Скільки інформації можуть отримати веб-сайти про ваш браузер / ПК?


41

Я намагаюся визначити, чи є інформація, показана на www.whatsmyip.org , абсолютним максимальним обсягом інформації, яку веб-сервер може отримати від веб-відвідувача. Чи є інші сайти, які зможуть отримати більше інформації від користувача пасивно, як це?

Я не кажу про нюхання порту або будь-яку взаємодію з користувачем, просто інформацію, яку сервер може отримати від «німого» відвідування.


Це запитання було питанням суперкористувача тижня .
Прочитайте запис у блозі для отримання більш детальної інформації або допишіть до себе

Відповіді:


34

Є й інше: Electronic Frontier Foundation (EFF) вивів інструмент під назвою Panopticlick, який показує в основному ту саму інформацію, але додатково сканує встановлені шрифти.

Встановлені шрифти, мабуть, є найбільш ідентифікаційною інформацією, як тільки ви починаєте додавати один-два. Тільки через кількість шрифтів там навряд чи є однаковий набір шрифтів на двох різних комп’ютерах. (Поки ними користуються різні особи)

Редагувати (з коментарів): Контрзаходом на це є або відключення JavaScript (наприклад, через аддон, наприклад NoScript), або вимкнення плагінів Java та Flash у браузері, оскільки для витягу інформації потрібно хоча б один із них.


2
Для цього потрібна Java для того, щоб витягти частину її інформації (а її дуже мало, якщо відхилити підказку про доступ Java на сайті) - тестова програма OP збирає набагато більше, використовуючи пасивні засоби.
PhonicUK

1
Він не вимагає Java, він вимагає JavaScript. У більшості людей у ​​своєму браузері не встановлений аддон, як NoScript, тому в більшості випадків всю інформацію можна витягнути. Сайти, які роблять подібні сканування, зазвичай не запитують користувача, чи дозволяють вони це робити.
Baarn

2
Так , це робить використання Java, тобто Java - аплет , який робить перевірку шрифту. Chrome навіть підкаже, коли ви відвідуєте сторінку щодо того, чи хочете ви дозволити запускати аплет. Зроби елемент огляду на сторінці і побачиш<applet codebase="java" code="fonts.class" id="javafontshelper" name="javafontshelper" mayscript="true" width="1" height="1"></applet>
PhonicUK

1
@Indrek Я можу це підтвердити, як тільки у вас відключені Java і Flash, жодні шрифти не можна витягувати.
Baarn

2
Якщо він не може зробити це через Java, він замість цього використовує Flash. Якщо ви вимкнете і флеш, так і Java, він просто надає "Без флеш-файлів або шрифтів Java". Ви не можете отримати список шрифтів лише за допомогою Javascript. Зрозуміло, що це пасивно, оскільки він не вимагає взаємодії з користувачем, але для цього потрібні додаткові послуги.
PhonicUK

9

Як вони це отримують?

Пасивна ідентифікована інформація в основному збирається із заголовків пакетів зв'язку.

Коли браузер запитує URL-адресу, цей запит проходить через кілька шарів моделі OSI та декілька мережевих протоколів. Протоколи верхнього рівня, такі як HTTP та TCP / IP, ймовірно, надають більшу частину інформації, що відображається на цьому веб-сайті. Ця інформація зазвичай зберігається в заголовку пакету і спочатку була вбудована туди, щоб сервери зрозуміли: що найкраще представляє інформацію для вашого середовища.

Список зручних для користувачів поточних заголовків HTTP доступний у Вікіпедії . Більш технічна довідка - визначення поля заголовка RFC 2616 або сама RFC 2616 , див. Розділ 14.

Як захистити свою конфіденційність?

Ще одна дуже популярна методика відстеження користувача - це певне cookie - саме так рекламодавці знають, яке оголошення потрібно показувати (що мене дуже насторожує). Дивіться відповіді на моє запитання: Як видалити файли cookie відстеження . Відповіді насправді охоплюють набагато більше можливих засобів захисту від інших методів відстеження.

Можливо, більш безпечним способом залишатися анонімним в Інтернеті є використання деяких спеціальних проектів з безпеки, одним з яких є TOR .


8

Щодо інформації, яку можна отримати пасивно, не використовуючи Java / Flash - це досить вичерпно.

Можливо, ви можете зробити такі речі, як оцінка продуктивності ПК, використовуючи показник JavaScript, але ви дійсно наполягаєте на цьому.


7

Ця сторінка насправді не показує багато, якщо ви просто забороняєте підказки веб-переглядача запускати плагіни, дозволяти виявити місцезнаходження тощо.

Ім'я хоста, IP-адреса тощо можна легко приховати через проксі, а інформація про браузер / ОС легко піддаватися підробці через розширення тощо.

Зрештою, якщо ви не встановите та не дозволите сторонні плагіни, веб-сайти не можуть зібрати багато інформації, оскільки браузери спеціально розроблені для обмеження кількості доступу до системи. Найпоширеніший інструмент, який веб-сайти використовують для збору даних, - це файли cookie, але є обмеження щодо кількості звітів.

Єдиний реальний спосіб для сайту отримати безперешкодний доступ до вашої системи - спробувати використати вразливість у веб-переглядачі чи одному з його плагінів, але ви можете пом'якшити навіть це, встановивши якомога менше і оновлюючи їх .


5

Є щось додаткове, що попередні відповіді не перераховують:

Веб-сайт може відстежувати, які інші веб-сайти ви відвідали (до останнього стерти історії перегляду).

Як це робиться?

Кольори вашого браузера посилаються по-різному, залежно від того, відвідували ви їх раніше чи ні. Веб-сайт може скласти великий список безлічі відомих веб-сайтів (з яких сайт хоче знати, чи відвідували ви їх) та відображати цей список таким чином, що користувач не може його бачити (приховано за зображенням, із шрифтом розмір 1 пікселя з тим самим кольором, що і фон тощо. Тепер сценарій сканує, як список "відображається" браузером, і може знати, хто з них був відвіданий.


1
Я чув про це раніше, але думаю, що це вже неможливо.
Баарн

У ці дні (2012 р.), Коли сучасний браузер дозволяє це, це трактується як серйозна вразливість безпеки. Наприклад, бета (?) Реліз Firefox 16 був знятий нещодавно, коли розробники зрозуміли, що вони вразливі до цього подвигу. Це вважалося достатньо серйозним, що поруч із пропуском, щоб стати новиною: bbc.co.uk/news/technology-19909106
user56reinstatemonica8

5

Щойно знайшов цей сайт, не побачив його згаданого вище: http://browserspy.dk Дуже цікаво, якщо не сказати!

BrowserSpy.dk - це місце, де ви можете побачити, скільки інформації розкриває ваш браузер про вас і вашу систему.

Чи знаєте ви, що всі відвідувані вами веб-сайти можуть дізнатися, які шрифти ви встановили?

Також можна дізнатися, чи встановлений у вас ряд програм. До них належать Adobe Reader, OpenOffice.org, Google Chrome та Microsoft Silverlight. Можливо, навіть які сайти, які ви відвідували останнім часом, можна виявити!

Якщо ви переглядаєте Інтернет, ваш веб-переглядач залишає після себе цифровий слід. Веб-сайти можуть використовувати ці сліди для перевірки вашої системи.

BrowserSpy.dk - це сервіс, де ви можете перевірити, яку саме інформацію можна зібрати зі своєї системи, просто відвідавши веб-сайт.


Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.