Cách tắt quyền đọc 'Phông chữ hệ thống' và 'Chi tiết trình cắm trình duyệt' trong Chrome và Firefox

Truy cập http://panopticlick.eff.org/ Tôi có thể thấy rằng Firefox và Chrome tiết lộ nhiều hơn về 'Phông chữ hệ thống' và 'Chi tiết trình cắm trình duyệt' hơn tôi thích.

Làm cách nào để cho phép một trang web truy cập vào các cài đặt này trong Firefox và Chrome?

Có hai câu hỏi nhưng tôi đang trả lời câu hỏi về danh sách phông chữ:

Có thể tắt tính năng liệt kê phông chữ Flash bằng mms.cfgtệp cấu hình toàn hệ thống. Tập tin này nên được đặt trong /etc/adobe/thư mục nếu bạn đang sử dụng Linux. Về cơ bản bạn chỉ cần đặt dòng sau vào tệp:

DisableDeviceFontEnumeration = 1

Xem Hướng dẫn quản trị Adobe Flash Player để biết thêm chi tiết.

Với cài đặt này, Panopticlick và các trang web khác không thể nhận được danh sách phông chữ của bạn qua Flash.

Lưu ý rằng danh sách phông chữ vẫn có sẵn thông qua Java nếu bạn đã cài đặt nó. Dù sao thì cũng nên thoát khỏi Java. Nếu bạn sử dụng một vài trang web yêu cầu Java, hãy sử dụng một cá thể trình duyệt khác có hồ sơ người dùng khác với Java được kích hoạt chỉ dành cho các trang web đó.

Tiện ích mở rộng miễn phí của Chrome RubberGlove chặn plugin và liệt kê kiểu mime bằng cách che giấu các mục mảng theo cách tương tự như Firefox và Internet Explorer có thể / thực hiện tự nhiên.

Bạn vẫn cần đặt chrome thành plugin "Nhấp để phát" và tự tắt cookie của bên thứ 3 trong cài đặt bảo mật của Chrome. Ngoài ra, như đã được đề cập trong nghiên cứu, có lẽ bạn vẫn sẽ hiển thị là duy nhất cho đến khi đủ số người bắt đầu sử dụng các plugin như thế này.

Tiết lộ đầy đủ: Tôi là tác giả.

Chức năng này có thể (hoặc có thể không) được tích hợp vào tiện ích mở rộng Quyền riêng tư Badger của Electronic Frontier Foundation trong tương lai. Dù sao họ cũng có vẻ thích thú.

Trong Firefox 28:

Nhập about:configthanh vị trí

Tìm thấy plugins.enumerable_names

Đặt mục nhập thành không có gì.

Truy cập https://panopticlick.eff.org/ để xác minh các plugin không còn được liệt kê.

Javascript có khả năng kiểm tra những plugin nào được cài đặt, thường được sử dụng để đưa ra thông báo "cài đặt plugin bị thiếu" nếu cần. Nếu bạn muốn, bạn có thể tắt các plugin trong cài đặt và tắt Javascript bằng cách sử dụng một addon như Javascript Blacklist cho Chrome hoặc thanh trạng thái Java nhanh cho Firefox.

Hoàn toàn có thể với Proxomitron .

Prox giống như NoScript, HTTP LiveHeaders, RequestPolicy, CookieSafeguard, BetterPrivacy và whatnot, tất cả được đưa vào một chương trình. Nó không được phát triển thêm, nhưng vẫn đảm bảo quyền riêng tư cho tôi mà không công cụ nào có thể làm được.

Proxomitron là một bộ lọc web phổ quát. Thông tin từ trang web của họ:

Chương trình

Đối với những người chưa được giới thiệu, hãy gặp Proxomitron: một proxy lọc web HTTP cục bộ miễn phí, rất linh hoạt, có thể định cấu hình, nhỏ nhưng rất mạnh mẽ. Để làm quen tốt hơn, vui lòng xem phiên bản trực tuyến của các tệp Trợ giúp Proxomitron để biết tổng quan toàn diện hơn.

Phiên bản hiện tại (và cuối cùng) của Proxomitron là Naoko 4.5, trong đó có hai phiên bản, một vào tháng Năm năm 2003, sau đó là một vào tháng Sáu. Mặc dù rất giống nhau, có hai sự khác biệt rõ ràng giữa hai điều không được đề cập trong tài liệu của chương trình. Cả hai bản phát hành đều có sẵn trong phần Tệp. Trọng tâm của PI sẽ là phiên bản mới nhất - phiên bản tháng 6.

Tác giả

Scott R. Lemmon ban đầu đã phát triển Proxomitron cho mục đích sử dụng của riêng mình. Sau đó, ông quyết định phát hành nó ra công chúng và cung cấp cho người dùng thông qua email và trong một số nhóm thảo luận người dùng Proxomitron. Hỗ trợ của anh ấy, giống như chương trình của anh ấy, luôn luôn miễn phí.

Với việc phát hành Naoko 4.5, Scott đã ngừng mọi sự phát triển và hỗ trợ thêm cho chương trình của anh ấy và rút nhà chính thức của Proxomitron khỏi Web. Chúng tôi tôn trọng quyết định của anh ấy để tiếp tục và chúc anh ấy mọi điều tốt đẹp nhất - đó là, sau tất cả, những gì anh ấy luôn dành cho chúng tôi.

Đáng buồn thay, một năm sau, Scott qua đời - nhưng sự sáng chói của tâm trí và tinh thần vẫn tiếp tục. Nói một cách đơn giản, Proxomitron là sự phản ánh của người tạo ra nó: Để biết chương trình của Scott. . . là để biết Scott Lemmon.

Kiểm tra nó ra! Có một cộng đồng (phần nào) hoạt động.

Kể từ Firefox 17, bạn có thể kích hoạt 'nhấp để phát', tự động dừng tải Java và Flash. Điều này đến lượt nó dừng lại rất nhiều (không phải tất cả) thông tin được phát hiện. Ví dụ: dừng Flash plugin sẽ ngăn hầu hết các phông chữ được phát hiện.

Để bật 'click_to_play' trong Firefox:

• đã đến 'about: config' trong thanh địa chỉ của bạn
• tìm kiếm 'click_to_play'
• nhấp đúp chuột vào mục nhập để chuyển giá trị từ 'false' thành 'true'
• đóng tab
• lần tới khi plugin được yêu cầu, bạn sẽ nhận được lời nhắc cung cấp cho bạn tùy chọn để bật nó

Giải pháp cho các trình duyệt firefox mới nhất là:

• Sử dụng loa đại lý ngẫu nhiên. Gần đây, nó đã thêm các tùy chọn để tắt bảng liệt kê plugin: https://github.com/dillbyrne/random-agent-spophone/issues/283

• Hoặc sử dụng tập lệnh người dùng như được hiển thị trong nhận xét của Mechazawa trong liên kết ở trên. Bạn có thể sử dụng tập lệnh Greasemonkey hoặc Tampermonkey (cả firefox và chrome) để xử lý việc này mà không cần bất kỳ tiện ích mở rộng nào.

Tôi có thể xác nhận rằng điều này cho thấy các plugin là "không xác định" trong thử nghiệm panopticlick.

Dấu vân tay chỉ là một phần nhỏ của dấu vân tay trình duyệt. Việc chặn nó hoàn toàn gần như không thể thực hiện được nếu mục đích là để trình duyệt vẫn hoạt động. Bảo vệ vân tay chung tốt nhất được cho là có trong Tor Browser.

Trong các thử nghiệm thực tế, người ta thấy rằng cố gắng chặn dấu vân tay thực sự làm tăng tính độc đáo của dấu vân tay máy tính, vì hầu hết người dùng không làm điều đó. Cách tốt nhất để tránh lấy dấu vân tay là không làm gì đặc biệt và hòa nhập với hàng ngàn người dùng khác.

Bước đầu tiên chống lại việc lấy dấu vân tay là kiểm tra tính hiệu quả của bất kỳ biện pháp phòng thủ nào mà bạn sẽ thực hiện. Một công cụ tốt ở đây là https://browserleaks.com/fonts . Một công cụ tốt cho tính độc đáo của dấu vân tay chung là https://panopticlick.eff.org/ (trình duyệt của riêng tôi đã trở thành duy nhất trong số 199.984 được thử nghiệm trong 45 ngày qua) hoặc Am I Unique .

Để bảo vệ trong Chrome , các biện pháp bạn có thể thực hiện là:

• Thay vào đó, cài đặt bản dựng Chromium cứng
• Sử dụng tiện ích mở rộng (Tôi chưa kiểm tra hiệu quả của chúng):
  • Font Glyph Fingerprint Privacy Whitelist
    Chỉ cho phép phát hiện danh sách phông chữ mặc định được cài đặt với Windows.
  • Trình bảo vệ vân tay phông chữ
    Nó thêm một tiếng ồn nhỏ vào dấu vân tay thực tế và "gia hạn" nó mỗi khi bạn truy cập trang web hoặc tải lại trang.
  • Không dùng FingerPrint Me
    Thêm một tab vào các công cụ dành cho nhà phát triển của Chrome, cho thấy các nỗ lực lấy dấu vân tay của trình duyệt.

Để bảo vệ trong Firefox

Mozilla hiện đang làm việc trong dự án Tor Uplift, với mục tiêu là xây dựng trong Firefox cùng mức độ chống dấu vân tay như trong Trình duyệt Tor. Dự án này đang được tiến hành và được mô tả trong bài viết Bảo mật / Vân tay .

Bạn có thể thử tập lệnh làm cứng Firefox trong Github ghacks-user.js , mặc dù theo tất cả các báo cáo, nó có thể quá nhiều và thực sự gây hại cho trình duyệt.

Theo như các tiện ích bổ sung, có một danh sách các tiện ích bổ sung hữu ích và các lời khuyên khác được duy trì trong trang điều chỉnh firefox .

Hiện tại, các biện pháp tôi biết cụ thể cho Lấy dấu vân tay nằm trong khoảng: cài đặt cấu hình :

• Nhấp chuột phải và chọn Mới> Chuỗi , tạo tham số mới font.system.whitelist, danh sách này sẽ liệt kê các phông chữ mà JavaScript sẽ thấy. Một ví dụ giá trị hợp lệ là Helvetica, Courier, Verdana. Thay đổi có hiệu lực ngay lập tức.
  Trong trường hợp của tôi, điều này đã làm giảm Dấu vân tay Phông chữ của riêng tôi từ 266 phông chữ và 238 số liệu duy nhất được tìm thấy trong danh sách 512 phông chữ, thành "chỉ" 28 phông chữ và 9 số liệu duy nhất. (Tôi không biết làm thế nào điều này sẽ tác động đến trình duyệt.)

• privacy.resistFingerprinting=truelà một công tắc chung để kích hoạt các biện pháp bảo mật từ dự án Tor Uplift khi chúng được triển khai. Nó cho phép một danh sách phông chữ thống nhất được phân phối. Mozilla không khuyến khích kích hoạt nó vì nó sẽ phá vỡ một số trang web.

• Vô hiệu hóa các tùy chọn "Cho phép trang web sử dụng phông chữ của riêng họ" và API tải phông chữ CSS bằng cách thay đổi các giá trị sau:

  browser.display.use_document_fonts = 0
  layout.css.font-loading-api.enabled = false
  font.blacklist.underline_offset = (empty string)
  gfx.downloadable_fonts.enabled = true
  gfx.font_rendering.opentype_svg.enabled = false
  gfx.font_rendering.graphite.enabled = false
  

  (Điều này rất có thể sẽ làm giảm trình duyệt.)

Chỉ cần nhận xét rằng tôi đã thấy các phương pháp được thảo luận cho việc vẽ và vẽ vân tay tinh vi thậm chí có thể xác định thẻ hiển thị và trình điều khiển đồ họa.

Ý kiến của tôi: Đó là không thể tránh fingerprinting - phông chữ không phải là tất cả mọi thứ. Ngay cả khi bạn:

• Sử dụng VPN
• Thực hiện duyệt từ máy ảo Windows vani
• Cài đặt không có phông chữ hoặc phần mềm khác
• Cài đặt trình duyệt được sử dụng rộng rãi nhất - Chrome, không có tiện ích mở rộng
• Duyệt web ở chế độ Ẩn danh sẽ tắt tất cả cookie và tiện ích mở rộng

sau đó rất có thể các phương thức bảo vệ độc đáo này, cùng với các yếu tố phần cứng vẫn có thể phát hiện được trong máy ảo, vẫn sẽ tạo ra một dấu vân tay duy nhất hoặc gần như duy nhất. Chưa kể rằng môi trường này sẽ khá khó sử dụng.

Để thảo luận về một số phương pháp lấy dấu vân tay đã biết, xem các bài viết sau:

• Vân tay trình duyệt - Giải thích & Giải pháp (từ năm 2019)
  Chứa nhiều thông tin và hack hơn tôi đã liệt kê ở trên.

• Kỹ thuật vân tay mới (từ năm 2017)

• Bảo mật trình duyệt web - BrowserLeaks.com

Mặc dù đây là một câu hỏi cũ hơn, nhưng đến năm 2017, chúng tôi vẫn rất quan tâm đến tất cả các thông tin bị rò rỉ bởi trình duyệt khi chúng được sử dụng để lấy dấu vân tay. Tôi thấy rằng Loa đại lý ngẫu nhiên ( https://github.com/dillbyrne/random-agent-spophone ) được đề cập bởi Spectraljump đập vào móng tay ngay trên đầu.

Theo yêu cầu, nó sẽ bảo vệ chống lại:

• liệt kê plugin
• sẽ không tiết lộ các phông chữ được cài đặt trên máy của bạn (đây là một giải pháp thay thế hiệu quả hơn cho các công cụ thay đổi phông chữ, như FluxFonts)

Ngoài ra, nó sẽ cung cấp các tùy chọn để bảo vệ bạn khỏi:

• hầu hết các công cụ vân tay khác
• sẽ cho phép bạn vô hiệu hóa webRTC, webGL, bộ đệm cục bộ và hơn thế nữa.

Nếu bạn ném vào một công cụ ngẫu nhiên lấy dấu vân tay canvas (như Canvas Defender ), bạn sẽ thấy mình được bảo vệ trước khá nhiều thứ có thể phát hiện được trên browserleaks.com và Panopticlick.

Cuối cùng, hãy đảm bảo sử dụng VPN có bảo vệ rò rỉ DNS , để đóng vòng lặp.

Một giải pháp thay thế, mặc dù ít thuận tiện hơn, là sử dụng VM chung (hệ điều hành phổ biến nhất, không cài đặt tùy chỉnh) VM cho tất cả các hoạt động duyệt và đặt lại sau mỗi phiên.