Używasz trybu incognito myśląc, że jesteś anonimowy? Koniecznie przeczytaj...

Wielu użytkowników korzysta z trybu incognito żyjąc w przekonaniu, że ich prawdziwa tożsamość jest chroniona. Niestety narzędzie pozwalające nas zidentyfikować jest znane od lat. I działa w większości przeglądarek.

Tryb incognito pozwala na przeglądanie stron internetowych anonimowo - odwiedzane witryny nie zapisują się w historii przeglądarki. Podczas anonimowej sesji nie zostaniemy też "skojarzeni" przez serwer na podstawie ciasteczek czy zapamiętanych haseł.

Przeglądając internet w ten sposób większość użytkowników sądzi, że jest dla administratorów stron anonimowa. Niestety najnowsze testy, które opisuje serwis Zaufana Trzecia Strona dowodzą, że zidentyfikowanie użytkownika korzystającego z trybu incognito jest niezwykle proste.

Incognito czyli co?

Tryb incognito polega na zmianie sposobu komunikacji z serwerami. Przeglądarka stosuje HSTS (HTTP Strict Transport Security). Oznacza to, że cała komunikacja jest realizowana przez bezpieczny protokół HTTPS - nikt nie powinien więc takiej komunikacji podsłuchać.

Niestety, HSTS został stworzony w na tyle niedoskonały sposób, że znana o lat luka również dziś sprawia, że korzystanie z trybu incognito nie zapewnia anonimowości. Zaufana Trzecia Strona wyjaśnia ten mechanizm.

Przeglądarka obsługująca ten tryb przechowuje lokalnie informacje o tym, czy dany adres posiada flagę HSTS czy też nie. Informację taką można odczytać np. za pomocą JavaScriptu. Widzicie już zagrożenie? Skoro strona internetowa może zapisać w przeglądarce zestaw flag dla wybranych adresów, to nie jest problemem zakodowanie w ten sposób całej wiadomości np. w formie unikatowego identyfikatora.

Później wystarczy odpytać przeglądarkę, również działającą w trybie incognito, o ten zapisany w kodzie strony kod. Istnieje spora szansa, że nasza sesja zostanie więc skojarzona.

Jak to działa w praktyce

Otwórzcie tę stronę, następnie otwórzcie nowe okno w trybie incognito, ponownie załadujcie w nim testowy adres i odświeżcie stronę (to konieczne, szczególnie w przypadku Chrome). Każda z naszych przeglądarek dała się w łatwy sposób namierzyć. Administrator odwiedzanej strony korzystający z podobnego narzędzia może więc nas w łatwy sposób zidentyfikować.

Co robić?

Zaufana Trzecia Strona wyjaśnia, że problem w większości przeglądarek rozwiązuje kasowanie ciasteczek. Użytkownicy sprzętu Apple są w gorszej sytuacji.

Na iPhonie i iPadzie użytkownik nie ma możliwości skasowania flag HSTS przez użytkownika. Co więcej flagi te synchronizowane są z kontem iCloud, dzięki czemu użytkownika można prawidłowo identyfikować również pomiędzy różnymi urządzenia, jeśli na wszystkich korzysta z tego samego konta Apple czy też na przykład po pełnym resecie urządzenia.

Tryb incognito nie zapewnia więc nam anonimowości - warto o tym pamiętać.

Więcej o:
Komentarze (42)
Używasz trybu incognito myśląc, że jesteś anonimowy? Koniecznie przeczytaj...
Zaloguj się
  • Bruno Hel

    Oceniono 194 razy 186

    Przecież trybu incognito, używa się raczej po to, aby współużytkownicy tego samego komputera nie wiedzieli jakie strony ktoś odwiedza.
    Jak ktoś chce być anonimowy w sieci to są od tego inne narzędzia, jak choćby TOR, proxy, VPN.

  • fafarafafafa

    Oceniono 83 razy 71

    Bosz. Specjaliści od siebmiu boleści. Po pierwsze - ID w "zwykłym" oknie i w trybie incognito są różne - czyli nie ma śledzenia klientów "między strefami". Po drugie - zamknięcie okna trybu incognito i otwarcie go na nowo daje nowe ID. (FF34)
    I do tego jest tryb incognito. Jeśli komuś się wydaje, że tryb ten robi coś innego niż w rzeczywistości, to już jego problem. (a to, że produkty z ogryzkiem są kalekie, to wszyscy wiedzą, tylko niektórzy wypierają; żadna nowość).

  • vounsky

    Oceniono 57 razy 53

    I Firefox i Chrome same ostrzegaja przy wlaczeniu trypu prywatnego/incognito, ze tryb ten nie czyni uzytkownika niewidzalnym/anonimowym. Wystarczy czytac co sie pojawia na ekranie. Robienie newsa z niczego, moim skromnym zdaniem

  • vladek

    Oceniono 50 razy 48

    Tryb prywatny / incognito jest po to by nie musiec czyscic historii odwiedzanych stron z figlami.
    Chroni zapominalskich przed wscibska zona lub dziewczyna a nie przed wyjadaczami od szpiegowania uzytkownikow online...

  • antyrzad

    Oceniono 37 razy 33

    Widzę, że pana redaktora, administrator przyłapał na oglądaniu porno zamiast na redagowaniu poważnych artykułów.

  • perkis1234

    Oceniono 31 razy 27

    cyt. ,,Otwórzcie tę stronę, następnie otwórzcie nowe okno w trybie incognito, ponownie załadujcie w nim testowy adres i odświeżcie stronę. Każda z naszych przeglądarek dała się w łatwy sposób namierzyć. "

    Mi wyświetliło DWA RÓZNE kody :DD

  • dannniello

    Oceniono 25 razy 23

    Rety co za bzdury... Trybu incognito i kwestii anonimowości w sieci to nawet osoba nieobeznana z technologiami nie powinna pomylić, a co dopiero autor wiadomości w serwisie z "technologie" w nazwie...

  • tomasz0111

    Oceniono 28 razy 18

    Incognito służy do czegoś innego... Ale i tak Chrome (przypomnę: najpopularniejsza przeglądarka na świecie) jest odporny na to "zagrożenie": wyświetla dwa różne kody. Autorom gratuluję pogłębionej analizy problemu :)

  • a_usher

    Oceniono 15 razy 15

    Nazwa "tryb incognito" może wprowadzać w błąd. Firefox używa nazwy "tryb prywatny", która lepiej odzwierciedla istotę rzeczy: dane są znane tylko dwóm stronom komunikacji - użytkownikowi i odwiedzanej witrynie. Nie ma mowy zatem o anonimowości - bo niby jak może być anonimowy użytkownik korzystający z trybu prywatnego do połączenia z bankiem?

Aby ocenić zaloguj się lub zarejestrujX