[приступ "паранои"] tor бесполезен
а можно в кратце - сколько именно параметров передаёт браузер на сервер?
и что это за параметры? ну то есть юзер агент и разрешение экрана это понятно а что ещё?
и что это за параметры? ну то есть юзер агент и разрешение экрана это понятно а что ещё?
Я ссылку дал на сайт, который тебе подробно всё показывает.
Что ещё тут пояснять-то?
Что ещё тут пояснять-то?
ну начнем с того что первый сайт не открывается
http://gyazo.com/45c5e078f1780a9c338c3bd4f364b60f
http://gyazo.com/45c5e078f1780a9c338c3bd4f364b60f
вторую ссылку посмотрел, действительно интернесно, вроде как даже сервер может узнать какого у меня цвета кнопки в винде 
Вот только есть сомнения, что аддонам позволено менять в том числе содержимое объекта navigator для js, например.http://github.com/dillbyrne/random-agent-spoofer/ вполне подменяет юзерагент как в хэдерах, так и для js. Полагаю, остальные параметры тоже можно менять.
Другое дело, что если ты уже разрешил js для сайта, он в теории может проанализировать баги в твоей реализации js и прикинуть, какой именно у тебя браузер. так что на месте твоего внутреннего параноика я бы начал c noscript.
http://github.com/dillbyrne/random-agent-spoofer/ вполне подменяет юзерагент как в хэдерах, так и для js. Полагаю, остальные параметры тоже можно менять.Спасибо. Возможно, то, что надо. Пощупаем!
Другое дело, что если ты уже разрешил js для сайта, он в теории может проанализировать баги в твоей реализации js и прикинуть, какой именно у тебя браузер. так что на месте твоего внутреннего параноика я бы начал c noscript.Я думаю, что просто не следует пытаться прикинуться другим браузером. Файрфокс, благо, достаточно распространён. Можно прикидываться другой версией, подменять платформу и тп.
Кроме того, в отличие от отпечатков, которые в стандарте, особенности реализации js очень неустойчивы и трекерам придётся постоянно искать новые и следить какие из багов пофиксились, при этом сильной уникальностью эти особенности не обладают в отличие от стандартных. Никто не будет этим заниматься, чтобы трекать двух с половиной "параноиков". Это будет 90% работы для достижения 1% результатов.
Я бы с радостью отключил js, но во-первых, веб чаще всего просто не будет без него работать, а во-вторых, это-то как раз и будет выдавать меня с потрохами. Чтобы спрятаться, надо выглядеть как все.
то о настоящей анонимности в интернете можно забыть и использование tor не имеет никакого смысла.тор нужен не для того, что бы шляться по обычными сайтам. 1 из 400 тыс - это достаточно большой разброс. Тем более настройки бразера могут меняться (установил новый плагин - изменения, установил новые шрифты - изменение, измели что-то еще - изменения). Тем более можно заходить с разных компов и устройств.
Гораздо более реалистично выглядит схема сохранения и анализа логов. На многих сайтах установлены счетчики (гугл.аналитика, яндекс.метрика, лайвинтернет), и им передается информация о базовых предпочтениях каждого клиента. Такие же логи может хранить и сам сервер, особенно у очень популярных ресурсов.
Например, я с утра захожу на форум, рбк, ЦБ, Хабру, посещаю еще десяток сайтов. И так примерно каждый день, с определенной средней продолжительностью, средним просмотром страниц и т.д. Есть определенный поведенческий фактор. Теоритически, можно еще и контент брать в расчет.
Не уверен, что сейчас существует работающий алгоритм, который определяет пользователя по таким вот "отпечаткам в сети", Но таких данных есть уже очень много и это только вопрос времени, когда их научатся нормально анализировать. Сейчас точно есть алгоритмы (на который основан RTB), которые определяют дополнительные характеристики по его "следу". Т.е. заходит человек на сайт, а алгоритм сразу выдает его предпочтения: какие сайты он посмотрел до этого, какая тематика преобладает, пол-возраст-геотаргетинг и т.д.
В этом случае смена компьютера или места жительства никак не влияет на идентификацию. Даже если ты будешь использовать липовые аккаунты в фейсбуке и вконтакте, все равно будешь заходить на странички своих друзей, читать новости на любимых сайтах, просматривать страницу с определенной скоростью. И через некоторое время, учитывая дополнительные данные тебя можно будет идентифицировать и сравнить с твоим предыдущим "отпечатком".
А может, я просто плохо искал?а ты privoxy проверял?
Ты сначала последи как у тебя эти уникальные параметры меняются со временем. Если сайт сможет завтра сказать, что они те же самые - тогда паникуй.
тор нужен не для того, что бы шляться по обычными сайтам.Для чего же тогда он нужен? Это как бы и была его основная идея - то, для чего он задумывался. Есть ещё hidden services, чтобы хостить контент анонимно, а так же можно другие программы, а не только браузер, через него пускать в сеть.
1 из 400 тыс - это достаточно большой разброс. Тем более настройки бразера могут меняться (установил новый плагин - изменения, установил новые шрифты - изменение, измели что-то еще - изменения). Тем более можно заходить с разных компов и устройств.Создатели первого ресурса, EFF, провели исследование
http://panopticlick.eff.org/browser-uniqueness.pdf
где показали, что могут определить что посетитель тот же не только исходя из тех же отпечатков, но так же с предельно низкими false positive и false negative установить, что изменённый отпечаток принадлежит тому же пользователю. Отпечаток в норме не меняется весь сразу, а только частями. И неизменных частей достаточно, чтобы обновить информацию об отпечатке.
(это же и ответ на пост lost)
Гораздо более реалистично выглядит схема сохранения и анализа логов. На многих сайтах установлены счетчики (гугл.аналитика, яндекс.метрика, лайвинтернет), и им передается информация о базовых предпочтениях каждого клиента. Такие же логи может хранить и сам сервер, особенно у очень популярных ресурсов.Гораздо более реалистично по сравнению с чем? Я об этом вообще-то и говорю: уникальность отпечатков не позволяет укрыться от серверов, которые куда-либо сливают инфу о пользователях даже с использованием тора и чисткой печенек.
Не уверен, что сейчас существует работающий алгоритм, который определяет пользователя по таким вот "отпечаткам в сети", Но таких данных есть уже очень много и это только вопрос времени, когда их научатся нормально анализировать. Сейчас точно есть алгоритмы (на который основан RTB), которые определяют дополнительные характеристики по его "следу". Т.е. заходит человек на сайт, а алгоритм сразу выдает его предпочтения: какие сайты он посмотрел до этого, какая тематика преобладает, пол-возраст-геотаргетинг и т.д.Я не улавливаю разницу между следом и отпечатками. Что ты называешь следом? По-моему ты как раз привёл пример, что система отслеживания успешно работает. Если она может при посещении нового сайта знать о твоих предпочтениях, то это и значит, что она знает о том, где ты был в сети и что делал. Показ рекламы в тему - пожалуй, самое безобидное, что на основе этой информации можно сделать.
В этом случае смена компьютера или места жительства никак не влияет на идентификацию. Даже если ты будешь использовать липовые аккаунты в фейсбуке и вконтакте, все равно будешь заходить на странички своих друзей, читать новости на любимых сайтах, просматривать страницу с определенной скоростью. И через некоторое время, учитывая дополнительные данные тебя можно будет идентифицировать и сравнить с твоим предыдущим "отпечатком".Режет глаз то, что я буду использовать соцсети и ходить на страницы друзей, ну да ладно.
Их с тем же успехом можно заменить на гугл-аналитикс, который оставит у меня куки и залогит мои отпечатки. А при следующем заходе (на тот же или на другой ресурс с установленным гугл-аналитикс - не важно) определит, что это снова я.
Ты утверждаешь, что даже если я сменю браузер, устройство и подключение, он сможет по-новой собрать информацию и после какого-то порога сопоставить старый и новый профиль, поняв, что это был один и тот же человек. Согласен. Но моя идея как раз и состоит в том, чтобы не позволить накопить достаточно информации для этого. Если отпечаток будет меняться при каждом новом посещении, то у него будет информация только по одному посещению.
а ты privoxy проверял?Я натыкался на информацию по этой софтине. Зашёл на её страницу и не смог понять для чего она нужна.
По-моему, отдельная тулза не поможет. Надо изменять именно поведение браузера. Как она сможет повлиять на то, что будет доступно js через объект navigator?
Реально сейчас основной сбор статистики ведётся импортируемыми js-трекерами. Для защиты от них достаточно NoScript (ты просто удивишься, насколько на самом деле современный веб юзабелен без js!), и Ghostery (про него, правда, отдельный разговор, можно ли ему доверять). Без них собирать статистику можно только самописными скриптами (отсечены NoScript в большинстве случаев) и средствами сервера (тут минимизировать оставшийся browser fingerprint полезно. Но централизованно отслеживать пользователя всё равно уже не получится).
Это уже сильно уменьшит получаемую информацию, а в ряде случаев можно утверждать и о практической анонимности.
Настоящая же анонимность - дело крайне сложное. Достаточно иметь привычку опечатываться в тексте - и всё, этого достаточно для идентификации. Но если попытаться - то разумно смотрится виртуальная машина с OEM семёркой и автообновляемый файрфокс (IE менее уникален, но и эксплойт под него подберётся с большей степенью вероятности).
В сценарии с обычным VPS всё ещё можно провести целенаправленную атаку (например, задержки на линии), если провайдеры подконтрольные. Поэтому лучше I2P/Tor.
Короче, нужно понимать, от кого и зачем ты пытаешься скрыть свою личность. Инструменты для разных классов угроз нужны разные
Это уже сильно уменьшит получаемую информацию, а в ряде случаев можно утверждать и о практической анонимности.
Настоящая же анонимность - дело крайне сложное. Достаточно иметь привычку опечатываться в тексте - и всё, этого достаточно для идентификации. Но если попытаться - то разумно смотрится виртуальная машина с OEM семёркой и автообновляемый файрфокс (IE менее уникален, но и эксплойт под него подберётся с большей степенью вероятности).
В сценарии с обычным VPS всё ещё можно провести целенаправленную атаку (например, задержки на линии), если провайдеры подконтрольные. Поэтому лучше I2P/Tor.
Короче, нужно понимать, от кого и зачем ты пытаешься скрыть свою личность. Инструменты для разных классов угроз нужны разные
обычно рекомендуется использовать отдельный браузер (желательно на виртуалке) под отдельный вид деятельности. Это нейтрализует существенную часть утечек идентити (в частности, и обсуждаемые).
ps
я использую пять браузеров без виртуалки, и еще парочку на виртуалке
ps
я использую пять браузеров без виртуалки, и еще парочку на виртуалке
Оставить комментарий
dangerr
Есть такой замечательный сайт - http://panopticlick.eff.org/где можно получить информацию о том насколько уникален веб-браузер по набору всего из нескольких параметров, которые доступны веб-серверу через http-заголовки, js, установленные плагины и тп. Мне он показывает, что поля, соответсвующие моему браузеру встречаются с частотой не чаще, чем 1 из 400 000 (скорее всего реже, так как я пытался менять разные параметры при заходе на эту страницу, чтобы стать менее уникальным).
Дальше хуже: есть ресурс, который не оценивает уникальность, но зато показывает гораздо больше возможных полей, которые могут использоваться для её оценки: http://browserspy.dk/
И действительно, ведь даже временной сдвиг между часами клиента и сервера достаточно уникален, чтобы почти наверняка установить, что клиент тот же самый. А таких полей сотни.
Я попытался найти аддон, который бы умел рандомизировать все "сетевые отпечатки" запоминать их на время работы с сайтом, а после закрытия вкладки - забывать (опционально запоминать, ассоциируя с запомненным логином и когда юзер хочет зайти под тем же логином - использовать те же отпечатки). Принципеально же возможно каждому из них найти управу. Сдвиг по времени можно рандомизировать, поддержку различных форматов и технологий - выдавать фейковую (тоже рандомную), так же как фейковые разрешение экрана и так далее. Лучше, конечно, не совсем рандомные поля, а из пары десятков наиболее распространённых.
Вот только есть сомнения, что аддонам позволено менять в том числе содержимое объекта navigator для js, например.
В общем, пока такой аддон не создан, то о настоящей анонимности в интернете можно забыть и использование tor не имеет никакого смысла. Каждый конкретный веб-сервер без труда узнает, что это один и тот же клиент. Относительная анонимность обусловена лишь тем, что они далеко не всегда друг с другом обмениваются информацией.
А может, я просто плохо искал?