Jak wyłączyć uprawnienia do czytania „Czcionek systemowych” i „Szczegóły wtyczki przeglądarki” w Chrome i Firefox

Przechodząc do http://panopticlick.eff.org/ widzę, że Firefox i Chrome ujawniają więcej o „Czcionkach systemowych” i „Szczegółach wtyczki przeglądarki” niż wolę.

Jak można zezwolić stronie internetowej na dostęp do tych ustawień w Firefoksie i Chrome?

Są dwa pytania, ale odpowiadam na pytanie z listą czcionek:

Możliwe jest wyłączenie wyliczania czcionek Flash za pomocą mms.cfgogólnosystemowego pliku konfiguracyjnego. Ten plik powinien znajdować się w /etc/adobe/katalogu, jeśli używasz Linuksa. Zasadniczo wystarczy umieścić następujący wiersz w pliku:

DisableDeviceFontEnumeration = 1

Aby uzyskać więcej informacji, zobacz Podręcznik administratora programu Adobe Flash Player .

Przy tym ustawieniu Panopticlick i inne strony nie mogą uzyskać listy czcionek przez Flash.

Pamiętaj, że lista czcionek jest nadal dostępna przez Javę, jeśli masz ją zainstalowaną. Tak czy inaczej, warto pozbyć się Javy. Jeśli korzystasz z kilku witryn wymagających Java, użyj innej instancji przeglądarki z innym profilem użytkownika z włączoną Javą tylko dla tych witryn.

Bezpłatne rozszerzenie ChromeGlove blokuje wtyczkę i wyliczanie typu mime, ukrywając wpisy tablicy w mniej więcej taki sam sposób, jak Firefox i Internet Explorer mogą / robią natywnie.

Nadal musisz ustawić Chrome na wtyczki „Kliknij, aby odtworzyć” i samodzielnie wyłączyć pliki cookie innych firm w ustawieniach prywatności Chrome. Ponadto, jak wspomniano w badaniu, prawdopodobnie nadal będziesz wyglądać jak wyjątkowy, dopóki wystarczająca liczba osób nie zacznie używać takich wtyczek.

Pełne ujawnienie: jestem autorem.

Ta funkcjonalność może (ale nie musi) zostać zintegrowana z rozszerzeniem Electronic Frontier Foundation Privacy Badger w przyszłości. W każdym razie wydawali się zainteresowani.

W przeglądarce Firefox 28:

Wpisz about:configpasek lokalizacji

Odnaleźć plugins.enumerable_names

Ustaw wpis na nic.

Odwiedź https://panopticlick.eff.org/, aby sprawdzić, czy wtyczki nie są już wymienione.

Javascript ma możliwość sprawdzenia, które wtyczki są zainstalowane, jest to zwykle używane, aby w razie potrzeby wyświetlić komunikat „brakująca wtyczka instalacji”. Jeśli chcesz, możesz wyłączyć wtyczki w ustawieniach i wyłączyć Javascript za pomocą dodatku takiego jak Czarna lista Javascript dla Chrome lub pasek stanu Quick Java dla Firefox.

Całkowicie możliwe z Proxomitronem .

Prox jest jak NoScript, HTTP LiveHeaders, RequestPolicy, CookieSafeguard, BetterPrivacy i tak dalej, wszystko w jednym programie. Nie jest dalej rozwijany, ale nadal gwarantuje mi prywatność, której żadne inne narzędzie nie może zrobić.

Proxomitron to uniwersalny filtr sieciowy. Informacje z ich strony:

Program

Dla tych, którzy nie zostali jeszcze przedstawieni, poznaj Proxomitron: darmowy, wysoce elastyczny, konfigurowalny przez użytkownika, mały, ale bardzo wydajny, lokalny serwer proxy HTTP do filtrowania stron internetowych. Aby lepiej się zapoznać, zapoznaj się z naszą wersją online plików Pomocy Proxomitron, aby uzyskać bardziej wyczerpujący przegląd.

Obecna (i ostatnia) wersja Proxomitronu to Naoko 4.5, z której były dwie wersje, jedna w maju 2003 roku, a druga w czerwcu. Chociaż są bardzo podobne, istnieją wyraźne różnice między nimi, które nie są wymienione w dokumentacji żadnego programu. Obie wersje są dostępne w sekcji Pliki. PI skoncentruje się na najnowszej wersji - wydaniu czerwcowym.

Autor

Scott R. Lemmon pierwotnie opracował Proxomitron na własny użytek. Następnie postanowił udostępnić go publicznie i udostępnił się użytkownikom za pośrednictwem poczty elektronicznej oraz w kilku grupach dyskusyjnych użytkowników Proxomitron. Jego wsparcie, podobnie jak jego program, było zawsze bezpłatne.

Wraz z wydaniem Naoko 4.5 Scott przerwał dalszy rozwój i wsparcie swojego programu i usunął oficjalny dom Proxomitron z Internetu. Uszanowaliśmy jego decyzję, by przejść dalej i życzyliśmy mu wszystkiego najlepszego - i przecież to właśnie konsekwentnie nam dawał.

Niestety, rok później Scott zmarł - ale jego błyskotliwość umysłu i ducha trwa. Krótko mówiąc, Proxomitron jest odzwierciedleniem jego twórcy: znajomości programu Scotta. . . jest znać Scott Lemmon.

Sprawdź to! Istnieje (nieco) aktywna społeczność.

Począwszy od przeglądarki Firefox 17 możesz włączyć funkcję „kliknij, aby odtworzyć”, która automatycznie zatrzymuje ładowanie Java i Flash. To z kolei powstrzymuje odkrywanie wielu (nie wszystkich) informacji. Na przykład zatrzymanie wtyczki Flash uniemożliwia wykrycie większości czcionek.

Aby włączyć funkcję „kliknij, aby włączyć” w przeglądarce Firefox:

• dostałem się do „about: config” na pasku adresu
• wyszukaj „click_to_play”
• kliknij dwukrotnie wpis, aby przełączyć wartość z „false” na „true”
• zamknij kartę
• Następnym razem, gdy wtyczka będzie wymagana, pojawi się monit z opcją jej włączenia

Rozwiązaniem dla najnowszych przeglądarek Firefox jest:

• Użyj losowego agenta Spoofer. Ostatnio dodano opcje wyłączania wyliczania wtyczek: https://github.com/dillbyrne/random-agent-spoofer/issues/283

• Lub użyj skryptu użytkownika, jak pokazano w komentarzu Mechazawy w powyższym linku. Możesz użyć jego skryptu Greasemonkey lub Tampermonkey (zarówno Firefox, jak i Chrome), aby zająć się tym bez żadnego rozszerzenia.

Mogę potwierdzić, że pokazuje to wtyczki jako „niezdefiniowane” w teście panopticlick.

Odcisk palca czcionki to tylko niewielka część odcisku palca przeglądarki. Całkowite zablokowanie tego jest prawie niemożliwe, jeśli celem jest pozostawienie przeglądarki nadal działającej. Mówi się, że najlepszą ogólną ochronę odcisków palców można znaleźć w przeglądarce Tor.

W praktycznych testach stwierdzono, że próba zablokowania odcisku palca czcionek faktycznie zwiększa unikalność odcisku palca komputera, ponieważ większość użytkowników tego nie robi. Najlepszym sposobem na uniknięcie pobierania odcisków palców jest zrobienie nic specjalnego i połączenie się z tysiącami innych użytkowników.

Pierwszym krokiem przeciwko odciskom palców czcionek jest przetestowanie skuteczności wszelkich środków obronnych, które podejmiesz. Dobrym narzędziem tutaj jest https://browserleaks.com/fonts . Dobrym narzędziem wyjątkowości ogólnego pobierania odcisków palców jest https://panopticlick.eff.org/ (moja przeglądarka okazała się wyjątkowa wśród 199 984 testowanych w ciągu ostatnich 45 dni) lub Am I Unique .

Aby zapewnić ochronę w Chrome , możesz podjąć następujące środki:

• Zamiast tego zainstaluj wzmocnioną wersję Chromium
• Użyj rozszerzenia (nie przetestowałem ich skuteczności):
  • Czcionka Glyph Fingerprint Privacy Biała
    lista Umożliwia wykrywanie tylko domyślnej listy czcionek zainstalowanych w systemie Windows.
  • Czcionka Defender linii papilarnych
    Dodaje niewielki hałas do rzeczywistego odcisku palca i „odnawia” go za każdym razem, gdy odwiedzasz stronę internetową lub ładujesz stronę ponownie.
  • Nie odciskaj
    palca Dodaje kartę do narzędzi programistycznych Chrome, która pokazuje próby pobierania odcisków palców w przeglądarce.

Do ochrony w przeglądarce Firefox

Mozilla pracuje obecnie nad projektem Tor Uplift, którego celem jest zbudowanie w Firefoksie tego samego poziomu odporności na odciski palców, co w przeglądarce Tor. Ten projekt jest w toku i opisany w artykule Bezpieczeństwo / Odcisk palca .

Możesz wypróbować skrypt hartujący Firefoksa w Github ghacks-user.js , chociaż według wszystkich raportów może to być zbyt wiele i faktycznie zaszkodzić przeglądaniu.

Jeśli chodzi o dodatki, na stronie znajdziesz poprawki przydatnych dodatków i innych porad na stronie Firefox-ulepszenia .

W tej chwili miary, które znam specjalnie dla odcisków palców czcionek, dotyczą : ustawień konfiguracji :

• Kliknij prawym przyciskiem myszy i wybierz Nowy> Ciąg , tworząc nowy parametr font.system.whitelist, który wyświetli listę czcionek, które zobaczy JavaScript. Przykładowa poprawna wartość to Helvetica, Courier, Verdana. Zmiana wchodzi w życie natychmiast.
  W moim przypadku zmniejszyło to moje odciski palców czcionek z 266 czcionek i 238 unikatowych metryk znalezionych na liście 512 czcionek do „tylko” 28 czcionek i 9 unikatowych metryk. (Nie mam pojęcia, jak wpłynie to na przeglądanie).

• privacy.resistFingerprinting=truejest ogólnym przełącznikiem umożliwiającym środki ochrony prywatności z projektu Tor Uplift podczas ich wdrażania. Umożliwia dystrybucję jednolitej listy czcionek. Mozilla nie zaleca włączania go, ponieważ spowoduje uszkodzenie niektórych stron internetowych.

• Wyłączanie opcji „Zezwalaj witrynom na używanie własnych czcionek” i interfejsu API ładowania czcionek CSS poprzez zmianę tych wartości:

  browser.display.use_document_fonts = 0
  layout.css.font-loading-api.enabled = false
  font.blacklist.underline_offset = (empty string)
  gfx.downloadable_fonts.enabled = true
  gfx.font_rendering.opentype_svg.enabled = false
  gfx.font_rendering.graphite.enabled = false
  

  (Najprawdopodobniej pogorszy to przeglądanie).

Wystarczy zauważyć, że widziałem omówione metody wyrafinowanego pobierania odcisków palców i rysowania czcionek, które mogłyby nawet zidentyfikować kartę graficzną i sterownik graficzny.

Moja opinia: nie da się uniknąć odcisków palców - czcionki to nie wszystko. Nawet jeśli ty:

• Użyj VPN
• Przeglądaj w waniliowej maszynie wirtualnej z systemem Windows
• Nie instaluj czcionek ani innego oprogramowania
• Zainstaluj najczęściej używaną przeglądarkę - Chrome, bez rozszerzeń
• Przeglądaj w trybie incognito, który wyłącza wszystkie pliki cookie i rozszerzenia

wówczas najprawdopodobniej te unikalne metody ochrony wraz z elementami sprzętowymi wciąż wykrywalnymi w maszynie wirtualnej nadal będą stanowić unikalny lub prawie unikalny odcisk palca. Nie wspominając o tym, że korzystanie z tego środowiska będzie dość trudne.

Aby omówić niektóre znane metody pobierania odcisków palców, zobacz następujące artykuły:

• Odcisk palca przeglądarki - objaśnienia i rozwiązania (od 2019 r.)
  Zawiera więcej informacji i hacków niż wymienione powyżej.

• Nowe techniki pobierania odcisków palców (od 2017 r.)

• Bezpieczeństwo przeglądarki internetowej - BrowserLeaks.com

Chociaż jest to starsze pytanie, od 2017 r. Nadal jesteśmy bardzo zaniepokojeni wszystkimi informacjami wyciekającymi z przeglądarki, ponieważ są one wykorzystywane do pobierania odcisków palców. Uważam, że Random Agent Spoofer ( https://github.com/dillbyrne/random-agent-spoofer ) wspomniany przez Spectraljump uderza w gwóźdź prosto w głowę.

Zgodnie z życzeniem chroni przed:

• wyliczanie wtyczek
• nie ujawni czcionek zainstalowanych na twoich komputerach (co jest bardziej wydajną alternatywą dla narzędzi do zmiany czcionek, takich jak FluxFonts)

Ponadto zapewni opcje ochrony przed:

• większość innych narzędzi do pobierania odcisków palców
• pozwoli ci wyłączyć webRTC, webGL, lokalną pamięć podręczną i wiele innych.

Jeśli wrzucisz płócienny randomizator odcisków palców (taki jak Canvas Defender ), będziesz chroniony przed praktycznie wszystkim wykrywalnym na browserleaks.com i Panopticlick.

Na koniec użyj VPN z ochroną przed wyciekiem DNS , aby zamknąć pętlę.

Alternatywnym rozwiązaniem, choć mniej wygodnym, jest użycie ogólnej wanilii (najczęściej używanego systemu operacyjnego bez zainstalowanej niestandardowej) maszyny Wirtualnej do wszystkich czynności związanych z przeglądaniem i resetowanie jej po każdej sesji.