Browser Fingerprinting

[HEISENBERG]

Mange mennesker bruger anonymitetsnetværk til at skjule deres IP-adresse og placering - men der er en anden måde, du kan blive identificeret og sporet på: gennem browser-fingeraftryk.

Hver gang du går online, giver din computer eller enhed de websteder, du besøger, meget specifikke oplysninger om dit operativsystem, dine indstillinger og endda din hardware. Brugen af disse oplysninger til at identificere og spore dig online er kendt som enhedens eller browserens fingeraftryk.

Efterhånden som browsere bliver mere og mere sammenflettet med operativsystemet, kan mange unikke detaljer og præferencer afsløres gennem din browser. Summen af disse output kan bruges til at lave et unikt "fingeraftryk" til sporings- og identifikationsformål.
Dit browser-fingeraftryk kan afspejle:

• Brugeragent-headeren;
• Accept-headeren;
• Forbindelsesheaderen;
• Encoding-headeren;
• Sprog-headeren;
• listen over plugins;
• platformen;
• præferencer for cookies (tilladt eller ej);
• Do Not Track-indstillingerne (ja, nej eller ikke kommunikeret);
• Tidszonen;
• skærmopløsningen og dens farvedybde;
• brugen af lokal lagring;
• brugen af sessionslagring;
• et billede gengivet med HTML Canvas-elementet;
• et billede gengivet med WebGL;
• tilstedeværelsen af AdBlock;
• listen over skrifttyper.

Effektiviteten af identifikation på denne måde er godt beskrevet her: http://yinzhicao.org/TrackingFree/crossbrowsertracking_NDSS17.pdf

Er testwebsteder med browser-fingeraftryk meget nøjagtige?

Ja og nej.

Ja, disse hjemmesider giver nøjagtige oplysninger om din browsers fingeraftryk og de forskellige værdier, der indsamles.

Nej, den "unikke" konklusion om din browser fra disse hjemmesider kan være meget unøjagtig og meget misvisende. Her er hvorfor:

Dataprøve: Cover Your Tracks og amiunique.org sammenligner din browsers fingeraftryk med en gigantisk database med gamle, forældede browsere - hvoraf mange ikke længere er i brug. Når du tester din browsers fingeraftryk med en opdateret browser, kan det vise sig at være ekstremt sjældent og unikt, selv om de fleste mennesker bruger den samme opdaterede version. Omvendt kan en test med en gammel, forældet browser vise et meget godt resultat (ikke unikt), når det i virkeligheden er meget få mennesker, der bruger den ældre browser i dag.
Skærmopløsning: I det mindste på stationære maskiner justerer de fleste mennesker regelmæssigt deres browserskærmstørrelse. Hver eneste mindre værdi for skærmstørrelse vil blive målt som en faktor for unikhed, hvilket kan være misvisende.
Tilfældige fingeraftryk: Et andet problem med disse testsites er, at de ikke tager højde for randomiserede fingeraftryk, som regelmæssigt kan ændres via browserudvidelser. Denne metode kan være en effektiv måde at forhindre fingeraftryk i den virkelige verden på, men den kan ikke testes/kvantificeres via disse sider.

Generelt er websiderne til test af browser-fingeraftryk gode til at afsløre de unikke oplysninger og værdier, der kan gengives fra din browser. Men bortset fra det kan det være spild af tid og kontraproduktivt at forsøge at slå testen ved at få den laveste "unikhedsscore".

Her er nogle gode måder at mindske dit browser-fingeraftryk på:
Det anbefales på det kraftigste, at du ikke gør noget, der kan betragtes som Darknet-relateret, på dit normale operativsystem eller i din standardbrowser. Det er tilrådeligt at have en separat enhed til dette formål.

Sørg for at læse på lektien:

Dæk dine spor

Se, hvordan trackere ser din browser

coveryourtracks.eff.org

https://amiunique.org/ er en anden god ressource. Den er open source og giver mere information og opdaterede fingeraftryksteknikker, herunder webGL og canvas.

 

[Chemman]

Er der nogen fortilfælde, hvor en narkohandler er blevet tilbageholdt for at identificere browser-fingeraftryk?
Er JS så farligt for darknet?

 

[Alenciss]

Der er en række kendte sårbarheder, som er blevet brugt til at deanonymisere Tor-brugere ved at udnytte JavaScript.

Den første større hændelse, hvor dette skete, var med FBI's beslaglæggelse af "Freedom Hosting". FBI holdt servere online og installerede derefter javascript paylods, som udnyttede en zero-day exploit i Firefox. Dette fik computerne til at ringe tilbage til en FBI-server fra deres rigtige, ikke-anonymiserede IP, hvilket førte til deanonymisering af forskellige brugere. Du kan læse mere om det i Ars Technica.

Generelt åbner aktivering af JavaScript overfladen for mange flere potentielle angreb mod en webbrowser. Hvis der er tale om en seriøs modstander som en statsstøttet enhed (f.eks. FBI), har de adgang til zero-day exploits. Hvis vektorerne for disse zero-days er deaktiveret (f.eks. JavaScript), kan de have svært ved at finde en brugbar udnyttelse, selv om de har adgang til zero-days osv.

Den eneste grund til, at Tor-projektet lader JavaScript være slået til som standard i Tor-browseren, er brugervenlighed. Mange Tor-brugere er ikke teknisk kyndige, og JavaScript bruges ofte sammen med HTML5 på moderne hjemmesider. Hvis man deaktiverer JavaScript, bliver mange hjemmesider ubrugelige, og derfor er det aktiveret som standard.

Som en bedste praksis bør man deaktivere JavaScript i Tor-browseren og holde NoScript aktiveret på alle websteder, medmindre man har en ekstremt overbevisende grund til ikke at gøre det.

 

[MuricanSpirit]

Afaik WebRTC - der mest bruges som voip - kan også bruges til at fingeraftrykke dig (api'en viser, hvilke enheder der er tilgængelige, f.eks. afslører Chrome, hvis du har en xbox-controller tilsluttet).

En unik teknik til fingeraftryk uden js er at bruge css henholdsvis @media-forespørgslen (responsiv visning) til at sætte fingeraftryk ved at "downloade et nyt billede hver gang", når browserstørrelsen ændres. Så de kan se, om du har en 4k-skærm, eller om du kører en vm (de fleste vms'er har kun to størrelser til rådighed som standard). Den eneste måde at "undgå" dette fingeraftryk på er ikke at ændre størrelsen på tor-browseren, efter at den er startet (den vil starte i sin standardstørrelse).

F.eks.

@media only screen and (max-width: 600px) { body { background: url("maxwidth600.png") } }

På den måde ved serveren, hvilken bredde browseren har. Slutpunktet (f.eks. /images/widthWHATEVER.png) behøver ikke engang at returnere et billede, og alligevel vil browseren bede om et hver gang, når den ændrer størrelse.

De kan også bruge din "størrelsesadfærd" til at identificere dig, f.eks. hvis du er den eneste bruger ud af 1.000.000 prøver, der ændrer størrelsen fra x-bredde til y-bredde gentagne gange.

Der er så mange teknikker til at sætte fingeraftryk på dig, at det er utroligt. Det bedste er at undgå websteder, du ikke har tillid til.

 

[HEISENBERG]

Den eneste fornuftige løsning

 

[MuricanSpirit]

Følg musen uden js (selvom det er udløbet, har jeg aldrig set det eller hørt, at det bliver brugt):

Det fungerer i backend på stort set samme måde som "resolution fingerprinting" ved at indlæse et billede (serveren kan svare med 404 not found), som fortæller backend musens koordinater.

// aldrig prøvet .main { -z-index: 999999; // sat over alt width: 100%; height: 100%; position: absolut; top: 0; left: 0; pointer-events: none; // lad musen klikke igennem } // lad os sige, at du bekymrer dig om hver 1px bevægelse, hvilket resulterer i en masse støjende anmodninger, du ville sandsynligvis bruge 20-100px grids .main grid00 { // repræsenterer øverste venstre første pixel x:0 y:0 background: url("position0_0.png"); width: 1px; height: 1px; } .main grid01 { // representing top left first pixel x:0 y:1 background: url("position0_0.png"); width: 1px; height: 1px; } // etc. you would ofc generate those css rules through scss (imagine it as [I]scripted css[/I] which generates standard css)


Du kan bruge datoen til at vide, om brugeren er aktiv på fanen, klassificere hans museadfærd (f.eks. hvor hurtigt bevæger han den, hvor er hans foretrukne position, bruger han musen til at læse teksten osv. pp.)

Du kan oprette sådanne css-regler for hver knap for at vide,"hvordan brugeren trykker på en knap" (bevæger han sig fra bunden til toppen, bevægelsens hastighed osv.), og selvfølgelig hvilken position han foretrækker på selve knapperne.

 

[cederroth]

Jeg vil anbefale, at man ikke gør mere end én ting ad gangen, når man bruger tor eller tails.
Når du vil gøre noget andet, skal du logge ud af tails og logge ind igen. Det skaber et nyt id.
Hvis du gør mange ting på samme tid, kan man måske forbinde punkter, du ikke tænker over.