Evidenziatura di impronte digitali del dispositivo

13

Per quanto riguarda il concetto di fingerprinting del dispositivo (browser) , sarebbe possibile per l'utente spoofare i dati delle impronte digitali fornendo informazioni casuali come che le tue impronte digitali cambiano dopo ogni richiesta?

Se sì, ci sono plugin / browser che hanno questa capacità?

    
posta Moses 23.02.2012 - 08:31
fonte

4 risposte

5

Per quanto posso vedere, puoi facilmente falsificare tutti i dati delle impronte digitali e potenzialmente modificarli ad ogni richiesta. Tutte queste informazioni vengono inviate dal browser nelle intestazioni HTTP della richiesta (o ottenute tramite script sul lato client del browser). Non sono a conoscenza di un particolare plug-in che supporta pienamente questo, ma ci sono alcuni plugin per cambiare il tuo user-agent , manipolazione delle intestazioni e gestione dei cookie . L'user-agent è una delle principali informazioni identificative del processo di fingerprinting e la maggior parte degli altri pezzi si trovano in altre varie intestazioni. È anche possibile bloccare script javascript / flash, ad es. utilizzando il plugin noscript

La modifica di queste informazioni sulle impronte digitali tuttavia ha un prezzo. Potrebbe far sì che il sito web visualizzi le pagine in un modo diverso, il che farà apparire il sito sbagliato o non funzionerà correttamente. Molti sviluppatori di siti Web si basano su (almeno alcune) informazioni sulle impronte digitali per rendere le pagine che visualizzano compatibili con il browser. Nascondere / spoofare queste informazioni influenzerà pertanto questo processo e la tua esperienza di navigazione potrebbe essere alterata .

È anche possibile che questa impronta digitale venga eseguita per motivi legittimi di sicurezza . Ad esempio, un sito Web sensibile alla sicurezza potrebbe associare le informazioni dell'impronta digitale alla sessione o all'utente collegato e rifiuterà le richieste in cui le impronte digitali non corrispondono (ciò suggerirebbe al server che una richiesta proviene ora da un altro browser ). Ecco un altro esempio da un'altra domanda in cui il proprietario del sito web desidera testare le versioni del browser del browser (che fanno parte dei dati delle impronte digitali) prima di consentire l'accesso. Non conosco siti specifici che usano questa tecnica, ma è sicuramente fattibile. La modifica dei dati delle impronte digitali con ogni richiesta causerà nuovamente comportamenti indesiderati.

Suppongo che l'esecuzione di alcuni piccoli aggiustamenti casuali su intestazioni specifiche raggiunga un migliore grado di anonimato contro le impronte digitali senza compromettere l'esperienza di navigazione. Ciò richiede qualche sperimentazione e probabilmente significherà un compromesso tra sicurezza e usabilità.

    
risposta data 23.02.2012 - 08:58
fonte
2

Esiste un plugin per browser per Firefox chiamato CanvasBlocker di kkapsner che afferma di essere in grado di bloccare il fingerprinting della tela in diversi modi. La modalità di blocco che trovo più interessante è la "falso readout api" che presumibilmente invia dati falsi ogni volta che viene chiamata; tuttavia, l'utente può scegliere altri metodi come bloccare tutte le richieste, bloccare i siti solo sulla lista nera, non bloccare sulla lista bianca, ecc. Tuttavia, come sottolineato da Shnatsel sopra, non è possibile controllare i risultati a meno che non si abbia accesso al fornitori di impronte digitali. Inoltre, come Yoav Aner ha affermato nel post precedente, il blocco o lo spoofing delle impronte digitali di una persona potrebbe interrompere alcuni siti. Lo sviluppatore, kkapsner, descrive anche questo particolare problema. Ulteriori informazioni su questa estensione sono disponibili all'indirizzo link . L'estensione per Firefox è disponibile all'indirizzo link . Buona navigazione!

    
risposta data 22.11.2018 - 04:44
fonte
1

Sì, probabilmente è possibile. Tuttavia, non conosco browser o plug-in che supportino lo spoofing dell'impronta digitale o che lo modifichino ad ogni richiesta.

Se stai cercando di proteggere il tuo anonimato e proteggerti dalle impronte digitali, ti suggerirei una combinazione di Tor (installalo tramite il pacchetto Tor), possibilmente insieme a NoScript.

    
risposta data 23.02.2012 - 09:32
fonte
1

No. È quasi impossibile. Ci sono diversi problemi con esso.

Il problema principale di evitare le impronte digitali è che abbiamo pochissima idea di come funzioni effettivamente, quindi non abbiamo idea di cosa fare per aggirarlo.

Tutti sembrano pensare a Panopticlick come cornice di riferimento per le impronte digitali. E in teoria è possibile, più o meno, aggirare Panopticlick con le impronte digitali di crowdsourcing. Ma Panopticlick è una demo molto limitata. Il suo whitepaper afferma chiaramente che anche nel 2009, quando Panopticlick è stato creato, le soluzioni di impronte digitali commerciali erano molto più avanzate:

Arcot... claims it is able to ascertain PC clock processor speed, along with more-common browser factors to help identify a device. 41st Parameter looks at more than 100 parameters, and at the core of its algorithm is a time differential parameter that measures the time difference between a user's PC (down to the millisecond) and a server's PC. ThreatMetrix claims that it can detect irregularities in the TCP/IP stack and can pierce through proxy servers... Iovation provides device tagging (through LSOs) and clientless [ngerprinting], and is best distinguished by its reputation database, which has data on millions of PCs.

E questo è stato nel 2009! Ho paura di pensare a quello che hanno inventato quei ragazzi da allora.

L'altro problema è che se si modifica l'orologio in modo anomalo ogni tanto, non è possibile controllare se questo sia di aiuto o meno, a meno che non si abbia accesso alle console di amministrazione di tutti i principali fornitori di impronte digitali.

Ecco perché non ci sono software per aggirare le impronte digitali: nessuno sa davvero come combatterlo. Quindi probabilmente dovremo affrontarlo.

    
risposta data 04.07.2013 - 10:19
fonte

Leggi altre domande sui tag