Базовая информация о технологии Fingerprint
Данная информация носит исключительно информационный характер, вся информация носит ознакомительный характер и ни при каких условиях не является призывами к чему-либо. Browser fingerprint — группа параметров, которые получает какой-либо сайт от обращающегося к нему посредством браузера компьютера в соответствии с заранее определенным алгоритмом для его дальнейшей идентификации. Подробная информация об истории создания и том, как работает технология
https://habr.com/ru/company/oleg-bunin/blog/321294/ Сервисы, с помощью которых можно познакомиться с работой данной технологии
https://f.vision
http://vektort13.space
https://browserleaks.com Данные сайты не являются эталонными для проверки, в первую очередь это частный случай технологии определения Fingerprint со своими ошибками, настройками, ложными срабатываниями. Популярные технологии для отслеживания, там тоже можно проверить (ссылки даны через поисковик yandex для избежания отслеживания):
Introducing Fingerprint Drug Testing From Intelligent Fingerprinting
https://yandex.ru/search/?text=https%3A%2F%2Ffingerprintjs.com
https://yandex.ru/search/?https://community.bablosoft.com/topic/7703/%D0%B1%D0%B0%D0%B7%D0%BE%D0%B2%D0%B0%D1%8F-%D0%B8%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D1%8F-%D0%BE-%D1%82%D0%B5%D1%85%D0%BD%D0%BE%D0%BB%D0%BE%D0%B3%D0%B8%D0%B8-fingerprint» target=»_blank»]community.bablosoft.com[/mask_link]
WWW: Fingerprint Central и Am I Unique — сервисы для проверки браузера на фингерпринтинг
Фингерпринтинг — это механизм слежки за пользователями, который опирается на отличительные черты браузера и операционной системы. По отдельности они не уникальны и не помогут никого идентифицировать, но если взять целый набор таких характеристик, то появляется возможность с определенной точностью выделить конкретного человека из числа посетителей сайта.
Разработчики сайта Fingerprint Central предлагают любому желающему оценить эту точность. Зайди в раздел My Fingerprint и последовательно нажми кнопки Run JavaScript Tests, Send to Server и Get Statistics. Ты увидишь, как заполнится таблица характеристик: напротив каждой из них будет указан процент пользователей, браузер которых имеет ту же настройку или отличительную черту.
Другие статьи в выпуске:
Xakep #218. Смотри во все глаза
- Содержание выпуска
- Подписка на «Хакер» -60%
Для тех, кто занимается этой темой серьезно, есть раздел Custom statistics, где из списка предлагается выбрать набор черт и увидеть, какую часть протестированных на сайте пользователей можно было отличить по их сочетанию. Также на GitHub доступны исходники проекта.
Если же тебе нужен короткий и простой ответ на вопрос о том, можно ли тебя отследить, загляни на сайт Am I Unique. Он сразу же протестирует твой браузер и покажет, какие именно черты выдают тебя.
Samsung Galaxy S21 Ultra vs Huawei Mate 20 Pro — Fingerprint Sensor Test
Если ты не используешь никаких средств анонимизации, то в детальном отчете, скорее всего, увидишь, что тебя отслеживают по начертанию системных шрифтов, наличию блокировщика рекламы и даже по модели видеокарты.
Даже если попробовать зайти на Am I Unique через Tor, который скрывает или полностью подделывает эти параметры, выяснится, что слежка теоретически возможна. Мой браузер оказался неуникальным среди 350 тысяч собранных результатов, но точно такие же черты имеет лишь 0,04% проанализированных систем. На коротком промежутке времени этого вполне достаточно, чтобы идентифицировать уникального пользователя.
Источник: xakep.ru
Что такое «Фингерпринтинг»?
В последние несколько лет набирает популярность довольно интересный способ идентификации пользователя — так называемый фингерпринтинг. Сегодня мы поговорим о том, что такое фингерпринтинг Вы узнаете как проверить браузер на идентификацию и как от этого можно защитится.
Поводом написания данной статьи был интересный вопрос одного из наших читателей в статье «Анонимность тор».
Вот сам комментарий:
Отвечу здесь. Все-таки вопрос касается фингерпринтинга. Уважаемый Санек! Есть разница между фингерпринтингом т.е. идентификацией пользователя и безопасностью пользователя. Я согласен, что индентификация (не деанонимизация) — это не есть хорошо, но безопасность куда важнее.
Включенный Javascript в браузере — это вам не шуточки — это компрометация браузера, компьютера и в конечном итоге пользователя. Что делать, решать вам, но я и врагу не посоветую включать Javascript в Tor.
Что такое Фингерпринтинг?
Фингерпринтинг (от английского слова fingerprint — отпечаток пальца) идентифицирует пользователя не по специальным меткам, сохраненным на его системе, а по уникальным особенностям его браузера, системы и устройства.
Поскольку фингерпринтинг не требует хранения данных на клиенте, его очень трудно заметить и почти невозможно избежать. Если куки действуют лишь в рамках одного домена, уникальные особенности остаются неизменными при посещении различных сайтов. Это значительно упрощает слежку за передвижениями пользователя по интернету. Хуже того, в отличие от кук уникальные особенности нельзя отключить. Усилия пользователя приведут максимум к замене одного набора признаков другим, еще более узнаваемым.
Методы фингерпринтинга
Простейшие способы фингерпринтинга используют в качестве уникальных характеристик IP-адрес, версию браузера и системы, системный язык, разрешение экрана, часовой пояс, показания часов с точностью до миллисекунды и список стандартных шрифтов, установленных на компьютере. При помощи Flash этот список можно дополнить сведениями о подключенных к устройству мыши, клавиатуре, микрофоне, камере и поддержке мультитача.
Незначительные изменения некоторых признаков не мешают опознавать уже знакомого пользователя. Он может воспользоваться другим браузером, переехать в другой часовой пояс или поменять разрешение, но, если не сделать все это одновременно, вероятность идентификации останется высокой.
Существуют и более замысловатые способы фингерпринтинга. Компания AddThis экспериментировала с идентификацией пользователя по особенностям отображения шрифтов. Для этого создается невидимый пользователю canvas, на котором выводится надпись. Хеш последовательности данных о цвете каждого пикселя canvas и становится идентификатором.
На то, как именно будет выглядеть надпись, влияет операционная система, установленные шрифты, графическая карта, версия графических драйверов, настройки сглаживания, тип и версия браузера, а также особенности самого дисплея. Тонких отличий предостаточно (PDF), но на них трудно повлиять — идеальное сочетание для трекинга.
К слову, виджеты AddThis, несколько лет назад незаметно проводившие фингерпринтинг каждого посетителя, теперь стоят на многих крупных сайтах. Но можете не беспокоится: когда эту компанию поймали за руку, она прекратила эксперимент. Сейчас никакого фингерпринтинга. По крайней мере, заметного.
Еще один метод фингерпринтинга анализирует историю посещений. Исследователи показали, что информация о посещении 500 сайтов из заранее определенного набора позволяет точно идентифицировать около 70% пользователей, причем в том случае, если в истории присутствуют социальные сети, речь может идти не просто об идентификации, но и о деанонимизации.
Чтобы определить, посещал ли пользователь тот или иной сайт, есть свои хитрости. Например, можно попытаться загрузить документ с нужного сайта. По скорости отзыва будет понятно, есть он в кеше или нет. Можно воспользоваться тем фактом, что ссылки на посещенные сайты отображаются другим цветом. Чтобы выяснить цвет, сгодится все тот же canvas.
Есть, впрочем, вариант любопытнее: ссылки нетрудно замаскировать под капчу. Тогда пользователь сам выдаст все нужные сведения. Этот способ особенно полезен, когда JavaScript отключен.
Как замаскировать ссылки под капчу? За счет различного оформления посещенных и непосещенных ссылок. Исследователи из университета Карнеги — Меллон, которые в 2011 году предложили эту методику извлечения истории, перечисляют несколько возможностей. Во-первых, можно сделать каждую ссылку отдельным словом и при помощи CSS скрыть посещенные ссылки.
Теперь нужно попросить пользователя ввести текст, который он видит. По пропущенным словам легко определить, на каких сайтах он уже был. Другой вариант капчи представляет собой изображение шахматной доски, на которой расставлены пешки.
Каждая пешка — это опять-таки ссылка, и просмотренные ссылки сделаны невидимым. Пользователь должен кликнуть каждую пешку. Пешки, на которые он не кликнул, соответствуют ссылкам, ведущим на посещенные сайты.
Проверка браузера на фингерпринтинг
В сети есть несколько сервисов предлогающих проверить браузер на фингерпринтинг.
Начнем с сайта Fingerprint Central. Данный сервис предлагают любому пользователю бесплатно проверить браузер. Для этого необходимо зайти в раздел My Fingerprint и последовательно нажать кнопки «Run JavaScript Tests», «Send to Server» и «Get Statistics».
После окончания процесса вы увидите, как заполнится таблица характеристик: напротив каждого результата будет показан процент пользователей, браузер которых имеет идентичную настройку или отличительную черту.
Для тех, кто хочет погрузится в это еще больше, на сайте есть раздел «Custom statistics», где из полного списка вы можете выбрать набор черт и увидеть, какую часть протестированных на сайте юзеров можно было отличить по их сочетанию.
Если же вам нужен короткий и простой ответ на вопрос о том, можно ли вас отследить, тогда зайдите на сайт Am I Unique. Он быстренько проверит ваш браузер и покажет, какие именно черты вас выдают.
Если вы не используете никаких средств анонимизации в сети, то в детальном отчете, скорее всего, увидите, что вас отслеживают по начертанию системных шрифтов, наличию или отсутствию блокировщика рекламы и даже по типу и модели видеокарты.
Даже если вы попробуете зайти на сайт через анонимный браузер Тор, который пытается скрыть или полностью подделывает эти параметры, выяснится, что слежка теоретически все же возможна. После проверки мой браузер оказался неуникальным и среди 350.000 собранных результатов, но точно такие же черты имеет только 0,04% проанализированных интернет-браузеров.
Защита от трекеров
Борьба с трекерами делает вас уязвимее для фингерпринтинга. Удалили Flash? Что же, теперь вы белая ворона. Вас таких меньше процента, и более уникального признака не придумать. С тем же успехом можно прятаться на улице города при помощи накладной бороды, темных очков и большой шляпы.
Это не маскировка, а эффективный способ привлечения внимания к своей персоне. Еще Tor поставьте, и будет комплект!
Рассчитывать на полную победу над трекерами вряд ли стоит, но создать иллюзию незаметности все же можно. Для начала оговорим выбор браузера.
Эппловский Safari отпадает сразу. Он уникален тем, что не выключает куки, локальные хранилища данных и кеш даже в режиме инкогнито.
Chrome — хороший браузер, но настоящему параноику следует держаться от него подальше. В Google никогда не скрывали, что собирают и анализируют информацию о пользователях (слежка в Chrome).
Остается Firefox (слежка в Firefox). Он не лишен связей с Google и даже пингует его при установке, но какой у нас выбор?
В Firefox встроен блокировщик трекеров, но по умолчанию он выключен. Чтобы активировать его, нужно открыть скрытые настройки (about:config) и включить свойство
privacy . trackingprotection . enabled
У левого края адресной строки появится новая иконка — маленький щит. Она нужна для того, чтобы избирательно включать или выключать блокировку трекеров именно на данном домене.
Блокировщик трекеров Firefox заимствует черный список у Disconnect — популярного средства блокировки трекеров, которое существует в виде браузерного аддона и приложения для всех популярных платформ. Очевидный недостаток Disconnect в том, что лучше всего он знает трекеры, которые популярны за границей. Мусор из России течет через него, как сквозь решето.
С популярной альтернативой Disconnect — аддоном Ghostery — тоже не все просто. Он эффективно удаляет трекеры, а затем продает информацию о своих пользователях тем самым рекламщикам, которые их ставят. В теории от продажи своих данных можно отказаться, но на практике — какого параноика убедят эти отговорки? Либо приложения, торгующие данными, либо борьба со слежкой — нужно выбрать что-то одно.
О других браузерных дополнениях для блокировки трекеров вы можете узнать в статье «Лучшие расширения для анонимности Firefox».
Выводы
Завершив выполнение рекомендаций, перечисленных в предыдущей главе, стоит задуматься о жизни. Каким будет следующий шаг? Вас все равно найдут, поэтому лучше не медлить. Бегите в тайгу, подальше от NoScript и Flash. Firefox и аддоны — это полумеры и самообман. Против интернета помогут топор и кусачки, против фингерпринтинга — наждачная бумага.
Удачи!
Источник: spy-soft.net
Что такое фингерпринтинг и можно ли от него защититься
Современный интернет иногда сравнивают с огромным супермаркетом, полным платных и бесплатных товаров. Сравнение это было бы вполне удачное, если бы не одно маленькое «но». Если не брать в расчет местных охранников, в супермаркете за вами никто не следит и уж тем более не собирает на вас секретное досье. Не так ведут себя браузеры. Всякий раз, когда вы заходите на тот или иной сайт, они передают серверу целый пакет данных, а сервер в свою очередь сохраняет их в своей базе.
↑ Что такое фингерпринтинг и можно ли от него защититься
Называется такой пакет цифровым отпечатком или фингерпринтом. Он может хранить в себе множество самых разных данных, начиная от IP-адреса и заканчивая конфигурацией браузера и самой операционной системы, одном словом всего того, что в сумме позволит идентифицировать пользователя в сети. И чем более уникальным, неповторимым и особенным является набор этих сведений, тем проще алгоритмам фингепринтинга идентифицировать браузер пользователя среди миллионов других веб-обозревателей от того же разработчика.
Для чего это нужно
Насколько точным является фингерпринтинг? По разным данным, используя скомпилированный из множества данных цифровой слепок, а представляет он из себя 32-битное число шестнадцатеричной системы, позволяет идентифицировать конкретного пользователя с точностью от 94 до 99 процентов. Но, спрашивается, зачем и кому это нужно, отслеживать посетителей в интернете? Причин найдется немало. К примеру, для выявления мошеннического трафика, для определения предпочтений пользователей с целью улучшения качества программного продукта, для показа более релевантной рекламы, для внутренней аналитики помимо той, что предоставляют Google Analytics и Яндекс.
Палка о двух концах
Определенно, в фингепринтинге есть свои положительные стороны, но если взглянуть на это явление с точки этики, картина целиком меняется. Любая слежка, пусть даже с благими намерениями, уже способна вызвать отрицательную реакцию, но хуже всего то, что отслеживание и сбор данных производится без согласия пользователей и невозможности маломальского контроля со стороны последних. И впрямь нет никакой гарантии, что собранные в базы цифровые отпечатки не попадут не в те руки и не станут использоваться в неблагородных целях.
↑ Можно ли скрыть отпечаток браузера
Анонимность в сети, безусловно, одна из самых злободневных тем, и касается она в той или иной мере всех без исключения пользователей. Борьба за право оставаться невидимым в интернете ведется на всех фронтах, увы, IT-компании пока что остаются в этой борьбе на шаг впереди. Технологии идентификации в глобальной сети стремительно развиваются, чего, к примеру, только стоит так называемый кросс-браузерный фингерпринтинг, независящий от версии и типа браузера и использующий для идентификации характеристики операционной системы, в частности параметры рендеринга и обработки графики.
Гарантировано скрыть себя от всевидящего ока современных технологий отслеживания вряд ли возможно, однако вы можете усложнить алгоритмам задачу идентификации, сделав браузер и систему менее узнаваемыми. Частично добиться этого можно отключив облачные аккаунты, сбросив все настройки к значениям по умолчанию, удалив расширения и темы, то есть всего, что хоть как-то выделяет вас из толпы. А вот советы отключать кэширование и прием cookies, а также использование режима «инкогнито» выглядят сомнительными, поскольку это может привести как раз к обратному результату, то есть повышению уникальности браузера.
Дополнительным средством защиты может стать использование специальных расширений, направленных на подмену отправляемых браузером данных, а также отключению следящих элементов. Одним из них является Privacy Badger для Chrome, рекомендуемый создателями сервиса Panopticlick, служащего для определения уникальности браузера. Плагин Privacy Badger позволяет обнаруживать и блокировать потенциальные трекеры, предотвращая таким образом передачу данных о пользователя сторонним ресурсам. Похожим образом работает расширение Ghostery, блокирующее трекинговые cookies.
- Примечание: при использовании сторонних расширений не изменяйте настройки браузера, так такая комбинация сделает его более узнаваемым.
Грубым, но действенным способом затруднить определение уникальности браузера является отключение Flash и JavaSсriрt в настройках браузера. Минус подхода очевиден — отключение сценариев неизбежно приведет к ограничению функционала сайтов, где они используются. Впрочем, есть и средний путь — использование расширений DJ_NOSсriрt (для Chrome) и NoSсriрt (для Firefox), отключающих функционал JavaSсriрt избирательно. Установка плагина несколько увеличивает уникальность браузера, с другой стороны, тот же DJ_NOSсriрt позволяет предотвращать снятие целого ряда параметров (см. вкладка «Защита от отпечатков»).
Расширение User Agent Switcher работает по иному принципу. Вместо того чтобы блокировать следящие функции, оно подменяет набор User-Agent, передающий на сервер данные о конфигурации браузера и операционной системы, маскируя реальный браузер под некий несуществующий. Увлекаться подобными средствами, однако, не стоит, так как при определенных обстоятельствах их использование способно резко повысить узнаваемость браузера. Причиной может стать несоответствие данных о типе операционной системы, отправляемых протоколом TCP и User-Agent (первый покажет, что используется Windows, а второй — Linux или иная).
Вместо итога
Ну что же, настало время делать выводы. Защита от фингерпринтинга представляет собой довольно непростую с технической точки зрения задачу, поскольку в ней самой заложен элемент противоречивости. Использование настроек по умолчанию снижает узнаваемость компьютера, но ограничивает свободу действий пользователя, изменение параметров конфиденциальности и установка специальных расширений позволяет частично блокировать отправку данных, но увеличивает узнаваемости компьютера в сети. Если вы хотите минимизировать вероятность идентификации браузера, следуйте царским путем — используйте браузер с дефолтными настройками и одним расширением, позволяющим регулировать JavaSсriрt и Flash. Пока этого будет достаточно, а там уже умные головы программистов что-нибудь да придумают.
Источник: remontcompa.ru