Prstni odtisi brskalnika

[HEISENBERG]

Mnogi ljudje uporabljajo anonimna omrežja, da skrijejo svoj naslov IP in lokacijo - vendar obstaja še en način, kako vas je mogoče identificirati in izslediti: s prstnim odtisom brskalnika.

Kadar koli se odpravite na splet, vaš računalnik ali naprava spletnim mestom, ki jih obiščete, posreduje zelo specifične informacije o vašem operacijskem sistemu, nastavitvah in celo strojni opremi. Uporaba teh informacij za prepoznavanje in sledenje na spletu je znana kot odvzem prstnih odtisov naprave ali brskalnika.

Ker so brskalniki vedno bolj povezani z operacijskim sistemom, je mogoče prek brskalnika razkriti številne edinstvene podrobnosti in nastavitve. Seštevek teh izpisov se lahko uporabi za izdelavo edinstvenega "prstnega odtisa" za namene sledenja in identifikacije.
Prstni odtis brskalnika lahko odraža:

• glavo uporabniškega agenta;
• glavo Accept;
• glavo povezave;
• glavo Encoding;
• glavo Jezik;
• seznam vtičnikov;
• platformo;
• nastavitve piškotkov (dovoljeni ali ne);
• nastavitve "Ne sledi" (da, ne ali ni sporočeno);
• časovni pas;
• ločljivost zaslona in njegovo barvno globino;
• uporabo lokalne shrambe;
• uporabo shrambe seje;
• slika, ki je prikazana z elementom HTML Canvas;
• sliko, prikazano z WebGL;
• prisotnost programa AdBlock;
• seznam pisav.

Učinkovitost identifikacije na ta način je dobro opisana tukaj: http://yinzhicao.org/TrackingFree/crossbrowsertracking_NDSS17.pdf

Ali so testna spletna mesta za ugotavljanje prstnih odtisov brskalnikov zelo natančna?

Da in ne.

Da, ta spletna mesta zagotavljajo natančne informacije o prstnem odtisu brskalnika in različnih vrednostih, ki se zbirajo.

Ne, sklep o "edinstvenosti" vašega brskalnika s teh spletnih mest je lahko zelo netočen in zavajajoč. Tukaj je razlog za to:

Vzorec podatkov: V tem primeru je treba upoštevati, da se v primeru, ko je brskalnik vgrajen v brskalnik, uporablja tudi drugačna tehnologija, kot je ta, ki je vgrajena v brskalnik, ki je vgrajen v brskalnik. Ko preizkusite prstni odtis brskalnika s posodobljenim brskalnikom, se lahko pokaže, da je izjemno redek in edinstven, čeprav večina ljudi uporablja enako posodobljeno različico. Nasprotno pa lahko test s starim, zastarelim brskalnikom pokaže zelo dober rezultat (ni edinstven), čeprav v resnici starejši brskalnik danes uporablja zelo malo ljudi.
Ločljivost zaslona: Vsaj na namiznih računalnikih večina ljudi redno prilagaja velikost zaslona brskalnika. Vsaka manjša vrednost velikosti zaslona se izmeri kot dejavnik edinstvenosti, kar je lahko zavajajoče.
Naključni prstni odtisi: Pri teh testnih straneh je težava tudi v tem, da ne upoštevajo naključnih prstnih odtisov, ki jih je mogoče redno spreminjati z razširitvami brskalnikov. Ta metoda je lahko učinkovit način za preprečevanje prstnih odtisov v resničnem svetu, vendar je na teh spletnih mestih ni mogoče preizkusiti/kvantificirati.

Na splošno so spletna mesta za testiranje prstnih odtisov brskalnikov dobra za razkrivanje edinstvenih informacij in vrednosti, ki jih je mogoče prikazati iz brskalnika. Poleg tega pa je lahko poskus premagati test z doseganjem najnižje ocene "edinstvenosti" izguba časa in kontraproduktivno.

Tukaj je nekaj dobrih načinov za ublažitev prstnega odtisa brskalnika:
Priporočljivo je, da vsega, kar bi lahko veljalo za povezano z Darknetom, ne počnete v običajnem operacijskem sistemu ali privzetem brskalniku. Priporočljivo je, da imate v ta namen ločeno napravo.

Ne pozabite preučiti:

zakrijtesvoje sledi

Oglejte si, kako sledilci vidijo vaš brskalnik

coveryourtracks.eff.org

https://amiunique.org/ je še en dober vir. Je odprtokodno in vsebuje več informacij ter posodobljene tehnike prstnih odtisov, vključno z webGL in platnom.

 

[Chemman]

Ali obstajajo precedensi, ko je bil preprodajalec drog pridržan zaradi prepoznavanja prstnih odtisov brskalnika?
Ali je JS tako nevaren za darknet?

 

[Alenciss]

Znane so številne ranljivosti, ki so bile uporabljene za deanonimizacijo uporabnikov omrežja Tor s pomočjo vzvoda JavaScript.

Prvi večji incident, v katerem se je to zgodilo, je bil zaseg storitve "Freedom Hosting" s strani FBI. FBI je strežnike obdržal na spletu, nato pa je namestil pajdaše v javascriptu, ki so izkoriščali ničelni dan (zero-day exploit) v brskalniku Firefox. To je povzročilo, da so računalniki klicali nazaj na strežnik FBI s svojega pravega, neanonimiziranega IP, kar je povzročilo deanonimizacijo različnih uporabnikov. Več o tem si lahko preberete v reviji Ars Technica.

Na splošno omogočanje JavaScripta odpre površino za veliko več potencialnih napadov na spletni brskalnik. V primeru resnega nasprotnika, kot je subjekt s podporo države (npr. FBI), ima ta dostop do izkoriščanj ničelnega dne. Če so vektorji teh ničelnih dni onemogočeni (npr. JavaScript), bodo morda težko našli izvedljiv izkoristek, tudi če imajo dostop do ničelnih dni itd.

Edini razlog, zakaj projekt Tor dovoljuje, da je JavaScript v brskalniku Tor privzeto vklopljen, je uporabnost. Veliko uporabnikov brskalnika Tor ni tehnično podkovanih, JavaScript pa se na sodobnih spletnih straneh pogosto uporablja skupaj s HTML5. Če je JavaScript onemogočen, je veliko spletnih strani neuporabnih, zato je privzeto omogočen.

Najboljša praksa je, da v brskalniku Tor onemogočite JavaScript in za vsa spletišča omogočite NoScript, razen če imate izredno tehten razlog, da tega ne storite.

 

[MuricanSpirit]

Afaik se lahko WebRTC - ki se večinoma uporablja kot voip - uporablja tudi za jemanje prstnih odtisov (api prikazuje, katere naprave so na voljo, npr. Chrome izda, če imate priključen krmilnik xbox).

Edinstvena tehnika za jemanje prstnih odtisov, ki ne uporablja js, je uporaba css oziroma poizvedbe @media (odzivni pogled) za jemanje prstnih odtisov s "prenosom vsake nove slike", ko se spremeni velikost brskalnika. Tako lahko ugotovijo, ali imate monitor 4k ali uporabljate vm (večina vm ima privzeto na voljo le dve velikosti). Edini način, da se "izognete" temu prstnemu odtisu, je, da ne spremenite velikosti brskalnika tor po njegovem zagonu (začel se bo v privzeti velikosti).

Npr.

@media only screen and (max-width: 600px) { body { background: url("maxwidth600.png") } } }

Tako strežnik ve, kakšno širino ima brskalnik. Končni točki (npr. /images/widthWHATEVER.png) sploh ni treba vrniti slike, kljub temu pa bo brskalnik pri spreminjanju velikosti vsakič vprašal za sliko.

Prav tako lahko uporabijo vaše "vedenje pri spreminjanju velikosti", da vas identificirajo, npr. ste edini uporabnik od 1'000'000 vzorcev, ki večkrat spremeni velikost iz x-širine v y-širino.

Tehnik za jemanje prstnih odtisov je toliko, da je to neverjetno. Najbolje je, da se izogibate vsem spletnim mestom, ki jim ne zaupate.

 

[HEISENBERG]

Edina smiselna rešitev

 

[MuricanSpirit]

Sledi miška brez js (čeprav je iztek, tega nisem nikoli videl ali slišal, da bi se uporabljal):

V zaledju deluje na enak način kot "prstni odtisi ločljivosti", tako da naloži sliko (strežnik se lahko odzove s 404 not found), ki zaledju sporoči koordinate miške.

// nikoli nisem poskusil .main { -z-index: 999999; // postavite nad vse width: 100%; height: 100%; position: absolut; top: 0; left: 0; pointer-events: none; // naj miška klikne skozi } // recimo, da vam je pomemben vsak premik 1px, kar povzroči veliko hrupnih zahtevkov, zato bi verjetno uporabili mreže 20-100px .main grid00 { // predstavlja levi zgornji prvi piksel x:0 y:0 background: url("position0_0.png"); width: 1px; height: 1px; } .main grid01 { // predstavlja zgornji levi prvi piksel x:0 y:1 background: url("position0_0.png"); width: 1px; height: 1px; } // itd. ta pravila css bi seveda ustvarili prek scss (predstavljajte si ga kot [I]scripted css[/I], ki ustvarja standardni css)


Z datumom bi lahko ugotovili, ali je uporabnik aktiven na zavihku, razvrstili njegovo obnašanje z miško (npr. kako hitro jo premika, kje je njegov prednostni položaj, ali uporablja miško za branje besedila itd. str.)

Za vsak gumb bi lahko ustvarili takšna pravila css, da bi vedeli, "kako uporabnik pritisne gumb" (ali se premika od spodaj navzgor, hitrost premikanja itd.) in seveda, kakšen položaj preferira na samih gumbih

 

[cederroth]

Priporočam, da pri uporabi tor ali repov ne počnete več kot ene stvari naenkrat.
Ko želite narediti nekaj drugega, se odjavite iz sistema tails in se ponovno prijavite. To ustvari novo identiteto.
Če počnete več stvari hkrati, se lahko zgodi, da boste lahko povezali točke, o katerih ne razmišljate.