Análise da proposta de orçamento de privacidade do Google

Embora pareça uma ideia atraente, a análise detalhada da proposta pela Mozilla levanta questões sobre sua viabilidade.

As impressões digitais são uma grande ameaça à privacidade do usuário na Web. A impressão digital usa as propriedades existentes do seu navegador, como o tamanho da tela, as extensões instaladas, etc. para criar um identificador único ou semi-único que ele pode usar para rastreá-lo. Mesmo que os valores individuais não sejam particularmente únicos, a combinação de valores pode ser única (por exemplo, quantas pessoas que estão executando o Firefox Nightly, vivem em Dakota do Norte, têm um Mac M1 e um monitor grande, etc.)

Este post discute uma proposta do Google para abordar a impressão digital chamada Orçamento de Privacidade. A ideia por trás do Orçamento de Privacidade é estimar a quantidade de informações reveladas por cada pedaço de informação de impressão digital (chamada de “superfície de impressão digital”, por exemplo, resolução de tela) e, em seguida, limitar a quantidade total dessas informações que um site pode obter sobre você. Uma vez que o site atinja esse limite (o “orçamento”), novas tentativas de aprender mais sobre você falhariam, talvez relatando um erro ou devolvendo um valor genérico. Essa ideia vem recebendo uma boa quantidade de atenção e tem sido proposta como uma potencial mitigação de privacidade em algumas especificações W3C em desenvolvimento.

Embora pareça uma ideia atraente, a análise detalhada da proposta pela Mozilla levanta questões sobre sua viabilidade.

Uma série de problemas:

• Estimar a quantidade de informação revelada por uma única superfície é bastante difícil. Além disso, como alguns valores serão muito mais comuns do que outros, qualquer estimativa total é enganosa. Por exemplo, o navegador Chrome tem muitos usuários e, portanto, aprender que alguém usa o Chrome não é um identificador suficiente; por outro lado, aprender que alguém usa o Firefox Nightly é bastante identificador porque há poucos usuários do Nightly.
• Mesmo que possamos definir um valor comum para o orçamento, não está claro como determinar se um determinado conjunto de consultas excede esse valor. O problema é que essas consultas não são independentes e, portanto, você não pode simplesmente somar cada consulta. Por exemplo, a largura da tela e a altura da tela são altamente correlacionadas e, portanto, uma vez que um site tenha consultado um, aprender o outro não é muito informativo.
• A imposição provavelmente levará a uma interrupção inesperada e disruptiva do site, porque eles podem exceder o orçamento e, em seguida, não poder fazer chamadas de API que são essenciais para o funcionamento do site. Isso será exacerbado porque a ordem em que o orçamento é usado não é determinística e depende de fatores como o desempenho da rede de vários sites, de modo que alguns usuários sofrerão interrupções e outros não.

É possível que o mecanismo de orçamento de privacidade em si possa ser usado para rastreamento, esgotando o orçamento com um padrão específico de consultas e, em seguida, testando quais consultas ainda funcionam (porque elas já tiveram êxito).

Embora seja compreensivo o apelo de uma solução global para impressão digital — e sem dúvida essa é a motivação para a ideia do Orçamento de Privacidade que aparecer nas especificações — o problema subjacente aqui é a abundância de impressões digitais que está exposta à Web. Não parece haver um atalho para resolver isso. A melhor abordagem é minimizar a superfície de impressão digital de fácil acesso, limitando a quantidade de informações expostas por novas APIs e gradualmente reduzindo a quantidade de informações expostas pelas APIs existentes. Ao mesmo tempo, os navegadores podem e devem tentar detectar padrões abusivos por sites e bloquear esses sites, como o Firefox já faz desde a v72.

🐼 Participe do Canal no Telegram