Otisk prohlížeče - jak se bránit?

[David1234]

V poslední době čtu o technice nazývané Canvas fingerprinting (https://panopticlick.eff.org/) a docela mě zaráží jak přesně lze podle tohoto otisku jednoznačně identifikovat daný prohlížeč/uživatele.

Zajímalo by mě jak se proti tomu dá bránit. Lze v prohlížeči vynutit vypnutí Canvas API? Nebo postačí blokovat addthis.com a podobně? (https://securehomes.esat.kuleuven.be/~gacar/persistent/canvas_urls.html)

Jsem velmi paranoidní Děkuji za odpovědi.

[Reklama]

[Pavouk106]

Jsi velmi paranoidní. Nemáš zač

Asi trochu rozjedu flame, i když vlastně nechtěně - uživatele to nesleduje, protože nikdo neví, kdo je tím uživatelem.

Ale na druhou stranu - proč se to používá? Kvůli reklamě určitě ne (respektive: nejen)...

[Jenda]

Kdybyste měli něco, co řeší panopticlick, byl bych moc rád. Nejlépe rozšíření, které si z panopticlick DB stáhne nejčastěji viděné fingeprinty a já si pak třeba vyberu, že chci být poslední Firefox na Windows 7.

Zajímalo by mě jak se proti tomu dá bránit. Lze v prohlížeči vynutit vypnutí Canvas API?
(https://securehomes.esat.kuleuven.be/~gacar/persistent/canvas_urls.html)

Nevím o tom, že by to někde šlo. Lze ale vypnout javascript, což lze jen doporučit.

Nebo postačí blokovat addthis.com a podobně? (https://securehomes.esat.kuleuven.be/~gacar/persistent/canvas_urls.html)

Nestačí, s rostoucí popularitou sledování lze očekávat, že to začne používat každý druhý. Například tajná služba, ve které pracuji, servíruje sledovací obsah z domény, odkud byste to asi fakt nečekali.

Asi trochu rozjedu flame, i když vlastně nechtěně - uživatele to nesleduje, protože nikdo neví, kdo je tím uživatelem.

Stačí, aby se jednou někam přihlásil. Pak si smaže cookies a myslí si, že už zase nikdo neví, kdo je. A on ví.

[aaa158]

Ah merde. Ja by som tiez bol dobrym publikom pre taky addon...

Your browser fingerprint appears to be unique among the 4,390,839 tested so far.

Currently, we estimate that your browser has a fingerprint that conveys at least 22.07 bits of identifying information.

[tadeas]

Poslední Chrome na OS X Mavericks a jsem na tom podobně:

Your browser fingerprint appears to be unique among the 4,391,102 tested so far.

Currently, we estimate that your browser has a fingerprint that conveys at least 22.07 bits of identifying information.

[Reklama]

[Lama]

Je zajimave, ze pro oba prohlizece (opera a IE) na PC WIN7 mi to hlasi 22.07bit informace a take me dost prekvapuje, ze na telefonu Chrome + Android je to opet 22.07bit

Myslim si, ze jsem celkem obycejny clovek, tak me neprijemne prekvapuje, ze jsem 3x unikatni

[duh]

Ah merde. Ja by som tiez bol dobrym publikom pre taky addon...

Uz driv jsem premyslel, jak tomu zabranit. V principu by to melo jit i dobre, akorat neumim programovat pluginy do FF/Chr :/
Jestli se z toho dela jen hash (nekde jo, jinde asi analyza lepsi), staci podvrhnout jen 'Referrer' (to se da nastavovat) a pripadne dalsi pole, ktere to meri.
Ted uz to delat jen automaticky (napr pri otevreni nove stranky/domeny)

[karel]

Ah merde. Ja by som tiez bol dobrym publikom pre taky addon...

Uz driv jsem premyslel, jak tomu zabranit. V principu by to melo jit i dobre, akorat neumim programovat pluginy do FF/Chr :/
Jestli se z toho dela jen hash (nekde jo, jinde asi analyza lepsi), staci podvrhnout jen 'Referrer' (to se da nastavovat) a pripadne dalsi pole, ktere to meri.
Ted uz to delat jen automaticky (napr pri otevreni nove stranky/domeny)

gd typ. porad jsem premejslel na cem si zkusim napsat plugin do ff a todle by mohlo jit,
toz uvidime co z toho bude

[Jenda]

Je zajimave, ze pro oba prohlizece (opera a IE) na PC WIN7 mi to hlasi 22.07bit informace a take me dost prekvapuje, ze na telefonu Chrome + Android je to opet 22.07bit

Myslím, že by to mohlo souviset s některými vlastnostmi logaritmu.

[Žirafa]

Já znám ještě lepší stránku: http://ip-check.info/

A jak se bránit?

0) Použít historický prohlížeč, který nikdy neslyšel o dnešních technologiích (a pak maskovat jeho user-agenta)
1) Stáhnout src libovolného hotového prohlížeče a začít odstraňovat některé jeho vlastnosti.
2) Zapojit se do vývoje méně známého prohlížeče, třeba http://www.qupzilla.com, který už má i v požadavcích imunitu vůči sledování, nicméně stále ne implementovanou.

A teď asi více praktičtější rady 

3) Vypnout globálně javascript, tímto krokem padne hodně věcí (nejen sledovacích)
4) Pluginy zakázat nebo nastavit ondemand
5) Sehnat si neveřejnou IP, ne jako já.
6) http://www.privoxy.org/

S privoxy jsem si hrál dva dny, umí to krásné kouzla s HTTP. Dokáže filtrovat CSS, JS, HTML, HTTP hlavičky. Na reklamu ideální, bohužel z vyššího principu neumí filtrovat HTTPS (kdyby ano, tak je asi HTTPS špatně udělané). Takže stačí jediný přesměrování prohlížeče na stránku s certifikátem, proxyna uvidí jenom zašifrovaný proud a prohlížeč prozradí i to, co jste měli včera k obědu.

[_pepak]

A jak se bránit?
0) Použít historický prohlížeč, který nikdy neslyšel o dnešních technologiích (a pak maskovat jeho user-agenta)
1) Stáhnout src libovolného hotového prohlížeče a začít odstraňovat některé jeho vlastnosti.

Obě tyto rady vedou na *zjednodušení* identifikace, ne na zesložitění. Je hezké, že XYZ 0.11a nic špatného neposílá, ale kolik lidí ho používá?
Obdobně, i nepřítomnost nějaké vlastnosti, kterou prohlížeč XYZ normálně posílá, je informací sama o sobě.

Naopak, je vhodné používat co nejobvyklejší prohlížeč v co nejobvyklejší jeho podobě.

3) Vypnout globálně javascript, tímto krokem padne hodně věcí (nejen sledovacích)

Obecně dobrá rada, ale k omezení identifikace to moc nepomůže - s vypnutým JS browsí jen naprosté minimum uživatelů. Vhodnější (pouze z hlediska anonymity, ne z hlediska bezpečnosti!!) by bylo nechat JS zapnutý, ale falšovat jeho výstupy.

S privoxy jsem si hrál dva dny, umí to krásné kouzla s HTTP. Dokáže filtrovat CSS, JS, HTML, HTTP hlavičky. Na reklamu ideální, bohužel z vyššího principu neumí filtrovat HTTPS (kdyby ano, tak je asi HTTPS špatně udělané).

Některé proxy umí filtrovat i HTTPS, pokud se uživatel smíří s tím, že všechny šifrované stránky budou mít stejný certifikát.

[Nobody]

Asi trochu rozjedu flame, i když vlastně nechtěně - uživatele to nesleduje, protože nikdo neví, kdo je tím uživatelem.

Anonymita konci uz ve chvili, kdy si nekdo dokaze spojit otisk s cinnosti na vice nez jednom webu. To, ze si dokaze s otiskem a cinnost spojit take jmeno, napr. proto, ze se dotycny neprozretelne regnul na Google, Facebook atd., je tresnicka na dortu.

[Brabec]

Jak jsem právě zjistil, tak tuhle záležitost neřeší dokonce ani TorBrowser, což jsem se domníval, že zrovna ten má právě tyto věci podchycené. Asi by se to dalo vyřešit pluginen, který by buď předával náhodně vygenerované blbosti, nebo nějaké uživatelem předem přednastavené informace - např. typ počítače Sinclair ZX Spectrum, rozlišení obrazovky 100tisíc x 10, apod...   

[Lama]

Osobně bych spíš preferoval omezení informací na nutné minimum než vymýšlení si nesmyslných údajů. Konkrétně u toho rozlišení 10000x10 px si dokážu představit stránky, které si pak neprodhlédnete.

Myslím, že je lepší se skrýt v množině 1 z 10000 počítačů než být unikátní.

Ideálně ještě rotovat otisky (podmnožiny komplentích otisků) mezi všemi relevantními uživateli pluginu

[Agsiar]

Je hezký, že o sobě řekneš, že jsi ZX spectrum, ale asi budeš jedinej s tímhle nastavením na celém internetu.

Osobně doporučuji plně aktualizovaný Firefox ve stejném jazyce, jako mají všichni okolo; vypnuté pluginy, NoScript, AdBlock, Ghostery; statisícový NAT a dynamickou IPv4 adresu.