Ska inte nå disken

Testet av den privata surfningen kan sammanfattas med att då privat surfning används uppnås två saker. För det första: Det som händer under privat surfning når inte disken, om vi bortser får virtuell minneshantering. För det andra: Den tidigare aktiviteten under den öppna surfningen sammanblandas inte med den privata. Insticksprogram som till exempel Flash arbetar mot disk vid öppen surfning men frikopplar sin lokala cookie-hantering då privat surfning är aktiverad.

Däremot skiljer det sig mellan de olika webbläsarna hur mycket information som anses kunna läcka över från den öppna surfningen till den privata.
Samma funktion och skydd skulle uppnås om man raderar all historik då man stänger sitt läsarfönster.

Testet visade att det krävs mycket för att bli anonym. Privat surfning skyddar mot insyn från familjemedlemmar, men det finns minst två ytterligare åtgärder som bör göras innan man kan säga att man nått en viss grad av anonymitet mot nätangripare och webbservrar.

Det ena är att dölja sin ip-adress. Det gör du med hjälp av anonymiseringstjänster. Det andra är att dölja det digitala fotavtryck som webbläsaren avger. För det krävs till exempel att surfning sker via proxy som filtrerar bort parametrar som webbläsarna skickar.

Så kan du konfigurera:

Trots att de testade webbläsarna länge samexisterat på marknaden är de inte helt harmoniserade vad gäller funktionalitet och konfigurationsmöjligheter för privat surfning.

Att använda anonymiseringstjänster som döljer ip-adress är inte helt trivial. Det kan vara så enkelt som att angriparen kan kartlägga vem som gör vad genom att avlyssna ingående och utgående trafik till en anonymiseringstjänst. Säkerheten i en anonymiseringstjänst bygger därför på att antalet användare av tjänsten är tillräckligt många samt att det finns flera serverhopp, som i till exempel Tor. Det säger sig självt att en anonymiseringstjänst med bara en användare inte ger mycket säkerhet eftersom man då enkelt kan göra en matchning av ingående och utgående trafik.

Ett annat problem som föreligger är så kallat aktivt innehåll, till exempel Java och Flash. En angripare kan genom att skriva ett eget applet-program, som användaren luras att aktivera, uppnå samma effekt som om angriparen bad användaren lämna ut uppgifterna via e-post. Sådana applet-program föregås dock av en hel del varningar som användaren ombeds acceptera innan datorn kartläggs. Ibland förekommer det dock att sådana spärrar deaktiverats för att användare vill slippa varningar som orsakas av interna webbapplikationer. I det fallet ger en anonymiseringstjänst i princip inget skydd.

Betyg:


(Klicka för större bild)

Microsofts Internet Explorer version 11 är bäst i vårt test, men ingen av webbläsarna når den nivå som man skulle önska. Att till exempel resultaten i fotavtryckskategorin ser ut som de gör kan bero på att användarupplevelsen är prioriterad framför den personliga integriteten.

För dig som verkligen vill surfa privat

Några ytterligare råd för hur man ska konfigurera dator och webbläsare för att värna sin anonymitet på nätet:

1. Avaktivera förvald sökmotor.
2. Använd alltid webbläsarens privat surfning-läge när du surfar via en anonymiseringstjänst.
3. Stäng alltid av webbläsaren innan du kopplar upp eller ned dig från en anonymiseringstjänst.
4. Använd inga insticksprogram över huvudtaget – inget Java, Silverlight, Flash eller liknande alls. De har en egen cookie-hantering som inte alls påverkas av vilka inställningar för privata surfning du gör.
5. Tänk på att bestående kakor är tillåtna även vid privat surfning. Ha som regel att gå ut och in
i privat surfning så att du håller sessionerna så korta som möjligt.
6. Om du är riktigt paranoid: Slå av möjligheten att hantera cookies. Det försämrar dock surf­upplevelsen och funktionaliteten i webbläsaren.
7. Tillåt aldrig tredjeparts-cookies.
8. Stäng av funktioner som tillåter automatisk ifyllning av formulär eller lösenord.
9. Stäng av all virtuell minneshantering.
10. Aktivera Do not track-meddelande till server.

TechWorlds slutsats

Som testerna visat är det inte lätt att skydda sig, och den som vill försöka vara anonym via privat surfning-funktioner tvingas göra avkall på en hel del funktionalitet. Man är tvungen att ha sträng privat-disciplin. Om privat surfning används hela tiden är det i princip ingen skillnad mot vanlig surfning. Som användare ska man i stället använda privat surfning när det behövs. Man är som användare också tvungen att konfigurera och installera andra funktioner för att överhuvudtaget bli anonym.

Vår slutsats är att Internet Explorer är bäst i test. Resultatet kan beskrivas som att man får en ”temporär” anonymitet som främst riktar sig mot aktörer som saknar forensisk kapacitet eller kapacitet för att genomföra korrelationsangrepp, till exempel snokande familjemedlemmar eller företag som bara vill samla in information för riktad annonsering. Däremot kan ingen av de testade lösningarna betraktas som tillräcklig för att kringgå forensisk analys.

Fakta

Magnet Forensics har på sin blogg visat på effekterna av privat surfning-funktioner vid forensiska analyser – deras arbete påverkas inte nämnvärt:
tinytw.se/magfor
Om du vill testa och se vilken information din webb­läsare avger om din klient, så kan du testa själv på:
browserspy.dk eller tipcheck.info
Stanford Security Laboratory har en presentation och artikel där man utvärderar privat surfning. Den ger mer djup i ämnet, men notera att den är något daterad – vissa problem som nämns har nu avhjälpts:
tinytw.se/usepriv

bestående kaka, persistant cookie: Kaka som lagras i läsaren för senare användning. Det är webbservern som bestämmer hur länge sådana ska sparas normalt. Nästa gång användaren går till sidan identifierar sig användaren genom att skicka den nedlagrade bestående kakan. Används för spårning och för att möjliggöra inloggningar på webbsidor.

fotavtryck: En webbläsare kan skicka iväg en stor mängd information om din dator till webbservern i syfte att ge dig den bästa användarupplevelsen. I begreppet fotavtryck ingår bland annat fontlistor, skärmstorlek, lista på plugin och versionsnummer. Allt detta skapar en unik signatur för just din webb­läsare. Ju mer datorn har använts och uppdaterats desto mer unik blir signaturen, det vill säga fot­avtrycket.

kaka, cookie: Värde som används för att kunna återidentifiera en användare. Med hjälp av kakor kan en session hållas vid liv. Blockar man alla kakor kan man i princip inte längre logga in på någon sajt.