Z radością ogłaszamy premierę owocu ostatnich miesięcy naszej ciężkiej pracy: wtyczki do Firefoxa, która analizuje skrypty na stronach i na podstawie zebranych danych ułatwia sprawdzenie, dokąd idą Twoje dane zebrane na stronie i sformułowanie maila do administratora strony opisującego potencjalne problemy z jej zgodnością z RODO.
Prace, które zaczęliśmy już w zeszłym roku, przybrały w kwietniu na sile tak mocno, że aż wstrzymaliśmy tymczasowo naszą działalność podcastową. Wraz z premierą wtyczki wznawiamy nagrywanie odcinków i pisanie artykułów, więc serdecznie zapraszamy do słuchania i subskrybowania 💪
Odcinek #33
O pracach nad wtyczką i o tym jak działa, opowiadamy także w najnowszym odcinku podcastu, którego możecie posłuchać tutaj:
Wtyczka Rentgen
Rentgen to wtyczka dla przeglądarek opartych o Firefoxa, która automatycznie wizualizuje, jakie dane zostały wysłane do podmiotów trzecich przez odwiedzane strony.
Na podstawie wyników automatycznej analizy generuje kwestionariusz dla użytkownika dotyczący polityki prywatności i innych „miękkich” aspektów strony. Po udzieleniu odpowiedzi użytkownik dostaje od wtyczki wygenerowaną treść maila, którego może wysłać do administratora strony, aby użyć swojego prawa dostępu do informacji o tym, jak są przetwarzane jego dane osobowe.
Wtyczka jest wolna i otwarta (FOSS), wydana na licencji GPL 3.0, a jej kod źródłowy jest dostępny na naszej instancji Gitea, a także jako mirror na GitHubie.
Funkcje Rentgena
Wykrywanie skryptów
Kiedy znajdujemy się na wybranej stronie internetowej, wtyczka Rentgen informuje nas o liczbie domen podmiotów trzecich, z jakimi komunikowała się witryna. Mogą to być domeny, dla których dokonano zapisu i odczytu plików Cookie, a także domeny, którym udostępniono część twojej historii przeglądania.
Po kliknięciu ikony wtyczki w pasku przeglądarki widzimy liczbę domen podmiotów trzecich oraz podział na „czerwone” (dotyczące ciasteczek) i „żółte” (dotyczące ujawnienia historii przeglądania) domeny.
„Najlepsi” w branży dobiją do ponad 100 domen podmiotów trzecich! 🫠
Przycisk Przejdź do analizy prowadzi nas do kolejnej funkcji Rentgena.
Analiza i wizualizacja ruchu sieciowego generowanego przez stronę internetową
Podczas analizy możesz zobaczyć listę domen oraz subdomen, z którymi badana strona „dzieliła” się danymi.
Wtyczka dokonuje wstępnej oceny istotności danych i na podstawie opracowanej heurystyki automatycznie zaznacza potencjalne rekordy, którą mogą stanowić dane osobowe.
Jako użytkownik masz okazję zobaczyć, jak wiele danych jest gromadzonych podczas przeglądania jednego artykułu na popularnych stronach internetowych.
Zaawansowany użytkownik może samodzielnie zaznaczyć lub odznaczyć wpisy na tej liście. W dalszych krokach wtyczka będzie brała pod uwagę tylko zaznaczone rekordy.
Generowanie raportu / treści maila dla administratora
Wtyczkę Rentgen kierujemy zarówno do użytkowników, jak i administratorów stron internetowych. Użytkownicy mogą wygenerować mail do administratora z pytaniami dotyczącymi tożsamości podmiotów i podstaw prawnych, a administratorzy mogą wygenerować raport, który zawiera listę potencjalnych obszarów roboczych pod względem zgodności z RODO.
Wtyczka na podstawie zebranych informacji zadaje serię pytań dotyczących „miękkich” aspektów strony, których nie da rady poddać automatycznej analizie, jak na przykład:
- Czy polityka prywatności wskazuje, jakie podstawy prawne są używane do takiego przetwarzania danych?
- Czy okienko proszące o zgodę daje możliwość odmówienia zgody?
Treść wygenerowanego maila lub raportu łączy zatem wiedzę opartą o to, co zobaczył komputer wraz z tym, jak stronę widzi człowiek.
Twoje odpowiedzi pomagają wtyczce oszacować potencjalne obszary robocze względem zgodności z RODO, czego efektem jest przygotowany dokument. Treść możesz skopiować i przesłać do administratora witryny.
Przygotowywanie zrzutów ekranów narzędzi deweloperskich
Obraz mówi więcej, niż tysiąc słów. Załączanie zrzutów ekranu ilustrujących znalezione na stronie problemy ułatwia komunikację — od maila do administratora aż po UODO (Urząd Ochrony Danych Osobowych). Zrzuty ekranu robiliśmy i opisywaliśmy kiedyś ręcznie. Włączaliśmy narzędzia deweloperskie w Firefoksie, znajdowaliśmy problematyczne elementy ruchu sieciowego, zapisywaliśmy zrzut ekranu, dodawaliśmy adnotacje... To zawsze był najbardziej czasochłonny element całego procesu.
Dlatego też wtyczka Rentgen automatyzuje to — wykona zrzuty za Ciebie 📸
Wtyczka Rentgen potrafi wykonać na Twoje życzenie zrzuty ekranów odwiedzanej przez Ciebie strony wraz z automatycznie dodanymi adnotacjami o sztucznie nadawanym identyfikatorze w Cookie czy ujawnionej historii przeglądania.
Uwaga – zrzuty ekranu są generowane nie w Twojej przeglądarce, ale na naszym serwerze. Dlatego:
Wtyczka Rentgen na każdorazowe jednoznaczne życzenie użytkownika może wysłać dane w zakresie odwiedzonego URL strony internetowej na serwery należące do inicjatywy „Internet. Czas działać!” w celu wykonania zrzutów ekranu tej strony.
Jest to czynność opcjonalna. Zebrane dane nie są wysyłane do żadnych podmiotów trzecich i są usuwane z serwera po 24 godzinach.
Po wygenerowaniu zrzuty ekranu można pobrać jako plik zip. Generowanie potrafi trwać kilka minut, a do nasz serwer jest w stanie obsługiwać tylko dwóch użytkowników jednocześnie. Pracujemy nad przyspieszeniem kodu generowania zrzutów ekranu.
Jak zainstalować Rentgena?
Rentgena możesz zainstalować za pomocą Mozilla Addons:
a także kompilując wtyczkę lokalnie, na podstawie instrukcji dostępnej w naszym repozytorium.
Jak wspierać dalszy rozwój Rentgena?
Instalując Rentgena!
Dołącz do nas i wspomóż nas w czyszczeniu polskiego internetu ze skryptów śledzących, braku poszanowania dla prywatności użytkowników oraz nieprawidłowych implementacji RODO. Kliknij tutaj, aby przejść do instalacji.
Zgłaszając błędy i pomysły dotyczące wtyczki
Aby zgłosić problem bądź propozycje nowych funkcji, możesz:
- napisać do nas maila kontakt@internet-czas-dzialac.pl;
- zostawić komentarz pod tym artykułem;
- zostawić recenzję pod wtyczką na Mozilla Addons.
Każdy problem zostanie przez nas sprawdzony i przeniesiony na widoczną publicznie listę zgłoszeń na naszej instancji Gitea.
Programistycznie
Mile widziane będą każde pull requesty do Rentgena! Wtyczka korzysta z TypeScript, JavaScript, HTML, CSS, backend do screenshotów korzysta z Basha, Dockera, Pythona i TypeScripta. Zgłoszenia i forki przyjmujemy mailowo (kontakt@internet-czas-dzialac.pl), nie za pomocą Microsoft Github.
Finansowo
Możecie nas wesprzeć na kilka sposobów: poprzez Patronite, za pomocą przelewu, a w ostatnim czasie poszerzyliśmy możliwość wspierania nas o usługę Liberapay. Liberapay pozwala na wspieranie nas anonimowo, do czego gorąco zachęcamy!
Wracamy na blogowo-podcastowe tory
Dziękujemy Wam za cierpliwość w ciągu ostatnich kilku pozbawionych nowych odcinków miesięcy. Dzięki naszemu tymczasowemu wycofaniu udało się osiągnąć cel — wtyczka została opublikowana. Możecie ją pobierać z Mozilla Addons i oczekiwać kolejnych materiałów ICD w najbliższej przyszłości!
Źródła
Arkadiusz Wieczorek