Privacy Badger

Privacy Badger är ett webbläsartillägg från EFF, för Firefox och Chromium. Det blockerar spårning som görs av annonser, ”sociala” komponenter, och alla slag av resurser (filer) från tredje part, som försöker att spåra folks surfvanor. Ser du Facebooks ”Gilla-knapp” på en webbplats, ser Facebook dig, ser du annonser från ett annonsnätverk, ser annonsnätverket och annonsörerna dig. Därtill osynliga filer som ser dig, som statistiktjänster och spårande ”pixlar” (en genomskinlig, 1×1 pixel stor bild). Privacy Badger förhindrar detta! I början av 2018 började Chrome att blockera störande annonser, men om spårning sägs där ingenting. Privacy Badger kommer därför att förbli ett nyttigt tillägg för Chrome. Privacy Badger rentvår också länkar på webbplatser som Facebook, Facebook Messenger, Twitter, Google Sök och Google Hangouts från spårande omstyrningar.


Electronic Frontier Foundation (EFF)

Privacy Badger släpptes först i maj 2014, även om det går att spåra utgåvan för Chrome tillbaka till 13 mars. Den 1 maj släpptes dock Privacy Badger 0.1 för Firefox och 2014.5.1 för Chrome, och tillägget tillkännagavs i ett blogginlägg.


EFF uppmanade folk att prova Privacy Badger alfa, 2014-05-01

Privacy Badger är olikt andra tillägg med liknande funktion, som Disconnect, i det att det använder heuristik istället för filterlistor. Privacy Badger blockerar resurser då det upptäcker försök att spåra användaren på flera webbplatser. Detta innebär att Privacy Badger direkt efter installationen inte blockerar så mycket, helt enkelt eftersom några försök till spårning då inte har hunnit göras. Första gången du besöker en webbplats som använder Google Analytics, blockeras det ej, men då du besöker två andra webbplats som också använder Google Analytics, kommer resurser (spårningskod) från den domänen (ssl.google-analytics.com, www.google-analytics.com) att blockeras.

Why isn’t anything blocked?
Blocking starts only if Privacy Badger detects an attempt to track you across multiple websites. Domains listed below did not tracked you yet. It is either because they had no chance yet (you did not browsed enough) or because they do not engage in tracking.

Detta ändrades dock i någon mån med Privacy Badger 2018.8.22, som genom ”skolgång” har viss ”lärdom” redan från början, utan att vara fullärd.

Allteftersom man besöker fler webbplatser med samma spårande resurser från tredje part, kommer Privacy Badger att blockera dessa resurser, eller kakor. Privacy Badger blockerar även så kallade supercookies, ”superkakor”. De är ej egentligen kakor från tredje partsdomäner, utan det handlar om JavaScript från tredje partsdomäner, som kan ange värden i webbläsarens local storage, och senare hämta dessa värden, och använda dem för spårning, som om de vore kakor.


Privacy Badger i Firefox, blockerande innehåll som
spårar (rött), men ej det som ej spårar (grönt).

Resurser från företag som hedrar Do Not Track (DNT) blockeras inte, då de inte spårar användaren. Förutom att användaren kan aktivera att DNT-begäran sänds från webbläsaren, sänder även Privacy Badger en sådan begäran. Genom detta beteende, att blockera spårning, men inte resurser som inte spårar, såsom vissa annonser, vill EFF skapa ett incitament för annonsnätverk att hedra DNT, något som verkligen behövs. Efter flera år är DNT alltjämt nästan helt utan verkan. En bidragande orsak är att Microsoft aktiverade DNT som standard i Internet Explorer 10, som lanserades i september 2012. En förutsättning för DNT är att det skall uttrycka användarens vilja att inte bli spårad, inte programutgivarens vilja. I april 2015 meddelade Microsoft att de ändrar förvalet i Windows 10, så att DNT inte är på.

Ett företag som sedan 2012 har hedrat DNT är Twitter. Den 18 juni 2017 fick detta hedrande en ände. Då uppdaterades Twitters integritetspolicy. Därmed kommer Privacy Badger att få mer att göra då Twitter i någon form finns som tredjepartsinnehåll på andra webbplatser. Från och med version 2017.6.13 skriver Privacy Badger om Twitters förkortade länkar (t.co) till oförkortade länkar som leder rakt till den avsedda webbplatsen. Därigenom rentvås länken från den spårande funktion som länkförkortningen annars står för. Liknande ”tvätt” tillkom senare för andra tjänster. I Privacy Badger 2018.5.10 är utgående länkar på Facebook rentvagna, och i 2018.10.3 rentvås också länkar i Google-tjänster som Google Sök, Google Dokument och Google Hangouts. Twitter har dock ej helt övergivit DNT. Den som använder Twitter-innehåll på en annan webbplats kan välja att använda DNT för Twitter-innehållet. I en kommande version av Privacy Badger, kan tillägget se till att DNT används också i fall webbplatsens ägare inte har valt att använda DNT.

Nytt hopp för DNT tändes den 3 augusti 2015, då EFF och Disconnect, som delar av en koalition, presenterade en ny DNT-policy:

Läs även Clear Rules of the Road with the Do Not Track Policy. Disconnects webbläsartillägg med samma namn blockerar ej webbplatser som hedrar DNT, och följer EFF:s policy. I koalitionen ingår också AdBlock, som undantar DNT-webbplatser från att blockeras. Ju fler som tillämpar DNT-kravet, dess större effekt har det. I koalitionen ingår också söktjänsten DuckDuckGo, publiceringswebbplatsen Medium och analysföretaget Mixpanel. Det första annonsföretaget att stödja EFF:s och Disconnects policy var Adzerk, i september 2015. Dock stängdes W3C:s arbetsgrupp Tracking Protection Working Group, ansvarig för specifikationen Tracking Preference Expression (DNT), den 30 september 2018.

Ben Hoyt skrev på LWN.net om DNT:s ledsamma och långsamma död: The sad, slow-motion death of Do Not Track (2020-07-22)

Det hann dock inte ens gå tre månader, så kungjordes Global Privacy Control (GPC), som kan ses som en efterföljare till DNT. Enkelt uttryckt, säger en klient som sänder en GPC-signal till en webbplats, att webbplatsen nekas rätten att dela och sälja vederbörandes uppgifter till tredje part. En rad organisationer står bakom GPC, och några av dem kungjorde sitt deltagande i pressmeddelanden.

Privacy Badger är förstås inte en komplett lösning för att undgå all spårning på nätet, men ”grävlingen” är ett utmärkt hjälpmedel. Utöver att använda Privacy Badger rekommenderar jag att alla användare aktiverar DNT och blockering av kakor från tredje part i webbläsaren. Kakor från tredje part är nästan uteslutande ämnade att spåra användares surfvanor.

Från och med version 1.0 (2015.8.5.1 för Chrome), som släpptes den 5 augusti 2015, kan Privacy Badger detektera och hindra canvas fingerprinting, en form av ”fingeravtryck” som kan användas för att identifiera och spåra en användare. Ett fingeravtryck innehåller information om webbläsare och version, operativsystem, skärmupplösning, installerade typsnitt och insticksprogram, med mera. EFF:s Panopticlick visar hur unik din klient är! Fingeravtryck är ett alternativ till kakor, för den som vill spåra användare, och ju ovanligare konfiguration en användare har, dess lättare är det att spåra den användaren.

I dokumentet Design and Roadmap, beskrivs denna detektering sålunda:

As of Privacy Badger 1.0, any third party script that writes to an HTML5 canvas object and then reads a sufficiently large amount back from the third party canvas object will be treated the same way as a third party cookie, blocking the third party origin if it does this across multiple first party origins. Our research has determined that this is a reliable way to distinguish between fingerprinting and other third party canvas uses.

Nytt i version 1.0 är också detektering av ”Local Storage Supercookies”, ”superkakor” som utgörs av värden i webbläsarens local storage, satta av JavaScript från tredjepartsdomäner.


Privacy Badger 1.0 släpptes den 5 augusti 2015.

Version 2.0 (2016.12.8 för Chrome och Opera) innehåller en hel del förändringar sedan 1.0, även om några av dem infördes med mellanliggande versioner. Med version 2016.5.16 (1.9) togs det mesta av Adblock Plus-koden, som Privacy Badger ursprungligen var byggd på, bort. De sista resterna av ABP-koden togs bort i 2016.8.29 (1.12).

Fyra gånger har Privacy Badger åtnjutit ”huge speed improvements”: 2015.4.6 (1.8), 2016.5.16 (1.9), 2016.12.7.2 (2.0RC1), 2017.1.26 (efter 2.0.2). Med version 2016.12.7.2 (2.0RC1) är Chrome- och Firefox-versionerna byggda på samma grundkod.

Nya funktioner i 2.0 är import och export av data. Blockering av html5 ”ping”-spårning. Därtill Hindras WebRTC att läcka användarens IP-adress. Firefox-versionen är nu kompatibel med Electrolysis (Firefox multiprocess). Data i inkognito-läge glöms. Från och med version 2017.1.26 används samma versionsnummer för Chrome/Opera och Firefox. Den sista versionen med olika nummer var 2016.12.15.1 (Chrome/Opera) 2.0.2 (Firefox). Som milstenar kan man dock tala om 1.0 och 2.0, och troligen en framtida 3.0.

Den 3 april 2017 meddelade EFF att en miljon grävlingar hade installerats!


En miljon kakslukande grävlingar (april 2017)

Den 15 juni 2017 har Privacy Badger 825 755 användare på Chrome, Opera och Firefox, enligt dessa webbläsares webbplatser för tillägget Privacy Badger. Omkring tre fjärdedelar på Chrome. Tillägg för Firefox behöver dock ej hämtas från addons.mozilla.org, så de som hämtar Privacy Badger från EFF ingår inte i antalet användare som nämns på tilläggets sida på addons.mozilla.org.

Privacy Badger 2018.8.22 och nyare ”går i skolan” innan den släpps, så att tillägget kan börja att hindra viss spårning redan från början. Tidigare behövde Privacy Badger lära sig allt från grunden efter installation. Liksom tidigare kan man spara och läsa in tilläggets ”lärdom”. Man kan också ta bort all lärdom, också det Badger har lärt sig ”i skolan”.


Privacy Badger vid skolbänken, höstterminen 2018

Den 23 augusti har Privacy Badger 1 554 710 på Chrome, Opera och Firefox, enligt dessa webbläsares webbplatser för tillägget Privacy Badger. Av dessa är 821 692 på Chrome, 534 188 på Firefox och 198 830 på Opera. Den 21 juli 2019 redovisar de tre butikerna 1 795 102 användare (Chrome 936 604, Firefox 563 837, Opera 294 661).

Med 2019.7.1(.1) fick Privacy Badger förmågan att hindra kakdelning, som gör att kakor från förstapartsdomäner kan nyttjas för spårning. Den går till som bilden nedanför visar. Användaren besöker en webbplats (förstapartsdomän), där ett JavaScript lägger en kaka i webbläsarens kakburk. Med den besökta webbplatsen följer ett JavaScript från en tredjepartsdomän, som tillåts att läsa och uppdatera kakan. Därefter sänder JavaScriptet en förfrågan till den spårande domänen, med kakans värde i förfrågan, inte med förfrågan. Därigenom kan kakans värde föras ut till tredje part, fastän webbläsare ej tillåter att kakor delas med tredje part. Den största användaren av kakdelning är Google Analytics. Enligt W³Techs används tjänsten av 56,7 procent av de tio miljoner mest besökta webbplatserna (2019-07-23).

Den 15 januari 2015 släpptes Edge 79 som en stabil utgåva, och den nya Edge fick ett eget tilläggsförråd, Microsoft Edge Addons. Där finns Privacy Badger.

Stöd för Global Privacy Control (GPC) lades till i 2020.10.7.

Med 2021.2.2 fick Privacy Badger stöd för mörkt tema.

Privacy Badger 2021.6.8 stänger av Googles Federated Learning of Cohorts (FLoC) i Chrome. Bakgrund till detta ges i ett tidigare blogginlägg. Nytt är också att Privacy Badger använder AdGuards CNAME-cloaked trackers för bättre upptäckt och blockering av spårare.


Hur kakdelning går till


Privacy Badger 2019.7.1.1 hindrar Google Analytics

Länkar: