen halutessaan.
    Itse ajan kaikkia nettisovelluksia sen kautta ja järjestelmä pysyy kunnossa sekä puhtaana.

    VastaaPoista