[ Zavřít ] 


 

RSS Kanál

 

Věříte Opeře? No možná byste neměli... KE STAŽENÍ

Opera bývala technologickým etalonem prvního věku prohlížečů. Disponovala synchronizací, RSS čtečkou a vlastním mailovým klientem v době, kdy si o tom mohly ostatní prohlížeče tak leda nechat zdát. To se však změnilo v době, kdy přestala být aktuální Opera 12 a pomalu začalo nastupovat Google Chrome a Chromium. Od té doby se změnilo mnohé... Jak to vypadá dnes?

 

Věříte Opeře? No možná byste neměli... (Zdroj: Opera)

První část - praktická - reportáž z používání

Nesnažím se obsáhnout všechny aspekty používání - nejde o objektivní recenzi. Naopak, jdu problému rovnou po krku:

Opera je děravá

Operou prosakují data. A to sice ta data, která slibuje ochraňovat. Konkrétně:

  • data o brouzdání,  
  • historie brouzdání
  • data identifikující uživatele a zařízení

Opera se zdála. že v anonymním režimu a za VPN ochrání soukromí svého uživatele (Zdroj: Opera.com)

Kudy všudy to teče? Konkrétní případ

Opera leakuje z mnoha stran - češtináři odpustí ajťáckou zkratku leakuje, která je schopna v jednom slově vyjádřit, že je děravá a zároveň že propouští data, která by neměla - a to na různých úrovních.

Nechtě jsem to zaznamenal, když jsem na Dareboost.com (portál pro testování webových stránek společnosti Contentsquare) chtěl spustit o jeden test více, než kolik nabízí bez registrace. Dareboost se takovému chování snaží zabránit identifikací uživatele napříč spouštěnými testy.

Dareboostu se podařilo to, co by se mu podařit nemělo - ledaže využívá fingerprintingových nástrojů o pár úrovní výše, než jaké by bylo finančně ospravedlnitelné nasadit (Zdroj: Dareboost.com)

Dareboostu se podařilo to, co by se mu podařit nemělo - ledaže využívá fingerprintingových nástrojů o pár úrovní výše, než jaké by bylo finančně ospravedlnitelné nasadit (Zdroj: Dareboost.com)
 

Sekvence kroků

Každý, kdo chce závěry úvahy přezkoušet (či třeba rovnou validovat:), nechť sleduje sekvenci kroků:

  1. v instanci Opery ze standardního kanálu jsem na dareboost.com spustil test webu zadáním jeho URL do testovacího řádku; 
  2. mezikroky, které 
    • v další fázi jsem se snažil udělat ještě jeden test, který však už byl mimo limit; 
    • nemám je dokumentovány => neberu je proto v potaz, při závěrech; 
    • nejspíš ovšem šlo o spuštění testu na dareboost v tomtéž prohlížeči, ovšem přes VPN a v anonymním režimu; 
  3. nainstaloval jsem jinou verzi Opery:
    • konkrétně Opera Crypto Browser;
    • ve stejném operačním systému (Windows 11 Home), pod stejným uživatelem; 
  4. spustil jsem Opera Crypto Browser, přešel do anonymního režimu a aktivoval VPN
  5. přešel na dareboost.com a
  6. dareboost.com: 
    • identifikoval mě coby předchozího uživatele; 
    • identifikoval poslední test, který jsem na něm spouštěl. 

Opera Crypto Browser neuchránila data o soukromí svého uživatele (Zdroj: Opera.com)

Jaké jsou možnosti leaků?

Při vysvětlení identifikace se nabízí několik scénářů a jejich kombinace. 

IP adresa

Nejjednodušším scénářem je to, že nefunguje VPN a Opera Crypto Browser ve VPN režimu leaknula IP adresu. Cílový web identifikoval návštěvníka dle IP adresy a vypsal operaci, kterou pro IP adresu vykonal naposled.

Identifikační údaje sloužící otisku při fingerprintingu

Další možností je fingerprinting - s největší pravděpodobností zaměřený na zařízení (tzv. device fingerprinting). Cílový web při něm vytváří unikátní otisk uživatelského zařízení na základě všech dat, které mu prohlížeč umožní sebrat. Je to velká skupina rozličných dat (od rozlišení monitoru, hloubka barev, systémový jazyk, nainstalované jazyky, systémové fonty, údaje o prohlížeči, údaje o nainstalovaných doplňcích, časové pásmo až po výsledky sofistikovanějších canvas a WebGL fingerprintingů).

Cílový web srovnal otisky, na základě dostatečně velké shody identifikoval uživatele, vypsal operaci, kterou pro daného uživatele vykonal naposled.

Leak mezi verzemi prohlížeče + leak anonymního režimu

Častým případem je prostupování dat mezi jednotlivými verzemi téhož produktu. U prohlížečů zvláště. Cosi naznačují i systémové cesty. Opera Crypto Browser mohla přistoupit k datům standardní Opery - a navíc leaknout data vytvářená cílovým webem skrz anonymní režim.

Ať už hypotetickou kombinaci sestavíme jakkoliv, bude v ní hrát roli něco z nespolehlivého anonymního režimu, nespolehlivého VPN klienta a nespolehlivého oddělení jednotlivých verzí Opery.

Nad vším je třeba se pozastavit... (Zdroj: SEO specialista a copywriter Daniel Beránek)

Stačí to k nedůvěře?

Ne, nestačí. Každý krok je zpochybnitelný. Závěry ohledně leaků mohou být unáhlené. A nejsnadněji lze všem smést s tím, že cílový web provedl fingerprinting. 

Ovšem

Ovšem dříve tento postup fungoval. Když se uživatel schoval za VPN, cílový web ho nepoznal a test provedl. Navíc s největší pravděpodobností bylo výchozí spojení s webem provedeno v anonymním režimu a také přes VPN. A vyrojilo se vícero pochybností o vzájemném neleakování mezi jednotlivými verzemi Opery. Ale stále to nejsou exaktní výsledky s jednoznačným výsledkem - pro nedůvěru nestačí.

Souvislosti jsou vždy věc zákeřná... (Zdroj: Pixabay.com)

Část druhá - souvislosti

Na rozdíl od akademiků lpějících se exaktních výsledcích v čísličkách si pragmatici musí často vystačit s odhadem. Nebo třeba s nahromaděním negativních faktů, které přesáhne kritickou hranici...

Vlastník

Operu koupilo v r. 2016 konsorcium čínských společností. Jde o typickou změť vzájemně se prostupujících subjektů. I když se tvrdilo, že ze společnosti Opera mají jen menšinový podíl, následovaly zprávy o tom, že koupily pouze prohlížeč. Následoval vstup na NASDAQ (2018) a další spiny informačního chaosu. Nicméně se stačí podívat na strukturu aktuálních majitelů, aby bylo o vlastnictví jasno (Wikipedia.org)

  • „Beijing Kunlun Tech Co., Ltd. (Zhou Yahui) (48%),
  • Qifei International Development Co. Limited (Qihoo 360) (27.5%),
  • Keeneyes Future Holdings Inc (Zhou Yahui) (19.5%),
  • Golden Brick Capital Private Equity Fund I L.P. (5%).“

To, že čínské společnosti jsou jen prodlouženými chapadly komunistického režimu a že Čína aktivně provádí - co do cílů širokospektrální - špionáž, která je vysoce individualizovaná, co do objektu sledování, považujme za dané. 

Nereakce na problém

Výše popsaný problém jsem konkretizoval i v komunikaci vývojářům. A to přes oficiálně definovanou cestu přes účet na portálu Bugcrowd - ale i srandovně neoficiální cestou přes sociální sítě - tj. přes lidi, která má Opera k tomu, aby komunikovali.

Bez odezvy. A to ani způsobem: „Ne, tj. úplně jasnej fingerprintoš. Díky za nic.“ A né - netrpím dojmem, že mi každý na vše musí odpovědět - už proto byla cesta zdvojena na dva nejpravděpodobnější kanály.

A co s tím?

Nemáte k dispozici žádné exaktní výsledky, žádné jednoznačné závěry. Možná to je jen blábolení hebefrenního paranoika. Ostatně posouzení nechám na vás. 

Já s důvěrou ve zdravou míru paranoie:

  • odinstaloval všechny Opery; 
  • použil pokročilou odinstalaci pomocí Revo Uninstaller
  • vyčistil registru pomocí Glary Utilities
  • provedl defragmentaci registru (nabízí třeba AVG PC Tune Up)
  • dal vyčistit disk systémovým nástrojem Windows 11 (lze i pomocí Asoftis PC Cleaner), 
  • provedl defragmentaci disku (navzdory tomu, že je SSD) a
  • provedl vyčištění volného místa disku, což se rovná přepsání zdánlivě prázdného místa náhodnými daty - funkci najdete typicky v sekci Skartace dat v rozličných čističích počítače.

Nemyslím si, že by bylo od věci formátovat všechny diskové oddíly, přeinstalovat Windows 11, vyměnit systémový disk či rovnou celý počítač :D

Zdroje

 

 

Tento program naleznete ke stažení v našem katalogu www.instaluj.cz

 

 

 

 

 

System Mechanic: drahý i zadarmo

Optimalizátory Windows se netěší dobré pověsti mezi lidmi, jejichž schopnosti překračují zapnutí a vypnutí počítače. Nutno poznamenat, že to není vždy oprávněné. Často umí uživateli zpřístupnit to, co se jinak ukrývá v hloubi...

Bitdefender Internet Security ladí detaily

Bitdefender se už dávno probojoval mezi nejlepší antiviry. Navíc s úspěchem čelí i nejnovějším hrozbám v podobě nových mutací počítačových červů či agresivních botnetů. Úkolem vývojářů jeho uživatelských...

McAfee Total Protection: kvalitní výsledky, ale nic moc podání

Software McAfee má nezáviděnou pozici, kterou si ovšem vybudoval sám. A to sice nešťastným způsobem nabídky, který ho zařadil mezi crapware. Velmi často se totiž objevuje mezi softwarem, který pokud není přímo nainstalován v OEM verzích...

Outbyte PC Repair: kočkopes a přešlapy

Outbyte PC Repair má rozhodně zajímavý design prvotního skenu. Projede, identifikuje problémy a nabídne řešení v jedné dlouhé sekvenci - bez nutnosti se proklikávat jednotlivými položkami a v nich ještě hledat co a jak. Nicméně...


 
© 2005-2022 PS Media s.r.o. - digital world
 

reklama