Сколько информации могут получить веб-сайты о вашем браузере / ПК?

41

Я пытаюсь определить, является ли информация, показанная на сайте www.whatsmyip.org, абсолютным максимальным объемом информации, которую веб-сервер может получить от посетителя веб-сайта. Существуют ли другие сайты, которые смогут пассивно получать больше информации от пользователя, как это?

Я не говорю о перехвате портов или о каком-либо взаимодействии с пользователем, а просто о той информации, которую сервер может получить от «тупого» визита.

Этот вопрос был Супер Вопросом Пользователя Недели .
Прочитайте запись в блоге для получения более подробной информации или внесите свой вклад в блог самостоятельно

browser website internet-security Pickledegg
источник

Ответы:

34

Более того: Electronic Frontier Foundation (EFF) выпустил инструмент Panopticlick, который показывает в основном ту же информацию, но дополнительно сканирует установленные шрифты.

Установленные шрифты, вероятно, являются наиболее идентифицирующей частью информации, как только вы начинаете добавлять один или два. Только из-за большого количества шрифтов вряд ли будет одинаковый набор шрифтов на двух разных компьютерах. (Пока они используются разными людьми)

Редактировать (из комментариев). В качестве противодействия этому можно либо отключить JavaScript (через надстройку, например, NoScript), либо отключить плагины Java и Flash в браузере, так как по крайней мере один из них необходим для извлечения информации.

Baarn
источник
2
Это требует Java для извлечения некоторой части ее информации (и это очень мало, если вы отклоняете запрос на включение Java на сайт) - тестовый OP-сбор собирает гораздо больше с использованием пассивных средств.
PhonicUK
1
Это не требует Java, это требует JavaScript. У большинства людей в браузере не установлено дополнение типа NoScript, поэтому в большинстве случаев можно извлечь всю информацию. Сайты, выполняющие этот вид сканирования, обычно не спрашивают пользователя, разрешено ли это делать.
Баарн
2
Да , это делает использование Java, то есть Java - апплет , который делает проверку шрифта. При посещении страницы Chrome даже запрашивает, хотите ли вы разрешить запуск апплета. Сделайте элемент проверки на странице, и вы увидите<applet codebase="java" code="fonts.class" id="javafontshelper" name="javafontshelper" mayscript="true" width="1" height="1"></applet>
PhonicUK
1
@Indrek Я могу подтвердить это, как только у вас отключены Java и Flash, шрифты не могут быть извлечены.
Baarn
2
Если он не может сделать это через Java, он использует Flash. Если вы отключите и флэш, и java, то это просто выдаст «Шрифты Flash или Java не обнаружены». Вы не можете получить список шрифтов, просто используя Javascript. Конечно, он настолько пассивен, что не требует взаимодействия с пользователем, но для этого все еще требуются дополнительные функции.
PhonicUK
9

Как они это получают?

Пассивная идентифицируемая информация в основном собирается из заголовков коммуникационных пакетов.

Когда браузер запрашивает URL-адрес, этот запрос проходит через несколько уровней модели OSI и несколько сетевых протоколов. Протоколы верхнего уровня, такие как HTTP и TCP / IP, вероятно, предоставляют большую часть информации, отображаемой на этом веб-сайте. Эта информация обычно хранится в заголовке пакета и изначально была там встроена, чтобы помочь серверам понять: как лучше всего представить информацию для вашей среды.

Удобный список текущих заголовков HTTP доступен из Википедии . Более техническим справочником являются Определения полей заголовка RFC 2616 или сам RFC 2616 , см. Раздел 14.

Как защитить вашу конфиденциальность?

Другой очень популярный метод для отслеживания пользователя - использование специальных файлов cookie - так поставщики рекламы узнают, какое объявление показывать вам (что меня очень насторожило). Смотрите ответы на мой вопрос: Как удалить отслеживание куки . Ответы на самом деле охватывают гораздо больше возможных способов защиты от других методов отслеживания.

Возможно, более безопасный способ оставаться анонимным в Интернете - это использовать несколько специализированных проектов безопасности, одним из которых является TOR .

алексей
источник
8

С точки зрения информации, которую вы можете получить пассивно без использования Java / Flash - это довольно исчерпывающе.

Возможно, вы могли бы сделать что-то вроде оценки производительности ПК с помощью эталонного теста JavaScript, но вы действительно настаиваете на этом.

PhonicUK
источник
7

Эта страница мало что показывает, если вы просто отклоняете запросы браузера на запуск плагинов, разрешаете обнаружение местоположения и т. Д.

Имя хоста, IP-адрес и т. Д. Могут быть легко скрыты через прокси, а информация браузера / ОС может быть легко подделана через расширения и тому подобное.

В конце концов, если вы не установите и не разрешите сторонние плагины, веб-сайты не смогут собрать много информации, потому что браузеры специально предназначены для ограничения доступа к системе. Самым распространенным инструментом, который используют сайты для сбора данных, являются файлы cookie, но есть ограничения на то, сколько они также могут сообщать.

Единственный реальный способ для сайта получить неограниченный доступ к вашей системе - попытаться использовать уязвимость в браузере или одном из его плагинов, но вы можете даже уменьшить это, установив как можно меньше и обновив их .

Synetech
источник
5

Есть что-то дополнительное, чего не перечислили предыдущие ответы:

Веб-сайт может отслеживать, какие другие веб-сайты вы посетили (до того, как вы в последний раз удалили историю посещенных страниц).

Как это сделать?

Ваш браузер красит ссылки по-разному, в зависимости от того, посещали ли вы их раньше или нет. Веб-сайт может составлять большой список из множества известных веб-сайтов (о которых сайт хочет знать, посещали ли вы их) и отображать этот список таким образом, чтобы пользователь не мог его увидеть (скрытый за изображением со шрифтом). размером 1 пиксель, с тем же цветом, что и фон, и т. д.) Теперь скрипт сканирует, как список «отображается» браузером, и может узнать, какие из них были посещены.

ВСЗ
источник
1
Я слышал об этом раньше, но думаю, что это уже невозможно.
Баарн
В наши дни (2012), когда современный браузер позволяет это, это считается серьезной уязвимостью безопасности. Например, недавно была выпущена бета-версия (?) Firefox 16, когда разработчики осознали, что они уязвимы для этого эксплойта. Это считалось достаточно серьезным промахом, чтобы стать новостью: bbc.co.uk/news/technology-19909106
user56reinstatemonica8
5

Просто нашел этот сайт, не увидел его выше: http://browserspy.dk Довольно интересно, если не сказать больше!

BrowserSpy.dk - это место, где вы можете увидеть, сколько информации ваш браузер сообщает о вас и вашей системе.

Знаете ли вы, что все посещаемые вами сайты могут узнать, какие шрифты вы установили?

Также возможно узнать, установлен ли у вас ряд программ. К ним относятся Adobe Reader, OpenOffice.org, Google Chrome и Microsoft Silverlight. Возможно, даже те сайты, которые вы посетили в последнее время, могут быть обнаружены!

Когда вы путешествуете по Интернету, ваш браузер оставляет за собой след цифровых следов. Веб-сайты могут использовать эти следы для проверки вашей системы.

BrowserSpy.dk - это сервис, где вы можете проверить, какую информацию можно собрать из вашей системы, просто посетив веб-сайт.

Каран
источник