Berapa banyak informasi yang dapat diperoleh situs web tentang browser / PC Anda?

41

Saya mencoba menentukan apakah informasi yang ditampilkan di www.whatsmyip.org adalah jumlah maksimum informasi absolut yang dapat diperoleh server web dari pengunjung web. Adakah situs lain yang dapat memperoleh informasi lebih banyak dari pengguna secara pasif seperti ini?

Saya tidak berbicara tentang port-sniffing atau interaksi apa pun dari pengguna, hanya informasi yang dapat diperoleh server dari kunjungan 'bodoh'.

Pertanyaan ini adalah Pertanyaan Pengguna Super Minggu Ini .
Baca entri blog untuk detail lebih lanjut atau berkontribusi pada blog Anda sendiri

browser website internet-security Pickledegg
sumber

Jawaban:

34

Ada lagi: Electronic Frontier Foundation (EFF) mengeluarkan alat yang disebut Panopticlick yang menunjukkan sebagian besar informasi yang sama tetapi juga memindai font yang diinstal.

Font yang diinstal mungkin adalah bagian informasi yang paling mengidentifikasi segera setelah Anda mulai menambahkan satu atau dua. Hanya karena jumlah font di luar sana, tidak mungkin memiliki set font yang sama di dua komputer yang berbeda. (Selama mereka digunakan oleh orang yang berbeda)

Sunting (dari komentar): Sebuah penanggulangan untuk ini adalah menonaktifkan JavaScript (melalui addon seperti NoScript misalnya) atau untuk menonaktifkan plugin Java dan Flash di browser, karena setidaknya salah satu dari mereka diperlukan untuk mengekstrak informasi.

Baarn
sumber
2
Ini memerlukan Java untuk mengekstraksi beberapa informasinya (dan informasi itu menjadi sangat sedikit jika Anda menolak permintaan untuk mengizinkan Java di situs) - tes yang dikumpulkan OP mengumpulkan jauh lebih banyak menggunakan cara pasif.
PhonicUK
1
Itu tidak memerlukan Java, itu membutuhkan JavaScript. Kebanyakan orang tidak memiliki addon seperti NoScript yang diinstal di browser mereka, sehingga dalam kebanyakan kasus semua informasi dapat diekstraksi. Situs yang melakukan pemindaian semacam ini biasanya tidak akan bertanya kepada pengguna apakah mereka diizinkan melakukannya.
Baarn
2
Ya itu memang menggunakan java, ia memiliki java applet yang melakukan pemeriksaan font. Chrome bahkan meminta Anda ketika Anda mengunjungi halaman untuk mengetahui apakah Anda ingin membiarkan applet berjalan. Lakukan elemen inspeksi pada halaman dan Anda lihat<applet codebase="java" code="fonts.class" id="javafontshelper" name="javafontshelper" mayscript="true" width="1" height="1"></applet>
PhonicUK
1
@Indrek Saya dapat mengkonfirmasi ini, segera setelah Anda menonaktifkan Java dan Flash, tidak ada font yang dapat diekstraksi.
Baarn
2
Jika tidak dapat melakukannya melalui Java, ia menggunakan Flash sebagai gantinya. Jika Anda menonaktifkan kedua flash dan java itu hanya memberikan "Tidak ada flash atau font Java terdeteksi". Anda tidak bisa mendapatkan daftar font hanya menggunakan Javascript. Memang pasif sejauh ini sehingga tidak memerlukan interaksi dari pengguna tetapi ekstra masih diperlukan untuk melakukannya.
PhonicUK
9

Bagaimana mereka mendapatkannya?

Informasi yang dapat diidentifikasi secara pasif sebagian besar dikumpulkan dari tajuk paket komunikasi.

Saat browser meminta URL, permintaan ini melalui beberapa lapisan model OSI dan beberapa protokol jaringan. Protokol tingkat atas seperti HTTP dan TCP / IP mungkin menyediakan sebagian besar informasi yang ditampilkan di situs web itu. Informasi ini biasanya disimpan dalam header paket dan awalnya disematkan di sana untuk membantu server memahami: apa representasi terbaik dari informasi untuk lingkungan Anda.

Daftar header HTTP saat ini yang mudah digunakan tersedia dari Wikipedia . Referensi yang lebih teknis adalah RFC 2616 Header Field Definition atau RFC 2616 itu sendiri, lihat bagian 14.

Bagaimana cara melindungi privasi Anda?

Teknik lain yang sangat populer untuk melacak pengguna adalah melalui cookie tertentu - ini adalah cara penyedia iklan mengetahui iklan mana yang akan ditampilkan kepada Anda (yang membuat saya sangat waspada). Lihat jawaban untuk pertanyaan saya: Cara menghapus cookie pelacak . Jawaban sebenarnya mencakup lebih banyak kemungkinan pertahanan terhadap teknik pelacakan lainnya.

Mungkin cara yang lebih aman untuk tetap anonim online adalah dengan menggunakan beberapa proyek keamanan khusus, salah satunya adalah TOR .

oleksii
sumber
8

Dalam hal informasi Anda dapat memperoleh secara pasif tanpa menggunakan Java / Flash - itu cukup lengkap.

Anda mungkin dapat melakukan hal-hal seperti memperkirakan kinerja PC menggunakan tolok ukur JavaScript, tetapi Anda benar-benar mendorong pada saat itu.

PhonicUK
sumber
7

Halaman itu tidak benar-benar menunjukkan banyak jika Anda hanya menolak permintaan browser untuk menjalankan plugin, mengizinkan deteksi lokasi, dll.

Nama host, alamat IP, dll. Dapat dengan mudah disembunyikan melalui proxy, dan informasi browser / OS dapat dengan mudah dipalsukan melalui ekstensi dan semacamnya.

Pada akhirnya, kecuali Anda menginstal dan mengizinkan plugin pihak ketiga, situs web tidak dapat mengumpulkan banyak informasi karena browser dirancang secara khusus untuk membatasi seberapa banyak akses yang mereka miliki ke suatu sistem. Alat paling umum yang digunakan situs untuk mengumpulkan data adalah cookie, tetapi ada batasan seberapa banyak mereka dapat melaporkannya juga.

Satu-satunya cara nyata bagi sebuah situs untuk mendapatkan akses tidak terbatas ke sistem Anda adalah dengan mencoba mengeksploitasi kerentanan di browser atau salah satu plugin-nya, tetapi Anda dapat mengurangi bahkan dengan menginstal sesedikit mungkin dan menjaganya tetap diperbarui .

Synetech
sumber
5

Ada sesuatu yang ekstra yang tidak dicantumkan oleh jawaban sebelumnya:

Situs web dapat melacak situs web lain yang telah Anda kunjungi (sebelum terakhir kali Anda menghapus riwayat penjelajahan Anda).

Bagaimana ini dilakukan?

Peramban Anda menghubungkan warna secara berbeda, berdasarkan apakah Anda pernah mengunjunginya sebelumnya, atau tidak. Sebuah situs web dapat membuat daftar besar dari banyak situs web terkenal (yang ingin diketahui situs tersebut jika Anda mengunjunginya), dan menampilkan daftar itu dengan cara yang tidak dapat dilihat pengguna (tersembunyi di belakang gambar, dengan font) ukuran 1 pixel, dengan warna yang sama dengan latar belakang, dll.) Sekarang skrip memindai bagaimana daftar "ditampilkan" oleh browser, dan dapat mengetahui yang mana yang dikunjungi.

vsz
sumber
1
Saya pernah mendengar tentang ini sebelumnya, tetapi saya pikir itu tidak mungkin lagi.
Baarn
Hari-hari ini (2012), ketika browser modern memungkinkan ini, itu diperlakukan sebagai kerentanan keamanan yang serius. Misalnya, rilis beta (?) Firefox 16 ditarik baru-baru ini ketika pengembang menyadari bahwa mereka rentan terhadap eksploitasi ini. Ini dianggap sebagai nyaris-nyaris serius untuk menjadi berita: bbc.co.uk/news/technology-19909106
user56reinstatemonica8
5

Baru saja menemukan situs ini, tidak melihatnya disebutkan di atas: http://browserspy.dk Cukup menarik, untuk sedikitnya!

BrowserSpy.dk adalah tempat di mana Anda dapat melihat seberapa banyak informasi yang diungkapkan browser Anda tentang Anda dan sistem Anda.

Tahukah Anda bahwa semua situs web yang Anda kunjungi dapat mengetahui font apa yang telah Anda instal?

Mungkin juga untuk mengetahui apakah Anda memiliki serangkaian program yang diinstal. Ini termasuk Adobe Reader, OpenOffice.org, Google Chrome dan Microsoft Silverlight. Mungkin bahkan situs mana yang telah Anda kunjungi belakangan ini dapat dideteksi!

Saat berselancar di internet, peramban Anda meninggalkan jejak jejak digital. Situs web dapat menggunakan jejak kaki ini untuk memeriksa sistem Anda.

BrowserSpy.dk adalah layanan tempat Anda dapat memeriksa informasi apa saja yang mungkin dikumpulkan dari sistem Anda, hanya dengan mengunjungi situs web.

Karan
sumber