Prohlížeče a ochrana soukromí: využití profilů, kontejnerů a izolace stránek

Natália Šimková

Proč profily, kontejnery a izolace stránek rozhodují o soukromí

Moderní prohlížeče nejsou pouze „okna na web“. Jsou to složité sandboxované platformy, jejichž architektura přímo ovlivňuje, kolik o vás mohou weby zjistit, jak snadno se dají propojit vaše aktivity napříč službami a jaké škody způsobí kompromitace jedné karty. Klíčové koncepty – více profilů, kontejnery (izolované „cookie nádoby“) a izolace stránek (procesová i datová) – tvoří základ obrany proti sledování, krádeži relací a vedlejším kanálům. Tento článek vysvětluje principy, rozdíly, implementace v hlavních prohlížečích a doporučení pro jednotlivce i firmy.

Modely hrozeb a cíle ochrany

  • Profilování napříč weby: reklamní a analytické sítě spojují identitu a chování.
  • Únik nebo krádež relace: zneužití cookies/úložiště k převzetí účtu.
  • Vedlejší kanály: načítání zdrojů přes stejný proces/úložiště (history sniffing, cache probing).
  • Cross-tenant rizika: míchání pracovních a osobních kontextů (SSO, jednotné cookies).
  • Snížení entropie pro fingerprinting: konzistentní izolace a minimalismus dat.

Prohlížečové profily: koncept a architektura

Profil je samostatný pracovní prostor prohlížeče: vlastní cookies, LocalStorage/IndexedDB, historii, rozšíření, certifikáty, klíčenky a politiky. Profily se navzájem nevidí a lze je spouštět paralelně.

  • Výhody: pevná hranice mezi identitami (práce/osobní/test), méně „přelévání“ cookies, nižší riziko cross-site korelace.
  • Nevýhody: správa více instancí, duplicitní rozšíření, vyšší spotřeba paměti.
  • Případy použití: oddělení cloud tenantů, administrátorské účty, A/B testování s různými politikami soukromí.

Kontejnery (izolované „cookie nádoby“): jemnozrnná izolace v rámci jednoho profilu

Kontejner (např. Multi-Account Containers) vytváří samostatný prostor pro cookies a další webová úložiště pro zvolenou množinu domén. Umožňuje mít současně přihlášení do stejných služeb (např. dva e-maily) bez míchání stavů.

  • Mechanika: každému kontejneru je přiřazen izolovaný cookie store, izolované storage a často i barevné označení karet pro uživatelský komfort.
  • Výhody: minimální tření při přepínání identit, lepší kontrola referer a third-party vložek (sociální widgety v samostatném kontejneru).
  • Limity: ne všechna rozšíření respektují kontejnery stejně; síťová vrstva může zůstat společná (vyžaduje další opatření).

Izolace stránek: procesy, paměť a hranice mezi doménami

Site Isolation prosazuje pravidlo, že odlišné site (obvykle eTLD+1 + schéma + port) běží v oddělených procesech. Tím se snižuje riziko vedlejších kanálů a zvyšuje odolnost vůči chybám typu Spectre.

  • Procesová izolace: každý site (a často i cross-site iframe) ve vlastním procesu s vlastním sandboxem.
  • Partitioning stavu: cache, cookies, storage, service workery a síťový stav jsou navázány na top-level site (případně na double keying s prvkem embeddujícího kontextu).
  • Přínosy: těžší prolomení sandboxu, menší sdílení cache, nižší účinnost pixelů a třetích stran při korelaci.

Prvky izolace stavu: cookies, cache a storage

  • Cookies: atributy SameSite a partitioning třetích stran (oddělené „krabičky“ pro každého embeddera).
  • Cache a síťový stav: Network State Partitioning – oddělení DNS cache, přerušených spojení, HSTS a TLS session ticketů podle top-level site.
  • Storage: Storage Partitioning – LocalStorage/IndexedDB/Service Worker scope vázané na kontext shora (zabraňuje „supercookies“ přes sdílená úložiště).
  • Fenced Frames a podobné mechanismy: bezpečnější embedování bez sdílení identifikátorů.

Profily vs. kontejnery vs. čisté okno: co kdy zvolit

Potřeba Nejlepší řešení Důvod
Přísné oddělení práce a soukromí Samostatné profily Oddělená rozšíření, klíče, politika, historie
Paralelní přihlášení do stejného webu Kontejnery Rychlé přepínání, izolované cookies na úrovni domén
Jednorázová „čistá“ relace Soukromé okno Ephemeralní stav, bez přetečení historie
Obrana proti vedlejším kanálům Site/Process Isolation Oddělené procesy a síťové stavy

Konfigurace a doporučená nastavení (prohlížeče)

  • Firefox: víceprofilový spouštěč, Multi-Account Containers, Total Cookie Protection (partitioning), Enhanced Tracking Protection; volitelně First-Party Isolation pro přísnější rozdělení.
  • Chromium/Chrome/Edge: více profilů s oddělenými politikami; Site Isolation ve výchozím stavu, partitioning storage a omezení třetích stran; doporučené SameSite=Lax/Strict a pravidla pro třetí strany.
  • Safari: přísná prevence trackerů (ITP), izolace stavu a silné výchozí restrikce třetích stran.

Praktické vzory pro jednotlivce

  1. Minimálně dva profily: „Práce“ (firemní SSO, rozšíření, VPN certifikáty) a „Soukromí“ (bez účtů, minimální rozšíření).
  2. Kontejnery pro velké platformy: sociální sítě, e-mail a cloud v odlišných kontejnerech; externí odkazy otevírat mimo „osobní“ kontejnery.
  3. Soukromá okna pro rizikové úkony: dočasná přihlášení, citlivé vyhledávání, testování bez vlivu historie.
  4. Minimalismus rozšíření: méně znamená více; rozšíření mají přístup ke stránkám a mohou snižovat soukromí.

Podnikové politiky a řízení rizik

  • Standardizované profily: centrálně spravované profily s politikami (povolená rozšíření, DLP, certifikáty, nastavení cookie).
  • Tenant a účetní izolace: šablony profilů pro jednotlivé klienty/projekty; povinné používání kontejnerů pro sociální sítě a webmail.
  • SSO a prohlížeč: omezit remember me, vynucovat FIDO2/WebAuthn, zkracovat životnost relací.
  • Logování a forenzika: korelovat události s profilem/kontextem; zakázat „soukromé“ profily pro administrátory.

Technické detaily: hranice, které nejčastěji selhávají

  • Přetekání URL parametrů: i s izolací cookies mohou utm_* a identifikátory v URL korelovat identity; doporučeno automatické stříhání parametrů.
  • Shared workers a BroadcastChannel: nutné respektovat partitioning podle top-level site; kontrola kompatibility.
  • Cache a Service Worker scope: správné scopy a registrace, aby se zabránilo neočekávanému sdílení.
  • Schéma a subdomény: konzistentní používání eTLD+1 a explicitní separace (např. auth.example.com vs. app.example.com).

Minimalismus dat na straně aplikace

  • SameSite a Secure cookies: HttpOnly, Secure, SameSite=Strict/Lax jako výchozí; Path/Domain zúžit na minimum.
  • Rotace identifikátorů: krátké TTL pro session a refresh tokeny; vázání na kontext (device binding).
  • Redukce třetích stran: načítat zdroje z vlastní domény; přesun měření na server s respektem k souhlasu.
  • Privacy by default: deaktivovat volitelné trackery bez souhlasu; implementovat storage partitioning-bezpečné strategie.

Testování a audit izolace

  1. Matice domén × kontejnery: ověřit, že přihlášení do A v kontejneru 1 není viditelné v kontejneru 2.
  2. Kontrola cache a storage: nástroje vývojáře – sekce Application/Storage; ověření oddělení podle top-level site.
  3. SSO scénáře: federované přihlašování (OpenID/OAuth/SAML) – testy v paralelních profilech a v soukromých oknech.
  4. Rozšíření: audit oprávnění, omezení běhu na vybrané domény, testování interakce s kontejnery.

Výkonnostní dopady a optimalizace

  • Více procesů ≠ vždy pomalejší: site isolation zvyšuje bezpečnost, ale prohlížeče optimalizují sdílení knihoven a plánování.
  • Profily a RAM: aktivní pouze potřebné profily; pozastavení na pozadí a uspání karet.
  • CDN a partitioning: dopady na cache hit-rate – zvážit first-party hosting kritických zdrojů.

Typické scénáře a doporučená nastavení

  • Remote work: profil „Práce“ (FIDO2 povinné, minimum rozšíření), profil „Osobní“ (bez SSO k práci), kontejnery pro sociální sítě.
  • Admin účty: samostatný profil bez rozšíření, povinný soukromý režim pro přístup do konzol, krátké TTL relací.
  • Marketing/analytika: oddělený profil s explicitním souhlasem pro testovací nástroje; žádné třetí strany v produkčním profilu.

Checklist soukromí v prohlížeči

  • Mám minimálně dva oddělené profily a používám je konzistentně?
  • Jsou velké platformy v samostatných kontejnerech a odkazy se neotevírají v „špatném“ kontextu?
  • Běží site/process isolation a je zapnutý partitioning cookies, cache a storage?
  • Používám FIDO2/WebAuthn a krátké relace pro citlivé účty?
  • Mám minimální počet rozšíření s omezeným rozsahem oprávnění?

Měření zralosti (KPI)

  • Podíl izolovaných přihlášení: procento citlivých služeb v samostatných profilech/kontejnerech.
  • Incidenty přetečení relace: počet detekovaných cross-context cookie/Storage úniků.
  • Cache hit-rate vs. soukromí: sledovat dopady partitioningu a optimalizovat hosting zdrojů.
  • Adopce FIDO2: procento účtů bez SMS-OTP.

Limity a budoucí vývoj

  • Kompatibilita: některé starší aplikace počítají se sdíleným stavem – vyžadují refaktor.
  • Standardizace partitioningu: konsolidace chování napříč prohlížeči pokračuje.
  • Výpočty na zařízení: více funkcí přesunout na klienta bez odesílání identifikátorů; bezpečnější embedování (fenced, CHIPS/partitioned cookies).

Vrstvená strategie místo jediného přepínače

Profily poskytují hrubou, organizační hranici; kontejnery umožňují jemné oddělení identit v průběhu dne; izolace stránek a partitioning oddělují procesy a data tak, aby chyba či tracker nezasáhly jinde. Skutečná odolnost vzniká jejich kombinací, disciplínou používání a minimalismem dat v samotných aplikacích. Když jsou tyto vrstvy nastaveny a dodržovány, prohlížeč se stává silným nástrojem ochrany soukromí – nikoliv slabým místem.

Súvisiace články