Grafika przedstawiająca przeglądarkę internetową przychodzącą do lekarza radiologa
Przychodzi przeglądarka do lekarza radiologa... (Autor: Jan Kryciński)

Z radością ogłaszamy premierę owocu ostatnich miesięcy naszej ciężkiej pracy: wtyczki do Firefoxa, która analizuje skrypty na stronach i na podstawie zebranych danych ułatwia sprawdzenie, dokąd idą Twoje dane zebrane na stronie i sformułowanie maila do administratora strony opisującego potencjalne problemy z jej zgodnością z RODO.

Rentgen — pobierz to rozszerzenie do 🦊 Firefoksa (pl)
Rentgen to wtyczka, która automatycznie wizualizuje, jakie dane zostały ~~wykradzione~~ wysłane do podmiotów trzecich przez odwiedzane strony. Pozwala wygenerować raport lub treść maila, który można wysłać do administratora strony i/lub UODO.
Interfejs wtyczki Rentgen, który informuje nas o problemach na stronie Spidersweb.pl
Interfejs wtyczki Rentgen, który informuje nas o problemach na stronie Spidersweb.pl

Prace, które zaczęliśmy już w zeszłym roku, przybrały w kwietniu na sile tak mocno, że aż wstrzymaliśmy tymczasowo naszą działalność podcastową. Wraz z premierą wtyczki wznawiamy nagrywanie odcinków i pisanie artykułów, więc serdecznie zapraszamy do słuchania i subskrybowania 💪

Odcinek #33

O pracach nad wtyczką i o tym jak działa, opowiadamy także w najnowszym odcinku podcastu, którego możecie posłuchać tutaj:

Wtyczka Rentgen

Rentgen to wtyczka dla przeglądarek opartych o Firefoxa, która automatycznie wizualizuje, jakie dane zostały wysłane do podmiotów trzecich przez odwiedzane strony.

Rentgen — pobierz to rozszerzenie do 🦊 Firefoksa (pl)
Rentgen to wtyczka, która automatycznie wizualizuje, jakie dane zostały ~~wykradzione~~ wysłane do podmiotów trzecich przez odwiedzane strony. Pozwala wygenerować raport lub treść maila, który można wysłać do administratora strony i/lub UODO.

Na podstawie wyników automatycznej analizy generuje kwestionariusz dla użytkownika dotyczący polityki prywatności i innych „miękkich” aspektów strony. Po udzieleniu odpowiedzi użytkownik dostaje od wtyczki wygenerowaną treść maila, którego może wysłać do administratora strony, aby użyć swojego prawa dostępu do informacji o tym, jak są przetwarzane jego dane osobowe.

Wtyczka jest wolna i otwarta (FOSS), wydana na licencji GPL 3.0, a jej kod źródłowy jest dostępny na naszej instancji Gitea, a także jako mirror na GitHubie.

Funkcje Rentgena

Wykrywanie skryptów

Kiedy znajdujemy się na wybranej stronie internetowej, wtyczka Rentgen informuje nas o liczbie domen podmiotów trzecich, z jakimi komunikowała się witryna. Mogą to być domeny, dla których dokonano zapisu i odczytu plików Cookie, a także domeny, którym udostępniono część twojej historii przeglądania.

Interfejs wtyczki Rentgen, który informuje nas o problemach na stronie Onet.pl
Interfejs wtyczki Rentgen, który informuje nas o problemach na stronie Onet.pl

Po kliknięciu ikony wtyczki w pasku przeglądarki widzimy liczbę domen podmiotów trzecich oraz podział na „czerwone” (dotyczące ciasteczek) i „żółte” (dotyczące ujawnienia historii przeglądania) domeny.

„Najlepsi” w branży dobiją do ponad 100 domen podmiotów trzecich! 🫠

Przycisk Przejdź do analizy prowadzi nas do kolejnej funkcji Rentgena.

Analiza i wizualizacja ruchu sieciowego generowanego przez stronę internetową

Podczas analizy możesz zobaczyć listę domen oraz subdomen, z którymi badana strona „dzieliła” się danymi.

Grafika przedstawiająca analizę zdjęć rentgenowskich strony, która uruchomiła przeglądarka
Wykonane prześwietlenia są poddawane starannej analizie (Autor: Jan Kryciński)

Wtyczka dokonuje wstępnej oceny istotności danych i na podstawie opracowanej heurystyki automatycznie zaznacza potencjalne rekordy, którą mogą stanowić dane osobowe.

Lista domen i subdomeny podmiotów trzecich wykrytych na stronie Onet.pl

Jako użytkownik masz okazję zobaczyć, jak wiele danych jest gromadzonych podczas przeglądania jednego artykułu na popularnych stronach internetowych.

Lista domen i subdomen podmiotów trzecich wraz ze szczegółowymi danymi wykrytych na stronie Onet.pl

Zaawansowany użytkownik może samodzielnie zaznaczyć lub odznaczyć wpisy na tej liście. W dalszych krokach wtyczka będzie brała pod uwagę tylko zaznaczone rekordy.

Generowanie raportu / treści maila dla administratora

Wtyczkę Rentgen kierujemy zarówno do użytkowników, jak i administratorów stron internetowych. Użytkownicy mogą wygenerować mail do administratora z pytaniami dotyczącymi tożsamości podmiotów i podstaw prawnych, a administratorzy mogą wygenerować raport, który zawiera listę potencjalnych obszarów roboczych pod względem zgodności z RODO.

Grafika przedstawiająca lekarz wypisującego zalecenia przeglądarce internetowej
Na podstawie analizy spisywane są zalecenia (Autor: Jan Kryciński)

Wtyczka na podstawie zebranych informacji zadaje serię pytań dotyczących „miękkich” aspektów strony, których nie da rady poddać automatycznej analizie, jak na przykład:

  • Czy polityka prywatności wskazuje, jakie podstawy prawne są używane do takiego przetwarzania danych?
  • Czy okienko proszące o zgodę daje możliwość odmówienia zgody?

Treść wygenerowanego maila lub raportu łączy zatem wiedzę opartą o to, co zobaczył komputer wraz z tym, jak stronę widzi człowiek.

Zrzut ekranu z widoku ankiety we wtyczce Rentgen. Widoczne są pytania dotyczące strony onet.pl. Jaką formę informacji o przetwarzaniu danych osobowych stosuje ta strona? Brak informacji / tylko w postaci tekstu na podstronie np. "Prywatność" lub "polityka cookies" / okienko o cookiesach, bez możliwości podjęcia wyboru / okienko o cookiesach, z możliwością podjęcia wyboru
Wbudowana ankieta, która na podstawie odpowiedzi kreuje końcowy dokument

Twoje odpowiedzi pomagają wtyczce oszacować potencjalne obszary robocze względem zgodności z RODO, czego efektem jest przygotowany dokument. Treść możesz skopiować i przesłać do administratora witryny.

Treść maila wygenerowana na podstawie odpowiedzi udzielonych przez użytkownika
Treść maila wygenerowana na podstawie odpowiedzi udzielonych przez użytkownika

Przygotowywanie zrzutów ekranów narzędzi deweloperskich

Obraz mówi więcej, niż tysiąc słów. Załączanie zrzutów ekranu ilustrujących znalezione na stronie problemy ułatwia komunikację — od maila do administratora aż po UODO (Urząd Ochrony Danych Osobowych). Zrzuty ekranu robiliśmy i opisywaliśmy kiedyś ręcznie. Włączaliśmy narzędzia deweloperskie w Firefoksie, znajdowaliśmy problematyczne elementy ruchu sieciowego, zapisywaliśmy zrzut ekranu, dodawaliśmy adnotacje... To zawsze był najbardziej czasochłonny element całego procesu.

Dlatego też wtyczka Rentgen automatyzuje to — wykona zrzuty za Ciebie 📸

Przygotowywanie zrzutów ekranów badanej strony internetowej
Przygotowywanie zrzutów ekranów badanej strony internetowej
Wtyczka wyświetla wykonane zrzuty ekranów i na bieżąco prezentuje status generowania zrzutów
Wtyczka wyświetla wykonane zrzuty ekranów i na bieżąco prezentuje status generowania zrzutów

Wtyczka Rentgen potrafi wykonać na Twoje życzenie zrzuty ekranów odwiedzanej przez Ciebie strony wraz z automatycznie dodanymi adnotacjami o sztucznie nadawanym identyfikatorze w Cookie czy ujawnionej historii przeglądania.

Przykładowy zrzut ekranu wygenerowany przez wtyczkę Rentgen. Program automatycznie znajduje na zrzutach ekranu kluczowe informacje
Przykładowy zrzut ekranu wygenerowany przez wtyczkę Rentgen. Program automatycznie znajduje na zrzutach ekranu kluczowe informacje

Uwaga – zrzuty ekranu są generowane nie w Twojej przeglądarce, ale na naszym serwerze. Dlatego:

Wtyczka Rentgen na każdorazowe jednoznaczne życzenie użytkownika może wysłać dane w zakresie odwiedzonego URL strony internetowej na serwery należące do inicjatywy „Internet. Czas działać!” w celu wykonania zrzutów ekranu tej strony.

Jest to czynność opcjonalna. Zebrane dane nie są wysyłane do żadnych podmiotów trzecich i są usuwane z serwera po 24 godzinach.

Po wygenerowaniu zrzuty ekranu można pobrać jako plik zip. Generowanie potrafi trwać kilka minut, a do nasz serwer jest w stanie obsługiwać tylko dwóch użytkowników jednocześnie. Pracujemy nad przyspieszeniem kodu generowania zrzutów ekranu.

Jak zainstalować Rentgena?

Rentgena możesz zainstalować za pomocą Mozilla Addons:

Rentgen — pobierz to rozszerzenie do 🦊 Firefoksa (pl)
Rentgen to wtyczka, która automatycznie wizualizuje, jakie dane zostały ~~wykradzione~~ wysłane do podmiotów trzecich przez odwiedzane strony. Pozwala wygenerować raport lub treść maila, który można wysłać do administratora strony i/lub UODO.

a także kompilując wtyczkę lokalnie, na podstawie instrukcji dostępnej w naszym repozytorium.

Jak wspierać dalszy rozwój Rentgena?

Instalując Rentgena!

Dołącz do nas i wspomóż nas w czyszczeniu polskiego internetu ze skryptów śledzących, braku poszanowania dla prywatności użytkowników oraz nieprawidłowych implementacji RODO. Kliknij tutaj, aby przejść do instalacji.

Zgłaszając błędy i pomysły dotyczące wtyczki

Aby zgłosić problem bądź propozycje nowych funkcji, możesz:

Każdy problem zostanie przez nas sprawdzony i przeniesiony na widoczną publicznie listę zgłoszeń na naszej instancji Gitea.

Programistycznie

Mile widziane będą każde pull requesty do Rentgena! Wtyczka korzysta z TypeScript, JavaScript, HTML, CSS, backend do screenshotów korzysta z Basha, Dockera, Pythona i TypeScripta. Zgłoszenia i forki przyjmujemy mailowo (kontakt@midline.pl), nie za pomocą Microsoft Github.

Finansowo

Możecie nas wesprzeć na kilka sposobów: poprzez Patronite, za pomocą przelewu, a w ostatnim czasie poszerzyliśmy możliwość wspierania nas o usługę Liberapay. Liberapay pozwala na wspieranie nas anonimowo, do czego gorąco zachęcamy!

Wracamy na blogowo-podcastowe tory

Dziękujemy Wam za cierpliwość w ciągu ostatnich kilku pozbawionych nowych odcinków miesięcy. Dzięki naszemu tymczasowemu wycofaniu udało się osiągnąć cel — wtyczka została opublikowana. Możecie ją pobierać z Mozilla Addons i oczekiwać kolejnych materiałów ICD w najbliższej przyszłości!

Źródła

Jak złożyć skargę do UODO? Co to daje?
Masowe składanie skarg może przynieść oczekiwane rezultaty. Tłumaczymy, jak złożyć skuteczną skargę do UODO i UKE.