Suojattu selain

1 Asennus & päivitys

Tämä ohjeistus koskee vain tietokoneisiin tarkoitettua Moz://a (ent. Mozilla) Firefox -selainta (tai vastaavia kuten IceWeasel), joka toimii lähes tulkoon käyttöjärjestelmästä riippumatta ja tukee useita tehokkaita laajennuksia yksityisyydensuojan kannalta.

Lataa selain osoitteesta https://www.mozilla.org/firefox tai sovelluskaupasta ja tarvittaessa päivitä Firefox (Windows: Valitse Päävalikko -> Ohje (?-merkki) -> Tietoja Firefoxista). Windowsissa selain päivittää automaattisesti myös itsensä, mikäli oletuksena olevaa toimintoa ei ole estetty jollakin tapaa. Nopeiten päivityksen saa kuitenkin tarkistuttamalla sen itse. Jos käytät MacOS:ää tai Linuxia, voit päivittää selaimen sovelluskaupan tai pakettivaraston kautta.

 

2 Selaimen perusasetukset

Asetukset -> Tietosuoja (engl. Settings -> Privacy) Seurantatiedot (engl. Tracking) -kohdasta täppää Käytä seurannan suojausta yksityisen selaamisen ikkunoissa -kohta (engl. Use Tracking Protection in Private Windows). Pyydä etteivät sivustot seuraa -kohdalla ei ole suurta merkitystä, koska vain harvat sivustot tukevat tätä vaihtoehtoa. Lisäksi tätä vaihtoehtoa tukevat sivut eivät yleensä käytä ikäviä tarkkailukeinoja tai välitä tietoja eteenpäin. Esimerkiksi Yksityisyydensuoja-sivusto tukee tätä asetusta. Siksi seuranta on järkevämpää torjua erillisillä lisäosilla, jotka estävät tarkkailun joka tapauksessa.
 


Historiatiedot (engl. History) -kohdasta valitse Firefox säilyttää Valitut historiatiedot (engl. Use custom settings for history), täppää sivustot saavat asettaa evästeitä (Accept cookies from sites) ja Salli kolmannen osapuolen evästeet: Ei milloinkaan (engl. Accept third-party cookies: Never).

Osoitepalkkikohdassa valitse ainoastaan Ehdota osoitepalkissa sivuja: Kirjanmerkeistä (engl. Bookmarks). Lopuksi valitse Selaa aina yksityinen selaus -tilassa (engl. Always use private browsing mode), jolloin selain pyytää uudelleenkäynnistystä. Uudelleenkäynnistymisen jälkeen siirry seuraavaan kohtaan.
 


Asetukset -> Turvallisuus (engl. Settings -> Security) –kohdassa lisää täppä ainoastaan ylimpään kohtaan Varoita, kun sivustot yrittävät asentaa lisäosia (engl. warn me when sites try to install add-ons). Tämä on yksityisyydensuojan näkökulmasta paras tapa, koska estä hyökkäyssivustoiksi ilmoitetut sivustot (engl. block reported attack sites)- ja estä huijaussivustoiksi ilmoitetut sivustot (engl. block reported web forgeries) -kohdat tekevät kyselyitä tietokantoihin vierailemiesi verkkosivujen osoitetiedoilla. Nämä ovat kuitenkin tietoturvallisesti ajateltuna hyviä asioita. Tämän vuoksi joudut päättämään onko yksityisyys vai tietoturva tärkeämpää omalla kohdallasi.

Salasanoja ei ole suositeltavaa tallentaa selaimeen, joten poista täpät tallenna sivustojen salasanat (engl. remember passwords for sites) ja käytä pääsalasanaa (engl. use a master password) -kohdista. Turvallisuussyistä salasanojen tallennus on järkevämpää toteuttaa erillisen ohjelman tai palvelun avulla (katso salasanat-artikkeli).
 


Lisäasetukset -> Kerätyt tiedot (engl. Advanced -> Data Choices) –kohdassa poista täpät kohdista kaukomittaus käytössä (engl. enable Telemetry), Firefoxin terveydentilaraportti käytössä (engl. Enable Firefox Health Report) ja Kaatumisilmoitukset käytössä (engl. Enable Crash Reporter).

 

3 Liitännäiset (engl. Plug-Ins):

Käytä ainoastaan tarvitsemiasi liitännäisiä! Liitännäiset löydät valitsemalla Firefox-valikko -> Lisäosat (Ctrl + Vaihto + A) -> Liitännäiset (engl. Add-ons -> Plugins). Liitännäisten valikosta on suositeltavaa klikata Kysy käynnistetäänkö -valinnat päälle, jolloin liitännäiset eivät käynnisty ilman käyttäjän erillistä lupaa. Osa www-sivuista hyödyntää Flash-, Java- ja Silverlight-liitännäisiä, jonka vuoksi nämä saattaa joutua asentamaan, jotta sivusto näkyisi tarkoituksen mukaisesti. Liitännäisten päivitykset on tärkeää tarkistaa ajoittain valitsemalla Lisäosa-valikosta Tarkista ovatko asennetut liitännäiset ajantasalla tai suoraan tästä linkistä.

Java-liitännäinen on kuitenkin suositeltavaa jättää kokonaan asentamatta tai poistaa käytöstä ja käynnistää vain pakon edessä (esim. Danske Bank vaati aiemmin Java-liitännäisen). Javasta löytyy jatkuvasti vakavia tietoturva-aukkoja, joten on turvallisinta olla sitä käyttämättä. Adobe Reader on suosittu PDF (Portable Document Format) -tiedostojen lukuohjelma ja oletuksena se asentaa selaimeen PDF-liitännäisen. Tämä kuitenkin luo turhan tietoturvariskin, koska siihen liittyviä haavoittuvuuksia hyödynnetään jatkuvasti. Tämän vuoksi on suositeltavaa ottaa myös tämä pois käytöstä ja Adobe Readerin sijaan voi käyttää esimerkiksi ilmaista Foxit Reader –ohjelmaa. Suurin osa verkkosivuista toimii hyvin vaikka kaikki liitännäiset poistettaisiin käytöstä. Kuitenkin jos näin teet, muista vaihtaa liitännäinen takaisin, jos jokin tarvitsemasi sivusto sitä vaatii.

 

4 laajennukset (engl. Add-Ons)

Estä mainokset ja seuranta asentamalla uBlock Origin. uBlock Origin on tehokas ja kevyt lisäosa, joka estää mainoksia, kävijöiden tarkkailua ja haitallisia verkkosivuja. Se mitä tämä lisäosa estää on kuitenkin täysin käyttäjästä kiinni, joten muista valita laajennuksen asetuksista käytettävät estolistat. Suositeltavia listoja kaikille blokkereille ovat Wiltteri, Easylist, Fanboy's Social Blocking List, Malware Domains ja EasyPrivacy. Vaihtoehtoisesti asenna joko Privacy BadgerAdblock Edge, Disconnect tai Ghostery. Privacy Badger on EFF:n projekti, joka estää tarkkailua algoritmeihinsa perustuen. Se estää tarkkailevat evästeet ja tunnisteet niiden käyttäytymisen perusteella toisin kuin muut lisäosat, jotka estävät ne olemassa olevien tietojensa perusteella. Disconnect on tehokas ja sen käyttämä tietokanta on vapaasti saatavilla. Disconnect tarjoaa lisäksi visuaalisen graafin estetyistä toimenpiteistä. Ghostery on puolestaan suosittu ja tehokas, mutta sen toiminta on hieman arveluttavaa, koska se toimii osaltaan mainostajien hyödyksi. On hyvä huomioida, että mainokset hidastavat www-selailua ja näiden laajennusten käyttäminen nopeuttaa Internetin käyttöä huomattavasti varsinkin hitaammilla yhteyksillä.

Vaikeuta tarkkailua lieventämällä evästeiden aiheuttamaa vaaraa asentamalla BetterPrivacy ja Self-Destructing Cookies. BetterPrivacy tuhoaa Flash-evästeet (engl. Local Shared Objects) sulkiessasi selaimen. Kyseiset keksitiedostot saattavat jäädä pitkäksikin aikaa väliaikaisten tiedostojen joukkoon ja altistaa siten käyttäjän tarkkailulle. Self-Destructing Cookies puolestaan tuhoaa evästeet sulkiessasi välilehden, mikä on tehokas keino estämään evästeiden kautta toteutettua seurantaa. Se myös tuhoaa tarkkailua suorittavat evästeet saman tien.

Estä tarkkailu käyttämällä SSL-salattuja yhteyksiä normaalin salaamattoman sijaan. HTTPS Everywhere on ehdottoman tärkeä laajennus, joka ohjaa oletuksena SSL-salattuun HTTPS-versioon, mikäli verkkosivusto löytyy laajennuksen listasta. Useat suositut www-sivustot ovat listattuna, mutta kehittyneemmät käyttäjät voivat listata myös muita haluamiaan verkkosivuja.

Älä kerro hakuhistoriaasi ulkopuolisille käyttämällä yksityisyyttä kunnioittavia hakukoneita. Firefoxissa on oletuksena käytössä Googlen hakukone, mutta tämän ongelman saa helposti korjattua asentamalla seuraavat lisäosat. IxQuick- ja DuckDuckGo -laajennukset asentavat kyseiset hakukoneet selaimen hakukone-palkkiin tai vaihtoehtoisesti DuckDuckGo Plus –laajennus lisää erillisen pikakuvakkeen selaimeen, josta löytyy laajempi hakuvalikko DuckDuckGo:lle. Jos et vielä ole käyttänyt IxQuickia tai DuckDuckGo:ta, niin nyt on korkea aika vaihtaa.

Estä HTML5 Canvas Fingerprinting, jotta tarkkailu vaikeutuu. Kyseinen, tehokas tekniikka käyttäjien yksilöintiin on käytössä monella sivustolla, jotka tarkkailevat kävijöitään. Asentamalla CanvasBlocker -laajennuksen estät nämä tunnisteet. Lisäosan toiminnan voit tarkastaa Browserleaks-sivustolla.

 

5 Edistyneet käyttäjät

Tähän asti kuvatut ohjeistukset riittävät useimmille käyttäjille, mutta teknisemmät käyttäjät voivat halutessaan ottaa enemmän asioita hallintaansa. Firefoxissa yksityiskohtaisia selaimen asetuksia pääsee muokkaamaan kirjoittamalla osoiteriville about:config ja tämän jälkeen hyväksymällä ilmestyvän varoituksen. Seuraavat ehdotukset löytää parhaiten etsimällä niitä hakupalkista.

Estä sijaintitietojen lähetys, jotta verkkosivut eivät saa tarkkaa sijaintiasi:
geo.enabled -> vaihda arvoksi false
geo.wifi.uri -> vaihda arvoksi localhost tai tyhjennä arvo

Jos käytät suomenkielistä selainta ja kieliasetuksia, saattavat verkkosivut nähdä käyttämäsi kielen ja esim. ohjata suoraan suomenkielisille sivuille. Jos haluat peittää tämän, joudut vaihtamaan selaimen kielen esim. yleisempään en-US kielitietoon. Uuden kielipaketin ja sanaston voit ladata täältä. On syytä huomioida, että verkkosivusto kykenee paljastamaan kielipaketit resource-tietojen perusteella. Tämän vuoksi yksityisyydestään huolestuneen on järkevintä asentaa selain suoraan englanninkielisenä. Tämän jälkeen vaihda kieli asetuksista käsin tai siirry about:config-osoitteeseen ja vaihda seuraavat arvot valitsemasi kielitiedon mukaisesti.
general.useragent.locale -> vaihda arvoksi en-US
intl.accept_languages -> vaihda arvoksi en-us, en

WebRTC saattaa paljastaa Windows-käyttäjän todellisen IP-osoitteen, vaikka käyttäjä salaisi verkkoliikenteensä VPN-yhteyden avulla. Tämän lisäksi se voi paljastaa aktiivisten verkkosovittimien sisäiset IP-osoitteet (esimerkiksi virtuaalikoneiden IP-osoitteet, jolloin se kasvattaa suuresti selaimen sormenjälkeä). Vaihtamisen jälkeen WebRTC ei toimi, joten muista vaihtaa asetus takaisin, mikäli tarvitset ominaisuutta.
media.peerconnection.enabled -> vaihda arvoksi false

Estä selaimen sormenjäljen perusteella tarkkailemista poistamalla tietyt toiminnot käytöstä. Tämä lisää erottuvuutta muokkaamattomasta selaimesta, mutta estää monia tarkkailumenetelmiä ja tietoturvauhkia. Ongelmien ilmetessä muista tarkastaa, johtuuko vika näiden muuttamisesta.
beacon.enabled -> vaihda arvoksi false (estää linkkien seurantaa/auditointia)
browser.cache.offline.enable -> vaihda arvoksi false (estää offline-tietojen säilytyksen)
browser.send_pings -> vaihda arvoksi false (estää linkkien klikkauksien tarkkailua)
dom.event.clipboardevents.enabled -> vaihda arvoksi false (sivut voivat muuten nähdä mitä tekstiä kopioit ja mistä kohtaa)
dom.battery.enabled -> vaihda arvoksi false (estää akun varauksen tarkkailemisen)
dom.storage.enabled -> vaihda arvoksi false (estää DOM-tietojen tallennuksen, mutta voi tuottaa ongelmia)
network.cookie.lifetimePolicy -> vaihda arvoksi 2 (tuhoaa evästeet selaimen sulkemisen jälkeen)
network.dns.disablePrefetch -> vaihda arvoksi true (estää ennakoivan dns-tietojen haun)
network.prefetch-next -> vaihda arvoksi false (estää ennakoivan sivujen latauksen)
webgl.disabled -> vaihda arvoksi true (poistaa tietoturva- ja yksityisyysriskin)

Estä PDF-tiedostojen suoraan avaaminen selaimessa. Tämä vähentää haavoittuvuuspinta-alaa ja PDF-tiedostot voidaan normaalisti avata latauskansiosta käsin sekä virustarkastaa sitä ennen.
pdfjs.disabled -> vaihda arvoksi true

SSL:n versiot ja TLS 1.0 ovat haavoittuvaisia salauksia eivätkä tarjoa enää kunnollista suojaa. Tämän vuoksi HTTPS-sivuihin, jotka käyttävät näitä ei voida täysin luottaa. Valheellisen turvallisuuden tunteen ehkäisemiseksi selain voidaan asettaa käyttämään vain uudempia TLS 1.1 ja TLS 1.2 salauksia. HUOM! Näiden asetuksen muuttaminen saattaa kuitenkin hajottaa verkkosivuja, jotka eivät tue uudempia salausprotokollia.

security.tls.version.max -> tarkista, että arvo on 3.
security.tls.version.min -> arvo 1 = vähintään TLS 1.0, arvo 2 = vähintään TLS 1.1 ja arvo 3 = vähintään TLS 1.2. (Tämä hajottaa useita sivustoja, joten ongelmien ilmetessä vaihda takaisin oletusarvoon. Oletusarvo on nykyisin 1.)

Jos et halua käyttää selaimen osoitepalkkia oletuksena olevan hakukoneen etsintätoiminteena voit estää sen keyword-arvolla:
keyword.enabled -> vaihda arvoksi false

Laajennukset:

Estä tarkkailu ja haittaohjelmat valitsemalla itse tapauskohtaisesti mitä sivustot saavat tehdä. NoScript on erittäin tehokas laajennus, jonka avulla mikään verkkosivusto ei voi suorittaa haitallista koodia ilman suostumustasi. HUOM! Tämä laajennus ”hajottaa” useat verkkosivustot mukaan lukien tämän sivun ellei sivuston anneta suorittaa JavaScriptiä. Yksityisyydensuoja-sivusto toimii kuitenkin ilman JavaScriptiäkin, linkit artikkeleihin löytyvät aihepiirien esittelyn alta. Laajennus on suositeltava edistyneemmille käyttäjille, koska se vaatii käyttäjältä sivukohtaisia toimenpiteitä.

Vaikeuta verkkosivujen tarkkailua lähettämällä niille satunnaista ja väärää dataa. Verkkosivuilla vieraillessa selain lähettää palvelimelle tietoja, joilla käyttäjä voidaan yksilöidä. Näitä ovat mm. käyttöjärjestelmä, käytettävä selain ja sen versio, fontit, IP-osoite ja maakohtaiset asetukset. Random Agent Spoofer (laajempi versio Githubissa) ja Secret Agent ovat laajennuksia, joiden tarkoitus on antaa väärää tietoa näistä ja estää siten kävijöiden yksilöinti. Nämä laajennukset saattavat aiheuttaa joidenkin www-sivustojen toimimattomuuden ja siksi ne toisinaan tarvitsevat käyttäjän ohjausta. On myös hyvä tiedostaa, että toinen näistä riittää eikä molempia ole järkevää asentaa.

Älä kerro verkkosivuille, mitä kautta sinne eksyit. Kun klikkaat verkkosivulla olevaa linkkiä lähettää selaimesi tiedon mitä kautta sivuille tulit. Tämän vuoksi esimerkiksi Googlella hakemasi hakusana tallentuu sivuston palvelimelle, jolle päädyit hakutuloksesta. Tämän voit estää käyttämällä Referrel Control- tai RefControl-laajennusta. Joissakin tapauksissa tämä saattaa kuitenkin estää sivuston toimintaa, jonka vuoksi laajennus saattaa vaatia käyttäjän toimia.

Rajoita sivustojen välisiä pyyntöjä. Useat verkkosivut käyttävät muilta sivustoilta haettavia tietoja ilman, että sivuston käyttäjä on tietoinen tästä. Tämä edesauttaa mm. sivuston kävijöiden surffailutottumusten tarkkailua tai ns. Cross-Site Request Forgery (CSRF) -haavoittuvuusten käyttämistä sivujen käyttäjää vastaan. Nämä pyynnöt voit estää automaattisesti RequestPolicyContinued-laajennuksella. Tällöin jokainen pyyntö tulee erikseen hyväksyä tai sallia pysyvällä säännöllä. Tämä kuitenkin hajottaa useita verkkosivuja ja vaatii käyttäjältä paljon huomiota, joten lisäosaa voidaan suositella vain kokeneemmille käyttäjille.

Tarkasta verkkosivujen SSL-salaus. Calomel SSL Validation lisää kilpi-pikakuvakkeen selaimen lisäosapalkkiin, joka värjäytyy sen mukaan miten tehokas SSL-salaus sivustossa on. Tämän lisäksi salauksen tiedot voidaan nopeasti tarkistaa klikkaamalla kilpeä. Vaihtoehtoisesti CipherFox-laajennus lisää SSL-salauksen tiedot alapalkkiin nopeaa tarkistusta varten.

Estä MITM-hyökkäyksiä tarkistamalla milloin sertifikaatit muuttuvat. Certificate Patrol -laajennus pyytää hyväksyntää sivustojen sertifikaateista ja tarkistaa milloin ne muuttuvat. Selain luottaa sokeasti CA-allekirjoitettuihin sertifikaatteihin, mutta laajennuksen avulla voidaan nähdä yhtäkkiset sertifikaattien muutokset ja toimia tilanteen mukaisesti.

Tutki nopeasti verkkosivujen luotettavuutta. FlagFox-laajennuksen avulla näet heti missä maassa sivuston palvelin sijaitsee ja voit katsoa mm. IP-, Whois- ja DNS-tiedot tai tarkistaa sivuston McAfeen SiteAdvisorista, VirusTotalista ja WOT:ista.

Katso tukevatko vierailtavien sivustojen nimipalvelimet DNSSEC-laajennusta. DNSSEC/TLSA Validator -laajennus tarkistaa heti www-sivua avattaessa nimipalvelimen tuen. Liitännäinen tarvitsee DNSSEC-tuetun nimipalvelimen, jonka vuoksi saatat joutua vaihtamaan sen joko verkkoyhteyksistä tai liitännäisen asetuksista. Voit käyttää esim. Swiss Privacy Foundationin DNS-palvelimia, jotka löytyy DNS-osiosta. Lisätietoja DNSSEC:istä löydät mm. viestintäviraston sivuilta. Tämä laajennus on turha useimmille käyttäjille ja saattaa hidastaa merkittävästi käyttökokemusta.

Ilmaise oma kantasi yksityisyydensuojaan syöttämällä käyttäjiään tarkkaileville hakukoneille ja mainostajille väärää tietoa. TrackMeNot-laajennus toimii taustalla ja lähettää satunnaisia hakuja suosituille hakukoneille. Adnauseam puolestaan klikkaa surffailun taustalla jokaista mainosta. Ideana on että käyttäjä estää mainosten näkymisen selaimessaan jollakin toisella lisäosalla ja Adnauseaum-lisäosa klikkailee näkymättömiä mainoksia. Näiden laajennusten tarkoitus on siis lähettää järjettömän paljon turhaa tietoa ympäriinsä, jolloin yksilöivä tarkkailu vaikeutuu.

 

6 Muut selaimet:

Jos jostain syystä et halua käyttää Firefoxia, voit kokeilla seuraavia selaimia, jotka tarjoavat kukin omalla tavallaan suojaa tai yksityisempää www-selailua. Chromium-pohjaisiin selaimiin on saatavilla mm. tehokkaat lisäosat uBlock Origin ja uMatrix.

Tor Browser Bundle

JonDoFox

IceCat

Epic Privacy Browser

SRWare Iron

Whitehat Aviator

Comodo IceDragon

Comodo Dragon