In primo luogo, non penso sia realistico aspettarsi che gli utenti abbiano JavaScript disabilitato nel web moderno. Diamo un'occhiata a ciò che Panopticlick può raccogliere solo tramite JavaScript, insieme al punteggio di unicità del mio particolare browser:
-
Agente utente (1 su 4.184)
- Intestazioni HTTP_ACCEPT (1 su 14)
-
Dettagli plugin per browser (1 su 1,8 milioni)
- Fuso orario (1 su 24)
- Dimensioni dello schermo e profondità del colore (1 su 1.700)
- Font di sistema (1 su 11)
- Cookie abilitati? (1 in 1.3)
- Test SuperCookie limitato (1 in 2)
Gli elementi distintivi per l'univocità sono chiaramente User Agent e Browser Plugin. Ricorda che questi elementi sono usati insieme per formare un'impronta digitale del browser, quindi sono più forti dei singoli punteggi. L'unicità cumulativa qui è: 4,184 x 14 x 1.8 million x 24 x 1,700 x 11 x 1.3 x 2
ovvero un NUMERO GRANDE VERO . Questo è ... piuttosto unico.
Al momento ho disattivato Flash, con "fai clic per attivare". L'abilitazione di Flash aggiunge:
- Font di sistema (1 su 374k)
Flash fornisce il secondo elemento rilevabile più esclusivo, ma dato il numero enorme anche il rilevamento JavaScript predefinito in Panopticlick produce, non sono sicuro che Flash sia necessario per questo tipo di fingerprinting del browser. Basta abilitare JavaScript è sufficiente.
Il fingerprinting del browser è solo una parte della storia, però. Considera la somma di ciò che tutti possiamo rilevare dagli utenti anonimi, perché può tutti lavorare insieme per impronte digitali agli utenti anonimi. Quanto è difficile raccogliere e utilizzare i dati rilevati?
- Sniffing dei dettagli del browser, come mostrato sopra (facile)
- Indirizzo IP, che ha un livello noto di affidabilità con vantaggi e svantaggi (facile)
- Modelli di comportamento degli utenti come l'utilizzo (ora del giorno), la digitazione, i movimenti del mouse o delle dita, l'uso delle parole (duro, parte del server, parte del client)
Una cosa di cui mi preoccupo solo con lo sniffing del browser è la facilità con cui gli utenti cambiano i browser. Sulla maggior parte delle piattaforme esistono almeno quattro alternative di browser grandiose e gratuite: Chrome, Opera, Firefox , Safari. Quindi, per interrompere lo sniffing del browser, o almeno interromperlo, è possibile cambiare frequentemente i browser.
Vale la pena menzionare i cosiddetti SuperCookie qui poiché possono effettivamente funzionare, in alcuni casi , anche se cambi browser e anche se JavaScript, HTML 5 Archiviazione locale e Flash sono disabilitati .
A privacy researcher has revealed the evil genius behind a for-profit web analytics service capable of following users across more than 500 sites, even when all cookie storage was disabled and sites were viewed using a browser's privacy mode.
(Se sei curioso, la versione TL; DR è che lo fanno sfruttando i principi oscuri dell'intestazione ETag ).
Comunque, tornando allo sniffing del browser - ci sono due cose un po 'scomode che gli utenti possono fare per sconfiggere questo:
- Cambia costantemente browser.
- Cerca sempre con JavaScript e Flash disabilitato.
Tuttavia, se l'utente non sa che le sue impostazioni del browser vengono annusate e utilizzate come parte del metodo per impronte digitali, dubito che altamente debbano necessariamente prendersi la briga di farlo due cose. È un lavoro.
In base ai dati di cui sopra, credo che il annusamento del browser possa aiutare a identificare il tipico utente Internet anonimo, ma è efficace solo in combinazione con le altre cose che in genere rileviamo da utenti Internet anonimi come IP indirizzo.