Các trang web có thể nhận được bao nhiêu thông tin về trình duyệt / PC của bạn?


41

Tôi đang cố gắng xác định xem thông tin hiển thị trên www.whatsmyip.org có phải là lượng thông tin tối đa tuyệt đối mà máy chủ web có thể nhận được từ khách truy cập web hay không. Có các trang web khác sẽ có thể nhận được nhiều thông tin hơn từ người dùng một cách thụ động như thế này không?

Tôi không nói về việc đánh hơi cổng hoặc bất kỳ loại tương tác nào từ người dùng, chỉ là thông tin mà máy chủ có thể nhận được từ chuyến thăm 'câm'.


Câu hỏi này là một câu hỏi siêu người dùng trong tuần .
Đọc blog entry để biết thêm chi tiết hoặc đóng góp cho blog mình

Câu trả lời:


33

Còn nữa: Tổ chức biên giới điện tử (EFF) đã đưa ra một công cụ có tên Panopticlick hiển thị hầu hết các thông tin tương tự nhưng cũng quét các phông chữ đã cài đặt của bạn.

Phông chữ được cài đặt có lẽ là phần thông tin dễ nhận biết nhất ngay khi bạn bắt đầu thêm một hoặc hai. Chỉ vì số lượng phông chữ ngoài kia, không có khả năng có cùng một bộ phông chữ trên hai máy tính khác nhau. (Miễn là chúng được sử dụng bởi những người khác nhau)

Chỉnh sửa (từ nhận xét): Một biện pháp đối phó với điều này là vô hiệu hóa JavaScript (thông qua một addon như NoScript chẳng hạn) hoặc để vô hiệu hóa cả hai plugin Java và Flash trong trình duyệt, vì ít nhất một trong số chúng là cần thiết để trích xuất thông tin.


2
Điều này đòi hỏi Java để trích xuất một số thông tin của nó (và sẽ rất ít nếu bạn từ chối lời nhắc cho phép Java trên trang web) - thử nghiệm OP được liên kết tập hợp nhiều hơn bằng cách sử dụng các phương tiện thụ động.
PhonicUK

1
Nó không yêu cầu Java, nó yêu cầu JavaScript. Hầu hết mọi người không có một addon như NoScript được cài đặt trong trình duyệt của họ, do đó, trong hầu hết các trường hợp, tất cả các thông tin đều có thể được trích xuất. Các trang web thực hiện loại quét này thường sẽ không hỏi người dùng nếu họ được phép làm.
Baarn

2
Có nó không sử dụng java, nó có một applet java mà không kiểm tra chữ. Chrome thậm chí sẽ nhắc bạn khi bạn truy cập trang cho dù bạn có muốn cho phép applet chạy hay không. Thực hiện kiểm tra phần tử trên trang và bạn thấy<applet codebase="java" code="fonts.class" id="javafontshelper" name="javafontshelper" mayscript="true" width="1" height="1"></applet>
PhonicUK

1
@Indrek Tôi có thể xác nhận điều này, ngay khi bạn tắt cả Java và Flash, không có phông chữ nào có thể được trích xuất.
Baarn

2
Nếu nó không thể làm điều đó thông qua Java thì nó sử dụng Flash thay thế. Nếu bạn tắt cả flash và java, nó sẽ chỉ phát hiện "Không phát hiện thấy phông chữ Flash hoặc Java". Bạn không thể lấy danh sách các phông chữ chỉ bằng Javascript. Cho rằng nó thụ động cho đến nay nó không yêu cầu bất kỳ sự tương tác nào từ người dùng nhưng các tính năng bổ sung vẫn được yêu cầu để làm điều đó.
PhonicUK

9

Làm thế nào để họ có được nó?

Thông tin nhận dạng thụ động hầu hết được thu thập từ các tiêu đề của các gói truyền thông.

Khi một trình duyệt yêu cầu một URL, yêu cầu này trải qua một số lớp của mô hình OSI và một số giao thức mạng. Các giao thức cấp cao hơn như HTTPTCP / IP có thể cung cấp hầu hết thông tin được hiển thị trên trang web đó. Thông tin này thường được lưu trữ trong một tiêu đề gói và ban đầu được nhúng vào đó để giúp các máy chủ hiểu: sự thể hiện thông tin tốt nhất cho môi trường của bạn là gì.

Một danh sách thân thiện với người dùng của các tiêu đề HTTP hiện tại có sẵn từ Wikipedia . Một tài liệu tham khảo kỹ thuật hơn là RFC 2616 Header Field Định nghĩa hoặc chính RFC 2616 , xem phần 14.

Làm thế nào để bảo vệ sự riêng tư của bạn?

Một kỹ thuật rất phổ biến khác để theo dõi người dùng là thông qua cookie cụ thể - đây là cách các nhà cung cấp quảng cáo biết quảng cáo nào sẽ hiển thị cho bạn (điều này khiến tôi rất cảnh giác). Xem câu trả lời cho câu hỏi của tôi: Cách xóa cookie theo dõi . Câu trả lời thực sự bao gồm rất nhiều khả năng phòng thủ chống lại các kỹ thuật theo dõi khác.

Có lẽ một cách an toàn hơn để giữ ẩn danh trực tuyến là sử dụng một số dự án bảo mật chuyên dụng, một trong số đó là TOR .


8

Về mặt thông tin, bạn có thể có được một cách thụ động mà không cần sử dụng Java / Flash - điều đó khá toàn diện.

Có lẽ bạn có thể làm những việc như ước tính hiệu suất của PC bằng cách sử dụng điểm chuẩn JavaScript, nhưng bạn thực sự đang thúc đẩy vào thời điểm đó.


7

Trang đó không thực sự hiển thị nhiều nếu bạn chỉ từ chối lời nhắc của trình duyệt để chạy plugin, cho phép phát hiện vị trí, v.v.

Tên máy chủ, địa chỉ IP, v.v. có thể dễ dàng bị ẩn thông qua proxy và thông tin trình duyệt / HĐH có thể dễ dàng bị giả mạo thông qua các tiện ích mở rộng , v.v.

Cuối cùng, trừ khi bạn cài đặt và cho phép các plugin của bên thứ ba, các trang web không thể thu thập nhiều thông tin vì các trình duyệt được thiết kế đặc biệt để giới hạn số lượng truy cập mà chúng có đối với hệ thống. Công cụ phổ biến nhất mà các trang web sử dụng để thu thập dữ liệu là cookie, nhưng cũng có giới hạn về số lượng chúng có thể báo cáo.

Cách thực sự duy nhất để một trang web có được quyền truy cập vào hệ thống của bạn là cố gắng khai thác lỗ hổng trong trình duyệt hoặc một trong các plugin của nó, nhưng bạn có thể giảm thiểu ngay cả bằng cách cài đặt ít nhất có thể và cập nhật chúng .


5

Chỉ cần tìm thấy trang web này, không thấy nó được đề cập ở trên: http://browserspy.dk Khá thú vị, để nói rằng ít nhất!

BrowserSpy.dk là nơi bạn có thể thấy lượng thông tin trình duyệt của bạn tiết lộ về bạn và hệ thống của bạn.

Bạn có biết rằng tất cả các trang web mà bạn truy cập có thể tìm ra những phông chữ bạn đã cài đặt?

Bạn cũng có thể tìm hiểu xem bạn đã cài đặt một loạt các chương trình chưa. Chúng bao gồm Adobe Reader, OpenOffice.org, Google Chrome và Microsoft Silverlight. Có lẽ ngay cả những trang web bạn đã truy cập gần đây có thể được phát hiện!

Khi bạn lướt web, trình duyệt của bạn để lại dấu vết kỹ thuật số. Trang web có thể sử dụng những dấu chân này để kiểm tra hệ thống của bạn.

BrowserSpy.dk là một dịch vụ nơi bạn có thể kiểm tra thông tin nào có thể thu thập được từ hệ thống của mình, chỉ bằng cách truy cập trang web.


4

Có một cái gì đó thêm vào những gì các câu trả lời trước không liệt kê:

Một trang web có thể theo dõi những trang web khác mà bạn đã truy cập (trước lần cuối cùng bạn xóa lịch sử duyệt web của mình).

Làm thế nào được thực hiện?

Màu sắc trình duyệt của bạn liên kết khác nhau, dựa trên việc bạn đã truy cập chúng trước đó hay chưa. Một trang web có thể tạo một danh sách lớn gồm rất nhiều trang web nổi tiếng (trong đó trang web muốn biết nếu bạn đã truy cập chúng) và hiển thị danh sách đó theo cách mà người dùng không thể nhìn thấy (ẩn đằng sau một hình ảnh, với một phông chữ kích thước 1 pixel, cùng màu với nền, v.v.) Bây giờ tập lệnh sẽ quét cách danh sách được "hiển thị" bởi trình duyệt và có thể biết chúng được truy cập vào mục nào.


1
Tôi đã nghe về điều này trước đây, nhưng tôi nghĩ rằng nó không còn có thể.
Baarn

Ngày nay (2012), khi một trình duyệt hiện đại cho phép điều này, nó được coi là một lỗ hổng bảo mật nghiêm trọng. Ví dụ, một bản phát hành beta (?) Của Firefox 16 đã được kéo gần đây khi các nhà phát triển nhận ra rằng họ dễ bị khai thác. Đây được coi là một sự thiếu sót đủ nghiêm trọng để trở thành một câu chuyện tin tức: bbc.co.uk/news/t
Technology

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.