Як відключити дозвіл на читання "Системні шрифти" та "Інформація про плагіни браузера" в Chrome і Firefox

47

Перейшовши на сторінку http://panopticlick.eff.org/, я можу побачити, що Firefox та Chrome розкривають більше про «Системні шрифти» та «Деталі плагіну браузера», ніж я вважаю за краще.

Як можна відключити дозвіл веб-сторінки на доступ до цих налаштувань у Firefox та Chrome?

firefox google-chrome privacy

— еубін
джерело

1

Для системних шрифтів вам потрібно вимкнути Flash. Ще шукаєте плагіни.

— pkario

1

Власне, відключення Flash не вирішує це; це все ще може перерахувати їх іншим способом.

— Synetech

Якщо хтось тут, бо турбується про конфіденційність ... Вашої IP-адреси достатньо, щоб ідентифікувати вашу сім'ю. Скільки користувачів у вашій родині мають однакову роздільну здатність екрана, ОС та браузер? Ви вже унікальні :), тому ви можете перестати турбуватися про шрифтові списки та плагіни ...

— xtrahelp.com

22

Є два питання, але я відповідаю на питання зі списком шрифтів:

Можна відключити перерахування шрифтів Flash за допомогою mms.cfgфайлу конфігурації для всієї системи. Цей файл повинен знаходитися в /etc/adobe/каталозі, якщо ви використовуєте Linux. В основному вам потрібно просто помістити у файл наступний рядок:

DisableDeviceFontEnumeration = 1

Докладніше див. У посібнику з адміністрування Adobe Flash Player .

За допомогою цієї налаштування Panopticlick та інші сайти не можуть отримати ваш список шрифтів через Flash.

Зауважте, що список шрифтів все ще доступний через Java, якщо він встановлений. Хороша ідея позбутися від Java все одно. Якщо ви використовуєте пару сайтів, для яких потрібна Java, використовуйте інший примірник веб-переглядача з іншим профілем користувача з включеною Java саме для цих сайтів.

— оснащення
джерело

2

На моїй машині Windows 7 файл знаходиться за адресою C: \ Windows \ SysWOW64 \ Macromed \ Flash \ mms.cfg

— MikeFHay

Ви можете просто відключити Java та Flash у розширеннях браузера. Це працювало для мене.

— Вакар Лім

1

Дуже дякую! Це працює на моєму ПК (Windows XP). Однак Panopiclick все ще визнає мене унікальним відвідувачем. через мій список плагінів ...

— Cerberus

Також працює для мене на XP. FWIW, розташування файлу було C:\WINDOWS\system32\Macromed\Flash\mms.cfg.

— мартіно

2

Не працює для Chrome в OS X. Виявляється, Chrome використовує власний плагін Flash, який має окремий файл конфігурації. Її шлях ~/Library/Application Support/Google/Chrome/Default/Pepper Data/Shockwave Flash/System/mms.cfg(створити, System/mms.cfgякщо його не існує.)

— День

6

Безкоштовне розширення Chrome RubberGlove блокує підрахунок плагінів та mime типу, маскуючи записи масиву приблизно таким же чином, як Firefox та Internet Explorer можуть / робити на самому собі.

Вам все-таки потрібно встановити для хроніки плагіни "Клацнути, щоб відтворити" та відключити сторонні файли cookie в налаштуваннях конфіденційності Chrome. Крім того, як згадувалося в дослідженні, ви все одно, мабуть, виявитесь унікальними, поки достатньо людей не почне використовувати такі плагіни.

Повне розкриття: Я автор.

Ця функціональність може (або не може) бути інтегрована у розширення Політики конфіденційності Фонду електронних кордонів у майбутньому. Вони, здавалося, зацікавлені, все одно.

— Джейсон С. Кларі
джерело

Джейсоне, чи є якийсь шанс додати в RubberGlove функцію білого списку? Це дивовижно, але ламає кілька сайтів. Увімкнення та вимкнення розширення протягом усього дня трохи дратує. Існує запит на це як на веб-сайті Google Chrome, так і на сторінці розвитку github.

— Костін Гуша

5

У Firefox 28:

Введіть about:configрядок розташування

Знайдіть plugins.enumerable_names

Встановіть запис нічого.

Відвідайте https://panopticlick.eff.org/, щоб переконатися, що плагіни більше не вказані.

— mlibby
джерело

1

Для білого списку використовуйте цей формат plugins.enumerable_names: Java, QuickTime, Shockwave

— Tilo

Щоб повернути цей метод, змініть запис назад на *

— matt.

3

Я не бачу цього налаштування в FireFox 41. Хтось знає, де він зараз?

— Келлі Томас

Здається, поки що немає. Знайшов це: bugzilla.mozilla.org/show_bug.cgi?id=757726

— neo post modern

3

Javascript має можливість перевіряти, які плагіни встановлені, зазвичай це використовується для подання повідомлення "встановити пропущений плагін", якщо потрібно. Якщо ви хочете, ви можете відключити плагіни в налаштуваннях та відключити Javascript за допомогою додатка, як Javascript Blacklist для Chrome, або Швидкої панелі стану Java для Firefox.

— NoBugs
джерело

Де можна відключити плагіни в налаштуваннях?

— мартіно

з меню інструментів-додатків.

— NoBugs

3

Абсолютно можливо з Проксомітроном .

Prox - це як NoScript, HTTP LiveHeaders, RequestPolicy, CookieSafeguard, BetterPrivacy та багато іншого - все це розміщено в одній програмі. Він не розвинений далі, але все ж гарантує мені конфіденційність, жоден інший інструмент не може зробити.

Проксомітрон - це універсальний веб-фільтр. Інформація з їхнього сайту:

Програма

Для тих, хто ще не представлений, знайдіть Proxomitron: безкоштовний, дуже гнучкий, налаштований користувачем невеликий, але дуже потужний локальний проксі-фільтруючий HTTP-проксі. Щоб ознайомитись краще, перегляньте нашу Інтернет-версію файлів довідки Proxomitron для більш повного огляду.

Поточна (та остання) версія Proxomitron - це Naoko 4.5, з яких було два випуски, один у травні 2003 року, а другий у червні. Хоча вони дуже схожі, існують чіткі відмінності між ними, які не згадуються в документації жодної програми. Обидва випуски доступні в розділі Файли. Основна увага PI буде приділена останній версії - червневому випуску.

Автор

Скотт Р. Леммон спочатку розробив проксомітрон для власного використання. Потім він вирішив оприлюднити його для громадськості та зробив доступним для користувачів електронною поштою та в кількох групах обговорень користувачів Proxomitron. Його підтримка, як і його програма, завжди була безкоштовною.

З випуском Naoko 4.5, Скотт припинив усі подальші розробки та підтримку своєї програми і витягнув з Інтернету офіційний будинок Proxomitron. Ми поважали його рішення рухатися далі і побажали йому всього найкращого - а це, зрештою, того, що він нам послідовно давав.

На жаль, через рік Скотт помер - але його блиск розуму і духу живе далі. Простіше кажучи, Проксомітрон - це відображення його творця: Щоб знати програму Скотта. . . це знати Скотта Леммона.

Перевір! Є (дещо) активна спільнота.

— канапе
джерело

Ого, люди все ще використовують Proxomitron, навіть із Windows 7, Chrome тощо. ಠ_๏Я думаю, що Скотт справді справився з цим чудово. Я давно не користувався ним; Я здогадуюсь, я повинен це вийти. ☺

— Synetech

2

Станом на Firefox 17 ви можете увімкнути "натиснути, щоб грати", що зупиняє завантаження Java та Flash автоматично. Це, в свою чергу, зупиняє багато (не всю) інформацію, яка буде виявлена. Наприклад, зупинення плагіну Flash запобігає виявленню більшості шрифтів.

Щоб увімкнути "click_to_play" у Firefox:

потрапив до "about: config" у своєму адресному рядку
пошук "click_to_play"
двічі клацніть на записі, щоб переключити значення з "false" на "true"
закрити вкладку
наступного разу, коли плагін буде потрібен, ви отримаєте підказку, яка дає вам можливість включити його

— IanB
джерело

Хіба це по суті те, що додаток Flashblock виконується у багатьох інших версіях Firefox?

— мартіно

Це для мене не вийшло.

— mlibby

2

Рішенням останніх браузерів Firefox є:

Використовуйте випадковий агент Spoofer. Нещодавно було додано параметри вимкнення перерахування плагінів: https://github.com/dillbyrne/random-agent-spoofer/isissue/283
Або скористайтеся сценарієм користувача, як показано в коментарі Мечазави за вищезазначеним посиланням. Ви можете використовувати його сценарій Greasemonkey або Tampermonkey (як firefox, так і хром), щоб подбати про це без будь-якого розширення.

Я можу підтвердити, що це показує плагіни як "невизначені" у тесті на паноптик.

— Спектралюмп
джерело

2

Дактилоскопія шрифту - це лише невелика частина відбитків пальців браузера. Повністю заблокувати це майже неможливо, якщо мета - залишити браузер функціональним. Найкращий загальний захист відбитків пальців, як кажуть, знаходиться в браузері Tor.

На практичних тестах було встановлено, що спроба блокувати відбиток шрифту насправді збільшує унікальність комп'ютерного відбитка пальця, оскільки більшість користувачів цього не роблять. Найкращий спосіб уникнути відбитків пальців - це нічого не робити і поєднувати з тисячами інших користувачів.

Перший крок проти відбитків пальців шрифту - це тест на ефективність будь-яких захисних заходів, які ви будете вживати. Хорошим інструментом тут є https://browserleaks.com/fonts . Хороший інструмент для унікальності загального відбитка пальців - https://panopticlick.eff.org/ (мій власний браузер з'явився унікальним серед 199 984 тестованих за останні 45 днів) або Am I Unique .

Для захисту в Chrome можна вжити таких заходів:

Встановіть замість цього затверділу збірку хрому
Використовуйте розширення (я не перевіряв їх ефективність):
- Білий список конфіденційності відбитків шрифта шрифту
  Дозволяє виявляти лише список шрифтів, встановлених за допомогою Windows, за замовчуванням.
- Захисник відбитків шрифту
  Він додає невеликий шум фактичному відбитку пальця і "оновлює" його щоразу, коли ви відвідуєте веб-сайт або перезавантажуєте сторінку.
- Don't FingerPrint Me
  Додає вкладку до інструментів розробника Chrome, яка показує спроби відбитків пальців браузера.

Для захисту у Firefox

В даний час Mozilla працює над проектом Tor Uplift, мета якого - створити в Firefox той же рівень опору відбитків пальців, як і в браузері Tor. Цей проект триває та описаний у статті Безпека / Відбитки пальців .

Ви можете спробувати скрипт для загартовування Firefox в Github ghacks-user.js , хоча за всіма звітами це може бути занадто багато і насправді шкодить перегляду.

Що стосується доповнень, на сторінці firefox-tweaks є список корисних доповнень та інших порад .

На даний момент заходи, які я знаю спеціально для відбитків шрифтів, містяться приблизно в: налаштуваннях конфігурацій :

Клацніть правою кнопкою миші та виберіть « Створити»> «Рядок» , створивши новий параметр font.system.whitelist, у якому буде перераховано шрифти, які бачитиме JavaScript. Приклад допустимим значенням є Helvetica, Courier, Verdana. Зміна набирає чинності негайно.
У моєму випадку це зменшило моє власне відбитків шрифтів з 266 шрифтів та 238 унікальних показників, знайдених у списку 512 шрифтів, до "лише" 28 шрифтів та 9 унікальних показників. (Я не маю уявлення, як це вплине на перегляд веб-сторінок.)
privacy.resistFingerprinting=trueє загальним перемикачем для включення заходів щодо конфіденційності проекту Tor Uplift під час їх реалізації. Це дозволяє розподілити єдиний список шрифтів. Mozilla не рекомендує ввімкнути це, оскільки воно порушить деякі веб-сайти.
Відключення параметрів "Дозволити веб-сайтам використовувати власні шрифти" та API завантаження шрифтів CSS, змінивши ці значення:
```
browser.display.use_document_fonts = 0
layout.css.font-loading-api.enabled = false
font.blacklist.underline_offset = (empty string)
gfx.downloadable_fonts.enabled = true
gfx.font_rendering.opentype_svg.enabled = false
gfx.font_rendering.graphite.enabled = false
```
(Це швидше за все погіршить перегляд.)

Зауважу лише, що я бачив методи, які обговорювали для складних відбитків пальців та малювання шрифту, які могли навіть ідентифікувати карту дисплея та графічний драйвер.

Моя думка: не можна уникнути відбитків пальців - шрифти - це не все. Навіть якщо ви:

Використовуйте VPN
Переглядайте віртуальну машину Windows
Не встановлюйте шрифти та інше програмне забезпечення
Встановіть найбільш широко використовуваний браузер - Chrome, без розширень
Переглядайте в режимі інкогніто, який вимикає всі файли cookie та розширення

то, швидше за все, ці унікальні методи захисту разом із апаратними елементами, які все ще можна виявити у віртуальній машині, все одно дозволять створити унікальний або майже унікальний відбиток пальців. Не кажучи вже про те, що це середовище буде досить важким у використанні.

Для обговорення деяких відомих методів відбитків пальців дивіться наступні статті:

Відбитки пальців у браузері - Пояснення та рішення (з 2019 року)
Містить більше інформації та хакі, ніж я перераховував вище.
Нові методи відбитків пальців (з 2017 року)
Безпека веб-браузера - BrowserLeaks.com

— harrymc
джерело

1

Незважаючи на те, що це давнє питання, станом на 2017 рік ми все ще дуже стурбовані всією інформацією, яка просочилася браузером, оскільки вона використовується для дактилоскопії. Я вважаю, що спондер випадкового агента ( https://github.com/dillbyrne/random-agent-spoofer ), згаданий Spectraljump, потрапляє в ніготь прямо на голову.

Як вимагається, він захистить від:

перерахування плагінів
не буде виставляти шрифти, встановлені на ваших машинах (що є більш ефективною альтернативою інструментам, що змінюють шрифт, як FluxFonts)

Також він надасть варіанти захисту від:

більшість інших інструментів для відбитків пальців
дозволить вам відключити webRTC, webGL, локальний кеш тощо.

Якщо ви кинете на полотно рандомізатор відбитків пальців (наприклад, Canvas Defender ), ви опинитесь захищеними від майже всього, що можна виявити на browserleaks.com та Panopticlick.

Нарешті, переконайтеся, що для закриття циклу використовуйте VPN із захистом від витоку DNS .

Альтернативним рішенням, хоча і менш зручним, є використання загальної ванілі (найпоширеніша ОС, на якій не встановлено нічого) VM для всіх операцій перегляду та скидання її після кожного сеансу.

— DrSplange
джерело