Chromium'u Susturmak: Bölüm 2 - Tarayıcı Parmak İzi ve SearXNG
Serinin ilk bölümünde tarayıcıyı Firejail ile karantinaya alıp, şifre yöneticimiz (KeePassXC) için duvara nasıl küçük bir IPC deliği açtığımızdan bahsetmiştik. O yazı, sistemimizi tarayıcıdan korumakla ilgiliydi. Bu yazı ise kendimizi web sitelerinden korumakla ilgili.
Modern web, çerezlerden (cookies) çok daha sinsi yöntemler kullanıyor. Sisteminize yüklediğiniz fontlardan, ekran çözünürlüğünüze, hatta tarayıcınızın bir tuvali (Canvas) nasıl render ettiğine bakarak size benzersiz bir “parmak izi” (Browser Fingerprint) atanır. Siz çerezleri silseniz bile, bu parmak izi sayesinde kim olduğunuz anında tespit edilir.
Bromite Mirası: Gürültü (Noise) Bayrakları
ungoogled-chromium kullanıyorsanız, kaputun altında aslen Bromite projesinden miras kalan çok güçlü parmak izi bozma (anti-fingerprinting) bayrakları (flags) bulunur. Sistemimde tarayıcının tüm ayarlarını /persist/nixos-config/modules/desktop/apps.nix dosyasından deklaratif olarak yönetiyorum. Bu bayrakları aktif etmek için Chromium paketini tanımladığım commandLineArgs listesine şu eklemeleri yapıyorum:
myUngoogled = pkgs.ungoogled-chromium.override {
commandLineArgs = [
"--fingerprinting-canvas-image-data-noise"
"--fingerprinting-canvas-measuretext-noise"
"--fingerprinting-client-rects-noise"
"--no-pings"
# Diğer performans ve güvenlik bayrakları...
];
};Ne işe yarıyorlar?
canvas-image-data-noise: Javascript ile Canvas üzerinden görsel verisi okunduğunda (getImageData), Chromium rastgele en fazla 10 pikselin RGB değerini gözle görülmeyecek şekilde değiştirir.measuretext-noise&client-rects-noise: Metinlerin ve arayüz kutularının boyutlarını %0.0003 gibi mikro oranlarda rastgele ölçeklendirir.
Böylece izleyici bir script sizin ekran ölçülerinizi veya canvas çıktınızı hashlediğinde, her seferinde farklı bir değerle karşılaşır.
Güvenlik Paradoksu: Fazla Gizlenmek Dikkat Çeker Sistem mimarisinde kabul etmemiz gereken acı bir gerçek var. Bu “Noise” bayrakları sizi benzersiz olmaktan çıkarmaz; aksine sürekli değişen bir değere sahip olduğunuz için daha da dikkat çekmenize sebep olabilir. Gelişmiş bot koruma sistemleri (Cloudflare vb.), hash değerinin sürekli değiştiğini gördüğünde sizin insan olmadığınızı (veya aktif olarak izlenmekten kaçtığınızı) anlar ve sizi “şüpheli” kategorisine atabilir. Bu, gizliliğin bedelidir.
Sessiz Sedasız Tıklamalar: Pingleri Öldürmek
Gürültü paradoksunun aksine, uygulanması çok daha net ve kesin olan bir güvenlik önlemi var: Link pingleri.
HTML5 ile hayatımıza giren <a href="..." ping="https://tracker.com"> yapısı, siz bir linke tıkladığınız an arka planda sessizce üçüncü bir sunucuya “bu adam buraya tıkladı” sinyali gönderir. Kapatması çok basittir; yukarıdaki commandLineArgs konfigürasyonuna dikkat ederseniz eklediğimiz tek bir satır var: "--no-pings".
Bu tek satırlık flag’i Chromium’a geçirdiğinizde, web geliştiricilerinin “analitik” adı altında kurduğu tüm o görünmez tuzak iplerini kökünden kesmiş olursunuz.
Kökten Çözüm: Arama Motorunu İçeri Almak
Eğer bir tarayıcıdan Google’ın kalıntılarını söküyorsanız (Ungoogled), aramaları gidip tekrar Google veya Bing üzerinden yapmak mimari açıdan tutarsızlıktır.
Veriyi dışarı yollamak yerine, NixOS üzerinde kendi yerel SearXNG instance’ımı (localhost:8081) ayağa kaldırdım. Ardından aynı modül (apps.nix) içindeki programs.chromium tanımlamasında, varsayılan arama motorunu doğrudan bu yerel ağa kilitledim:
programs.chromium = {
enable = true;
defaultSearchProviderEnabled = true;
defaultSearchProviderSearchURL = "http://localhost:8081/search?q={searchTerms}";
# Diğer gizlilik poliçeleri (extraOpts) ...
};Sonuç: Tarayıcıdan bir şey aradığımda, sorgu önce benim makinemdeki SearXNG’ye gidiyor. SearXNG benim IP’mi ve kimliğimi maskeleyerek arka planda Google, DuckDuckGo veya Reddit’i sorgulayıp sonuçları bana anonim bir şekilde getiriyor. İzleyiciler sadece arama motoru sunucularını gören “hayalet” bir IP görüyor.
Kapanış
Web’de hayatta kalmak bir “kedi-fare” oyunudur. Tarayıcının gönderdiği meta verileri bozmak işin bir yüzüyken, sorguları kendi yerel sunucunuza (SearXNG) yönlendirmek işin diğer yüzüdür.
Peki tüm bu kısıtlamalar, şifreli DNS’ler (DoH) ve karantinalar tarayıcıyı yavaşlatıyor mu? Aksine. Serinin üçüncü ve son yazısında, Linux üzerinde Wayland ve Donanım Hızlandırmanın (GPU) bu karanlık tarayıcıyı nasıl bir hız canavarına dönüştürdüğünü inceleyeceğiz.
Önceki Bölüm:
Referanslar ve İleri Okuma:
- Ungoogled Chromium Features (Bromite Anti-Fingerprinting)
- Browser Fingerprinting Paradox (EFF Cover Your Tracks)
- SearXNG Architecture and Privacy