Ile informacji mogą uzyskać strony internetowe na temat przeglądarki / komputera?

41

Próbuję ustalić, czy informacje wyświetlane na stronie www.whatsmyip.org są absolutnie maksymalną ilością informacji, które serwer sieciowy może uzyskać od użytkownika sieci. Czy istnieją inne witryny, które będą w stanie uzyskać więcej informacji od użytkownika w sposób pasywny?

Nie mówię o wąchaniu portów ani jakiejkolwiek interakcji użytkownika, tylko o informacjach, które serwer może uzyskać z „głupiej” wizyty.

To pytanie było pytaniem superużytkownika tygodnia .
Przeczytać wpis w blogu więcej szczegółów lub przyczynić się do bloga siebie

browser website internet-security Pickledegg
źródło

Odpowiedzi:

34

Jest coś więcej: Electronic Frontier Foundation (EFF) wprowadził narzędzie o nazwie Panopticlick, które pokazuje głównie te same informacje, ale dodatkowo skanuje zainstalowane czcionki.

Zainstalowane czcionki są prawdopodobnie najbardziej identyfikującą informacją, gdy tylko zaczniesz dodawać jedną lub dwie. Ze względu na liczbę dostępnych czcionek jest mało prawdopodobne, aby ten sam zestaw czcionek istniał na dwóch różnych komputerach. (O ile są używane przez różne osoby)

Edycja (z komentarzy): Środkiem zaradczym jest wyłączenie JavaScript (poprzez dodatek taki jak NoScript na przykład) lub wyłączenie wtyczek Java i Flash w przeglądarce, ponieważ przynajmniej jedna z nich jest potrzebna do wyodrębnienia informacji.

Baarn
źródło
2
Wymaga to Javy w celu wyodrębnienia niektórych jej informacji (a staje się bardzo mało, jeśli odmówisz zezwolenia na Javę w witrynie) - testowy połączony OP zbiera znacznie więcej za pomocą środków pasywnych.
PhonicUK
1
Nie wymaga Java, wymaga JavaScript. Większość ludzi nie ma zainstalowanego w przeglądarce dodatku takiego jak NoScript, dlatego w większości przypadków można wyodrębnić wszystkie informacje. Witryny wykonujące tego rodzaju skanowanie zwykle nie pytają użytkownika, czy jest to dozwolone.
Baarn
2
Tak to robi Use Java, ma aplet Javy, który wykonuje sprawdzanie czcionki. Chrome nawet pyta Cię podczas odwiedzania strony, czy chcesz zezwolić na uruchomienie apletu. Wykonaj element <applet codebase="java" code="fonts.class" id="javafontshelper" name="javafontshelper" mayscript="true" width="1" height="1"></applet>
kontrolny
1
@Indrek Mogę to potwierdzić, gdy tylko wyłączysz Java i Flash, nie można wyodrębnić czcionek.
Baarn,
2
Jeśli nie może tego zrobić przez Javę, zamiast tego używa Flasha. Jeśli wyłączysz zarówno Flash, jak i Java, pojawi się komunikat „Nie wykryto czcionek Flash ani Java”. Nie możesz uzyskać listy czcionek za pomocą Javascript. Przyznaję, że jest pasywny, o ile nie wymaga interakcji ze strony użytkownika, ale potrzebne są dodatkowe dodatki.
PhonicUK
9

Jak oni to dostają?

Informacje pasywne umożliwiające identyfikację są najczęściej gromadzone z nagłówków pakietów komunikacyjnych.

Gdy przeglądarka żąda adresu URL, żądania te przechodzą przez kilka warstw modelu OSI i kilka protokołów sieciowych. Protokoły wyższego poziomu, takie jak HTTP i TCP / IP, prawdopodobnie dostarczają większość informacji wyświetlanych na tej stronie internetowej. Informacje te są zwykle przechowywane w nagłówku pakietu i zostały tam pierwotnie osadzone, aby pomóc serwerom zrozumieć: jaka jest najlepsza reprezentacja informacji dla twojego środowiska.

Przyjazna dla użytkownika lista bieżących nagłówków HTTP jest dostępna z Wikipedii . Bardziej technicznym odniesieniem jest RFC 2616 Header Field Definitions lub sam RFC 2616 , patrz sekcja 14.

Jak chronić swoją prywatność?

Inną bardzo popularną techniką śledzenia użytkownika jest określony plik cookie - w ten sposób dostawcy reklam wiedzą, którą reklamę wyświetlić (co mnie bardzo ostrożnie). Zobacz odpowiedzi na moje pytanie: Jak usunąć śledzące pliki cookie . Odpowiedzi faktycznie obejmują o wiele więcej możliwych sposobów obrony przed innymi technikami śledzenia.

Być może bezpieczniejszym sposobem na zachowanie anonimowości w Internecie jest skorzystanie z dedykowanych projektów bezpieczeństwa, z których jednym jest TOR .

oleksii
źródło
8

Pod względem informacji można uzyskać pasywnie bez użycia Java / Flash - to dość wyczerpujące.

Być może możesz zrobić takie rzeczy jak oszacowanie wydajności komputera za pomocą testu porównawczego JavaScript, ale w tym momencie naprawdę naciskasz.

PhonicUK
źródło
7

Ta strona tak naprawdę niewiele pokazuje, jeśli po prostu odrzucisz monity przeglądarki o uruchomienie wtyczek, zezwolenie na wykrywanie lokalizacji itp.

Nazwę hosta, adres IP itp. Można łatwo ukryć za pośrednictwem serwera proxy, a informacje o przeglądarce / systemie operacyjnym można łatwo sfałszować za pomocą rozszerzeń i tym podobnych.

Ostatecznie, o ile nie zainstalujesz i nie zezwolisz na wtyczki innych firm, strony internetowe nie mogą zebrać dużej ilości informacji, ponieważ przeglądarki są zaprojektowane w taki sposób, aby ograniczać dostęp do systemu. Najpopularniejszym narzędziem wykorzystywanym przez witryny do gromadzenia danych są pliki cookie, ale istnieją również ograniczenia co do tego, ile mogą zgłaszać.

Jedynym prawdziwym sposobem, aby witryna uzyskała nieograniczony dostęp do twojego systemu, jest próba wykorzystania luki w przeglądarce lub jednej z jej wtyczek, ale możesz to złagodzić, instalując jak najmniej i aktualizując je .

Synetech
źródło
5

Jest coś ekstra, czego nie wymieniono w poprzednich odpowiedziach:

Witryna może śledzić, które inne witryny odwiedziłeś (przed ostatnim usunięciem historii przeglądania).

Jak to jest zrobione?

Kolory przeglądarki łączą się inaczej, w zależności od tego, czy odwiedziłeś je wcześniej, czy nie. Witryna może utworzyć dużą listę wielu znanych witryn (o których strona chce wiedzieć, jeśli je odwiedziłeś) i wyświetlać tę listę w sposób, w jaki użytkownik nie może jej zobaczyć (ukryty za obrazem, za pomocą czcionki rozmiar 1 piksela, z tym samym kolorem co tło itp.) Teraz skrypt skanuje, w jaki sposób lista jest „wyświetlana” przez przeglądarkę, i może wiedzieć, który z nich odwiedzono.

vsz
źródło
1
Słyszałem o tym wcześniej, ale myślę, że nie jest to już możliwe.
Baarn,
Obecnie (2012), kiedy pozwala na to nowoczesna przeglądarka, jest traktowana jako poważna luka w zabezpieczeniach. Na przykład niedawno wydano wersję beta (?) Firefoksa 16, gdy programiści zdali sobie sprawę, że są podatni na ten exploit. Uznano to za wystarczająco poważną, niemal nieodebraną, by być wiadomością: bbc.co.uk/news/technology-19909106
user56reinstatemonica8
5

Właśnie znalazłem tę stronę, nie widziałem jej wspomnianej powyżej: http://browserspy.dk Całkiem interesująco, delikatnie mówiąc!

BrowserSpy.dk to miejsce, w którym możesz zobaczyć, ile informacji przeglądarka ujawnia o tobie i twoim systemie.

Czy wiesz, że wszystkie odwiedzane strony internetowe mogą dowiedzieć się, które czcionki zostały zainstalowane?

Można również dowiedzieć się, czy masz zainstalowany szereg programów. Należą do nich Adobe Reader, OpenOffice.org, Google Chrome i Microsoft Silverlight. Być może nawet które ostatnio odwiedziłeś strony mogą zostać wykryte!

Podczas surfowania w Internecie przeglądarka pozostawia ślad cyfrowych śladów. Strony internetowe mogą korzystać z tych śladów, aby sprawdzić system.

BrowserSpy.dk to usługa, w której można sprawdzić, jakie informacje można uzyskać z systemu, odwiedzając witrynę internetową.

Karan
źródło