Fingeravtryck från webbläsare

[HEISENBERG]

Många använder anonymitetsnätverk för att dölja sin IP-adress och plats - men det finns ett annat sätt att identifiera och spåra dig: genom webbläsarens fingeravtryck.

Varje gång du går ut på nätet förser din dator eller enhet de webbplatser du besöker med mycket specifik information om ditt operativsystem, dina inställningar och till och med din maskinvara. Användningen av denna information för att identifiera och spåra dig online kallas för enhetsfingeravtryck eller webbläsarfingeravtryck.

I takt med att webbläsarna blir alltmer sammanflätade med operativsystemet kan många unika detaljer och preferenser exponeras via din webbläsare. Summan av dessa uppgifter kan användas för att skapa ett unikt "fingeravtryck" för spårnings- och identifieringsändamål.
Din webbläsares fingeravtryck kan återspegla:

• rubriken Användaragent;
• Accept-huvudet;
• Anslutningshuvudet;
• Kodningshuvudet;
• Språk-huvudet;
• listan över insticksmoduler;
• Plattformen;
• Cookies-inställningar (tillåtna eller inte);
• Do Not Track-inställningarna (ja, nej eller inte kommunicerat);
• Tidszon;
• skärmupplösning och dess färgdjup;
• Användning av lokal lagring;
• användning av sessionslagring;
• en bild som återges med HTML Canvas-elementet;
• En bild som återges med WebGL;
• Förekomsten av AdBlock;
• listan över teckensnitt.

Effektiviteten i identifieringen på detta sätt beskrivs väl här: http://yinzhicao.org/TrackingFree/crossbrowsertracking_NDSS17.pdf

Är testwebbplatser för webbläsarfingeravtryck mycket exakta?

Ja och nej.

Ja, dessa webbplatser ger korrekt information om din webbläsares fingeravtryck och de olika värden som samlas in.

Nej, den "unika" slutsatsen om din webbläsare från dessa webbplatser kan vara väldigt felaktig och mycket vilseledande. Här är varför:

Dataprov: Cover Your Tracks och amiunique.org jämför din webbläsares fingeravtryck med en gigantisk databas med gamla, föråldrade webbläsare - av vilka många inte längre används. När du testar din webbläsares fingeravtryck med en uppdaterad webbläsare kan det visa sig att det är extremt sällsynt och unikt, även om majoriteten av människor använder samma uppdaterade version. Omvänt kan testet med en gammal, föråldrad webbläsare visa ett mycket bra resultat (inte unikt) när det i själva verket är mycket få människor som använder den äldre webbläsaren idag.
Skärmupplösning: Åtminstone på stationära datorer justerar de flesta människor regelbundet webbläsarens skärmstorlek. Varje mindre värde för skärmstorleken kommer att mätas som en faktor för unikhet, vilket kan vara missvisande.
Slumpmässiga fingeravtryck: Ett annat problem med dessa testplatser är att de inte tar hänsyn till slumpmässiga fingeravtryck som regelbundet kan ändras genom webbläsartillägg. Denna metod kan vara ett effektivt sätt att förhindra fingeravtryck i den verkliga världen, men den kan inte testas/kvantifieras via dessa webbplatser.

I allmänhet är testwebbplatserna för webbläsarfingeravtryck bra för att avslöja den unika informationen och värdena som kan återges från din webbläsare. Bortsett från detta kan det dock vara slöseri med tid och kontraproduktivt att försöka klara testet genom att få den lägsta poängen för "unikhet".

Här är några bra sätt att mildra ditt webbläsarfingeravtryck:
Det rekommenderas starkt att allt som kan betraktas som Darknet-relaterat inte görs i det vanliga operativsystemet eller i standardwebbläsaren. Det är tillrådligt att ha en separat enhet för detta ändamål.

Var noga med att studera:

Dölj dina spår

Se hur spårare ser din webbläsare

coveryourtracks.eff.org

https://amiunique.org/ är en annan bra resurs. Den är öppen källkod och ger mer information och uppdaterade fingeravtryckstekniker, inklusive webGL och canvas.

 

[Chemman]

Finns det några prejudikat där en knarklangare har gripits för att ha identifierat fingeravtryck från en webbläsare?
Är JS så farligt för darknet?

 

[Alenciss]

Det finns ett antal kända sårbarheter som har använts för att avanonymisera Tor-användare genom att utnyttja JavaScript.

Den första större incidenten där detta hände var i samband med FBI:s beslag av "Freedom Hosting". FBI höll servrar online och installerade sedan javascript paylods som utnyttjade en nolldagarslucka i Firefox. Detta gjorde att datorerna ringde tillbaka till en FBI-server från sin riktiga, icke-anonymiserade IP-adress, vilket ledde till att flera användare avanonymiserades. Du kan läsa mer om detta i Ars Technica.

I allmänhet öppnar aktivering av JavaScript ytan för många fler potentiella attacker mot en webbläsare. Om det rör sig om en seriös motståndare, t.ex. en statsstödd enhet (t.ex. FBI), har de tillgång till zero-day exploits. Om vektorerna för dessa zero-days är inaktiverade (t.ex. JavaScript) kan det vara svårt för dem att hitta en användbar exploatering även om de har tillgång till zero-days etc.

Det enda skälet till att Tor-projektet tillåter att JavaScript är aktiverat som standard i Tor-webbläsaren är användarvänlighet. Många Tor-användare är inte tekniskt kunniga, och JavaScript används ofta tillsammans med HTML5 på moderna webbplatser. Om JavaScript inaktiveras blir många webbplatser oanvändbara, och därför är det aktiverat som standard.

Som en bästa praxis bör man inaktivera JavaScript i Tor-webbläsaren och hålla NoScript aktiverat för alla webbplatser, såvida du inte har en extremt tvingande anledning att inte göra det.

 

[MuricanSpirit]

Afaik WebRTC - används mest som voip - kan också användas för att fingeravtrycka dig (api visar vilka enheter som är tillgängliga t.ex. Chrome ger bort om du har en xbox-kontroller ansluten).

Någon unik fingeravtrycksteknik som inte är js använder css respektive @media-frågan (responsiv vy) för att fingeravtrycka dig genom att "ladda ner varje gång en ny bild" när webbläsarstorleken ändras. Så de kan berätta om du har en 4k-skärm eller om du kör en vm (de flesta vms har bara 2 storlekar tillgängliga som standard). Det enda sättet att "undvika" detta fingeravtryck är att inte ändra storleken på Tor-webbläsaren efter att den har startat (den startar i sin standardstorlek).

t.ex.

@media only screen and (max-width: 600px) { body { background: url("maxwidth600.png") } }

På så sätt vet servern vilken bredd webbläsaren har. Slutpunkten (t.ex. /images/widthWHATEVER.png) behöver inte ens returnera en bild och ändå kommer webbläsaren att fråga varje gång efter en när den ändrar storlek.

De kan också använda ditt "storleksändringsbeteende" för att identifiera dig, t.ex. att du är den enda användaren av 1 000 000 000 prover som ändrar storlek från x-bredd till y-bredd upprepade gånger.

Det finns så många tekniker för att fingeravtrycka dig, det är otroligt. Det bästa är att undvika alla webbplatser som du inte litar på.

 

[HEISENBERG]

Den enda vettiga lösningen

 

[MuricanSpirit]

Följ musen utan js (men utgång, jag har aldrig sett detta eller hört att det används):

Det fungerar i backend i princip på samma sätt som "resolution fingerprinting" fungerar genom att ladda en bild (servern kan svara med 404 not found) som berättar för backend musens coords.

// aldrig försökt .main { -z-index: 999999; // lägg över allt bredd: 100%; höjd: 100%; position: absolut; topp: 0; left: 0; pointer-events: none; // låt musen klicka igenom } // låt oss säga att du bryr dig om varje 1px-rörelse, vilket resulterar i många bullriga förfrågningar, du skulle förmodligen använda 20-100px-rutnät .main grid00 { // representerar övre vänstra första pixeln x:0 y:0 background: url("position0_0.png"); bredd: 1px; höjd: 1px; } .main grid01 { // representerar övre vänstra första pixeln x:0 y:1 background: url("position0_0.png"); bredd: 1px; höjd: 1px; } // etc. du skulle ofc generera dessa css-regler genom scss (föreställ dig det som [I]skriptad css[/I] som genererar standard css)


Du kan använda datumet för att veta om användaren är aktiv på fliken, klassificera hans musbeteende (t.ex. hur snabbt flyttar han den, var är hans föredragna position, använder han musen för att läsa texten etc. pp.)

Du kan skapa sådana css-regler för varje knapp för att veta "hur användaren trycker på en knapp" (flyttar han från botten till toppen, rörelsens hastighet etc.) och ofc vilken position han föredrar på själva knapparna

 

[cederroth]

Jag rekommenderar att man inte gör mer än en sak åt gången när man använder tor eller tails.
När du vill göra något annat, logga ut från tails. och logga in igen. Det skapar ett nytt id.
Om du gör många saker samtidigt kanske man kan koppla ihop prickar som du inte tänker på.