Przechodząc do http://panopticlick.eff.org/ widzę, że Firefox i Chrome ujawniają więcej o „Czcionkach systemowych” i „Szczegółach wtyczki przeglądarki” niż wolę.
Jak można zezwolić stronie internetowej na dostęp do tych ustawień w Firefoksie i Chrome?
firefox
google-chrome
privacy
eaubin
źródło
źródło
Odpowiedzi:
Są dwa pytania, ale odpowiadam na pytanie z listą czcionek:
Możliwe jest wyłączenie wyliczania czcionek Flash za pomocą
mms.cfg
ogólnosystemowego pliku konfiguracyjnego. Ten plik powinien znajdować się w/etc/adobe/
katalogu, jeśli używasz Linuksa. Zasadniczo wystarczy umieścić następujący wiersz w pliku:Aby uzyskać więcej informacji, zobacz Podręcznik administratora programu Adobe Flash Player .
Przy tym ustawieniu Panopticlick i inne strony nie mogą uzyskać listy czcionek przez Flash.
Pamiętaj, że lista czcionek jest nadal dostępna przez Javę, jeśli masz ją zainstalowaną. Tak czy inaczej, warto pozbyć się Javy. Jeśli korzystasz z kilku witryn wymagających Java, użyj innej instancji przeglądarki z innym profilem użytkownika z włączoną Javą tylko dla tych witryn.
źródło
C:\WINDOWS\system32\Macromed\Flash\mms.cfg
.~/Library/Application Support/Google/Chrome/Default/Pepper Data/Shockwave Flash/System/mms.cfg
(stwórz,System/mms.cfg
jeśli nie istnieje)Bezpłatne rozszerzenie ChromeGlove blokuje wtyczkę i wyliczanie typu mime, ukrywając wpisy tablicy w mniej więcej taki sam sposób, jak Firefox i Internet Explorer mogą / robią natywnie.
Nadal musisz ustawić Chrome na wtyczki „Kliknij, aby odtworzyć” i samodzielnie wyłączyć pliki cookie innych firm w ustawieniach prywatności Chrome. Ponadto, jak wspomniano w badaniu, prawdopodobnie nadal będziesz wyglądać jak wyjątkowy, dopóki wystarczająca liczba osób nie zacznie używać takich wtyczek.
Pełne ujawnienie: jestem autorem.
Ta funkcjonalność może (ale nie musi) zostać zintegrowana z rozszerzeniem Electronic Frontier Foundation Privacy Badger w przyszłości. W każdym razie wydawali się zainteresowani.
źródło
W przeglądarce Firefox 28:
Wpisz
about:config
pasek lokalizacjiOdnaleźć
plugins.enumerable_names
Ustaw wpis na nic.
Odwiedź https://panopticlick.eff.org/, aby sprawdzić, czy wtyczki nie są już wymienione.
źródło
Javascript ma możliwość sprawdzenia, które wtyczki są zainstalowane, jest to zwykle używane, aby w razie potrzeby wyświetlić komunikat „brakująca wtyczka instalacji”. Jeśli chcesz, możesz wyłączyć wtyczki w ustawieniach i wyłączyć Javascript za pomocą dodatku takiego jak Czarna lista Javascript dla Chrome lub pasek stanu Quick Java dla Firefox.
źródło
Całkowicie możliwe z Proxomitronem .
Prox jest jak NoScript, HTTP LiveHeaders, RequestPolicy, CookieSafeguard, BetterPrivacy i tak dalej, wszystko w jednym programie. Nie jest dalej rozwijany, ale nadal gwarantuje mi prywatność, której żadne inne narzędzie nie może zrobić.
Proxomitron to uniwersalny filtr sieciowy. Informacje z ich strony:
Sprawdź to! Istnieje (nieco) aktywna społeczność.
źródło
ಠ_๏
Myślę, że Scott naprawdę świetnie sobie z tym poradził. Dawno nie używałem tego; Chyba powinienem to wyciągnąć.☺
Począwszy od przeglądarki Firefox 17 możesz włączyć funkcję „kliknij, aby odtworzyć”, która automatycznie zatrzymuje ładowanie Java i Flash. To z kolei powstrzymuje odkrywanie wielu (nie wszystkich) informacji. Na przykład zatrzymanie wtyczki Flash uniemożliwia wykrycie większości czcionek.
Aby włączyć funkcję „kliknij, aby włączyć” w przeglądarce Firefox:
źródło
Rozwiązaniem dla najnowszych przeglądarek Firefox jest:
Użyj losowego agenta Spoofer. Ostatnio dodano opcje wyłączania wyliczania wtyczek: https://github.com/dillbyrne/random-agent-spoofer/issues/283
Lub użyj skryptu użytkownika, jak pokazano w komentarzu Mechazawy w powyższym linku. Możesz użyć jego skryptu Greasemonkey lub Tampermonkey (zarówno Firefox, jak i Chrome), aby zająć się tym bez żadnego rozszerzenia.
Mogę potwierdzić, że pokazuje to wtyczki jako „niezdefiniowane” w teście panopticlick.
źródło
Odcisk palca czcionki to tylko niewielka część odcisku palca przeglądarki. Całkowite zablokowanie tego jest prawie niemożliwe, jeśli celem jest pozostawienie przeglądarki nadal działającej. Mówi się, że najlepszą ogólną ochronę odcisków palców można znaleźć w przeglądarce Tor.
W praktycznych testach stwierdzono, że próba zablokowania odcisku palca czcionek faktycznie zwiększa unikalność odcisku palca komputera, ponieważ większość użytkowników tego nie robi. Najlepszym sposobem na uniknięcie pobierania odcisków palców jest zrobienie nic specjalnego i połączenie się z tysiącami innych użytkowników.
Pierwszym krokiem przeciwko odciskom palców czcionek jest przetestowanie skuteczności wszelkich środków obronnych, które podejmiesz. Dobrym narzędziem tutaj jest https://browserleaks.com/fonts . Dobrym narzędziem wyjątkowości ogólnego pobierania odcisków palców jest https://panopticlick.eff.org/ (moja przeglądarka okazała się wyjątkowa wśród 199 984 testowanych w ciągu ostatnich 45 dni) lub Am I Unique .
Aby zapewnić ochronę w Chrome , możesz podjąć następujące środki:
lista Umożliwia wykrywanie tylko domyślnej listy czcionek zainstalowanych w systemie Windows.
Dodaje niewielki hałas do rzeczywistego odcisku palca i „odnawia” go za każdym razem, gdy odwiedzasz stronę internetową lub ładujesz stronę ponownie.
palca Dodaje kartę do narzędzi programistycznych Chrome, która pokazuje próby pobierania odcisków palców w przeglądarce.
Do ochrony w przeglądarce Firefox
Mozilla pracuje obecnie nad projektem Tor Uplift, którego celem jest zbudowanie w Firefoksie tego samego poziomu odporności na odciski palców, co w przeglądarce Tor. Ten projekt jest w toku i opisany w artykule Bezpieczeństwo / Odcisk palca .
Możesz wypróbować skrypt hartujący Firefoksa w Github ghacks-user.js , chociaż według wszystkich raportów może to być zbyt wiele i faktycznie zaszkodzić przeglądaniu.
Jeśli chodzi o dodatki, na stronie znajdziesz poprawki przydatnych dodatków i innych porad na stronie Firefox-ulepszenia .
W tej chwili miary, które znam specjalnie dla odcisków palców czcionek, dotyczą : ustawień konfiguracji :
Kliknij prawym przyciskiem myszy i wybierz Nowy> Ciąg , tworząc nowy parametr
font.system.whitelist
, który wyświetli listę czcionek, które zobaczy JavaScript. Przykładowa poprawna wartość toHelvetica, Courier, Verdana
. Zmiana wchodzi w życie natychmiast.W moim przypadku zmniejszyło to moje odciski palców czcionek z 266 czcionek i 238 unikatowych metryk znalezionych na liście 512 czcionek do „tylko” 28 czcionek i 9 unikatowych metryk. (Nie mam pojęcia, jak wpłynie to na przeglądanie).
privacy.resistFingerprinting=true
jest ogólnym przełącznikiem umożliwiającym środki ochrony prywatności z projektu Tor Uplift podczas ich wdrażania. Umożliwia dystrybucję jednolitej listy czcionek. Mozilla nie zaleca włączania go, ponieważ spowoduje uszkodzenie niektórych stron internetowych.Wyłączanie opcji „Zezwalaj witrynom na używanie własnych czcionek” i interfejsu API ładowania czcionek CSS poprzez zmianę tych wartości:
(Najprawdopodobniej pogorszy to przeglądanie).
Wystarczy zauważyć, że widziałem omówione metody wyrafinowanego pobierania odcisków palców i rysowania czcionek, które mogłyby nawet zidentyfikować kartę graficzną i sterownik graficzny.
Moja opinia: nie da się uniknąć odcisków palców - czcionki to nie wszystko. Nawet jeśli ty:
wówczas najprawdopodobniej te unikalne metody ochrony wraz z elementami sprzętowymi wciąż wykrywalnymi w maszynie wirtualnej nadal będą stanowić unikalny lub prawie unikalny odcisk palca. Nie wspominając o tym, że korzystanie z tego środowiska będzie dość trudne.
Aby omówić niektóre znane metody pobierania odcisków palców, zobacz następujące artykuły:
Odcisk palca przeglądarki - objaśnienia i rozwiązania (od 2019 r.)
Zawiera więcej informacji i hacków niż wymienione powyżej.
Nowe techniki pobierania odcisków palców (od 2017 r.)
Bezpieczeństwo przeglądarki internetowej - BrowserLeaks.com
źródło
Chociaż jest to starsze pytanie, od 2017 r. Nadal jesteśmy bardzo zaniepokojeni wszystkimi informacjami wyciekającymi z przeglądarki, ponieważ są one wykorzystywane do pobierania odcisków palców. Uważam, że Random Agent Spoofer ( https://github.com/dillbyrne/random-agent-spoofer ) wspomniany przez Spectraljump uderza w gwóźdź prosto w głowę.
Zgodnie z życzeniem chroni przed:
Ponadto zapewni opcje ochrony przed:
Jeśli wrzucisz płócienny randomizator odcisków palców (taki jak Canvas Defender ), będziesz chroniony przed praktycznie wszystkim wykrywalnym na browserleaks.com i Panopticlick.
Na koniec użyj VPN z ochroną przed wyciekiem DNS , aby zamknąć pętlę.
Alternatywnym rozwiązaniem, choć mniej wygodnym, jest użycie ogólnej wanilii (najczęściej używanego systemu operacyjnego bez zainstalowanej niestandardowej) maszyny Wirtualnej do wszystkich czynności związanych z przeglądaniem i resetowanie jej po każdej sesji.
źródło