Názory k článku
Jak zabránit identifikaci podle psaní na klávesnici

z jejich prezentace/grafu vyplývá, ze nahodne zvysuji latenci odeslani stisknute klavesy. Latence se zvysuje az o sekundu :(

Ta prezentace s tou kmitající rukou je otřesná, bolí z ní oči.

Každopádně pokud to správně chápu, tak něco, co jde vyřešit patchem do kernelu řeší pomocí USB zařízení, které simuluje USB-HID a má v sobě nějaký embed procesor, který ve skutečností můžete s těmi daty dělat navíc něco nekalého? No thanks.

něco, co jde vyřešit patchem do kernelu
Na druhou stranu je to hotové zařízení, které nepotřebuje zasahovat do kernelu.

...má v sobě nějaký embed procesor, který ve skutečností můžete s těmi daty dělat navíc něco nekalého
To mě taky napadlo, ale pokud ta data někam neodvysílá, tak by je musel předat v nestřežené chvíli třeba jako klávesnice nebo jako soubor na USB disku a to by se prozradilo. Nebo by si všechny klávesy ukládal do paměti a pak je vyvolat nějakým příkazem nebo propojkou, pokud by se tento HW dostal někomu cizímu do ruky.

Tenhle problém má zjevné řešení na úrovni OS (třeba na Linuxu přes evdev+uinput, případně custom kernel modul), které ani stránky nemůžou detekovat, ani nevyžaduje speciální hardware, navíc funguje třeba s vestavěnou klávesnicí v notebooku. Moc nevidím přínos HW řešení (kromě obskurních případů typu použití na nedůvěryhodném počítači).

Schválně jsem vylezl z brlohu a prošel se po kancelářích. USB klávesnice má tak pětina lidí, zbytek buď notebooky nebo bluetooth klávesnice. Je to jak píšete.

To už by ale nebyl ten správnej byznys.

Teda - a já už před třiceti lety měl "zabezpečenej" počítač tím, že člověk napsal jméno - a podle rychlosti zadávání to poznalo, jestli je to ten správný uživatel nebo si to má ještě říct o heslo.
S touhle novinku by heslo zadával každý.

O to právě jde.

No - u toho přihlašování to byla "chtěná" funkčnost, ale budiž.
Ještě by mohli něco udělat proti "versi 2" (nedokončené), která dlouhodobě analyzovala psaní na klávesnici se zvláštním zaměřením na klávesu "backspace" a odhadovala (vcelku přesně), kdo sedí za klávesnicí podle oprav překlepů. ;o)

ja používam ibus-typing-booster, je tda nemožné ma identifikovať týmto spôsobom?

A ked pouzivam automaticke vyplnanie password managera?

Brzy se dostaneme k tomu, že do myši a klávesnice budeme nahrávat certifikát pro zabezpečenou komunikaci a psát budeme s pytlem přes ruce - aby webkamera náhodou neviděla. Ještě je potřeba pořešit, aby úhozy neodposlouchával mikrofon.

No nvm skusil som ten keytrac jak ma dokaze identifikovat. Standardne pisem rychlostou okolo 130-150 WPM. Kedze vacsina ludi tak rychlo nepise tak celkom verim ze ma to dokazalo identifikovat s 99% presnostou.

No stacilo mi spomalit tak na polovicu (~80WPM) a uz mi povedali ze ma identifikovali ledva na 2%.

Lesson learned: Pri veciach, kde nechcem aby ma identifikovali budem proste pisat pomalsie, alebo jednou rukou a nepotrebujem HW device ktory ma akurat tak bude iritovat tym ze nebudem mat instant feedback po kliknuti klavesu lebo vraj vedia zvysit latenciu klavesnice az na sekundu.

zvykl jsem si psát komentáře bokem a až jako celek nakopírovat do stránky, právě díky webům jako root, kdy než člověk dopíše komentář, je odhlášen (forum).

Dostáváme se do situace, kdy je vlastně přímá interakce s webem nebezpečná a nejspíš za roky dojdeme do stavu, kdy s ním budeme komunikovat nepřímo či přes prostředníka.

Někdo si řekne, co je špatného na tom, že někdo zjistí, že to jsem já. Kromě oblígátních reklam nastává poslední dobou ale větší problém a to v podobě cílených útoků, napadený web umí dělat vše bez povšimnutí než se na něm objeví cílový uživatel. Dnes obrovská spousta uživatelů dělá v práci něco, co je pro někoho jiného důležité, má přístup k informacím, které jsou pro jiné cenné.

Především bychom si měli umět říct, co považujeme za nebezpečné a vůči čemu. Mně osobně je třeba víceméně jedno, jestli mě někdo s určitou nepřesností identifikuje pro účely reklamy (tj. spojí si mě a mě dohromady). Není mi však jedno, pokud by k tomu měl připojovat moje osobní informace (včetně jména) a není mi jedno, jestli to využije pro jakýkoliv jiný účel.

Nemyslím, že identifikaci jde na internetu zabránit. Jde to ztížit. Je to ale ke prospěchu věci? Ve výsledku ty informace o mě dokáží zjistit jen ti nejsilnější hráči (třeba google, facebook, microsoft), kteří i po ztížení mají dostatek dat o provozu. Nakonec tímto "bojem za soukromí" tvoříme nezničitelné (mono|oligo)poly, které nakonec nebudeme umět nijak vyřešit.

Jestli v něčem vidím cestu, tak ne v tom bohapustě říkat "chceme soukromí", ale zcela konkrétně říkat, jak se smí s nevyhnutelnými [meta]daty pracovat. Pokud má zůstat internet globální, bude potřeba stanovit pravidla také globálně.

Pak je tu ještě další cesta. Smířit se s tím, že zadarmo není nic na světě. Nic nám nebrání přestat využívat "úžasné" služby zadarmo, zaplacené cílenou reklamou.

Nic nám nebrání přestat využívat "úžasné" služby zadarmo, zaplacené cílenou reklamou.
To je krutá pravda. Kdyby nebylo občasných výpadků některých populárních služeb, spousta z nás by si ani neuvědomila, jak jsme na nich závislí. A co když takové služby používá zaměstnavatel či obchodní partner, pošleme ho do...?