web-dev-qa-db-fra.com

Comment bien Tor protège-t-il contre l'empreinte digitale?

Je ne veux pas que certains sites Web me suivent, mais ils ne travaillent pas sans JS. J'ai trouvé quelques plug-ins qui nécessitent tous "lire et changer toutes les données sur tous les sites Web", alors j'avais besoin de quelque chose d'autre. Je pensais à coder un minuscule python navigateur ou un autre sur la base du projet de chrome, et de ne pas la configurer de ne pas transmettre de nombreuses données (agents utilisateur vides, etc.). En outre, la deuxième option serait Je suis allé à trouver les 10 meilleures empreintes digitales sur le Web et utilisez-les au hasard. L'inconvénient est que je devais obtenir une nouvelle adresse IP pour que chaque changement d'empreinte digitale semble sembler comme des demandes provenaient de différents appareils. Et le moyen le plus simple de réaliser cela utilise des demandes. Mais ensuite j'ai toujours mon empreinte digitale unique et retour au problème initial, n'est-ce pas? Le réseau Tor fait-il quelque chose à ce sujet?

5
Rápli András

Lorsque vous ne changez rien, le Navigateur Tor est déjà configuré d'une manière que l'empreinte digitale est identique à tous les autres navires de Tor (et est proche de l'empreinte digitale la plus courante sur la toile). Je recommande de compter sur ceci au lieu de jouer avec lui par vous-même depuis Il existe de nombreuses possibilités pour construire une empreinte digitale. Regardez les problèmes ouverts et fermés du fichier Tor Browser Bug Tracker et essayez de comprendre les problèmes.

Vous pouvez également utiliser des queues via un média en lecture seule pour obtenir une très grande quantité d'anonymat avec un effort raisonnable.

10
Noir

L'empreinte digitale qui pourrait être utilisée pour identifier un navigateur dépend des caractéristiques disponibles. Si vous exécutez un navigateur Bare-Bones avec tout handicapé, il existe très peu de données sur l'empreinte digitale. Là encore, le manque de données excessives rendrait également votre trafic plus unique. À la fin, vous allez vous ouvrir beaucoup de choses en ayant activé JavaScript.

J'ai cloné ce projet d'empreinte digitale de Github ( https://github.com/valve/fingerprintjs ) sur l'un de mes serveurs Web. Si j'y ai accédé avec un navigateur Tor, j'ai reçu une notification du navigateur qui dit:

"Ce site Web a tenté d'extraire des données d'image en toile HTML5, qui peuvent être utilisées pour identifier de manière unique votre ordinateur. Le navigateur doit-il autoriser ce site à extraire des données d'image HTML5 sur toile?"

En outre, chaque fois que j'ai renouvelé mon identité et visité l'URL d'empreinte digitale, cela m'a donné une résolution de l'écran d'empreinte digitale unique, de sorte que Tor semble avoir également l'empreinte digitale.

Voici une bonne rédaction sur ce sujet très sujet:

http://www.unhappyghost.com/2015/02/forensics-fingerprinting-defres-in-tor-browser.html

FTA,

JavaScript peut révéler beaucoup d'informations d'empreintes digitales. Il fournit des objets DOM tels que Windows.Screen et Window.Navigator pour extraire des informations sur le nomAgent. En outre, JavaScript peut être utilisé pour interroger le fuseau horaire de l'utilisateur via l'objet Date (), Webgl peut révéler des informations sur la carte vidéo utilisée et les informations de minutage de haute précision peuvent être utilisées sur l'empreinte digitale de la CPU et de la vitesse d'interprète. À l'avenir, de nouvelles fonctionnalités JavaScript telles que la chronométrage des ressources peuvent élever une quantité inconnue d'informations relatives au chronométrage du réseau.

Si vous êtes vraiment préoccupé par le suivi, je conseillerais ce qui suit:

  • Créer A VM et exécuter le navigateur de Tor à partir de celui-ci
  • définir le mauvais fuseau horaire
  • utilisez un nom de compte d'utilisateur aléatoire
  • utilisez un clavier virtuel (cela devrait empêcher l'empreinte digitale de type tactile/timing).
  • configurez tout le trafic sortant à bloquer, à l'exception du navigateur Tor et uniquement sur les ports 80/443 et tout ce qui est nécessaire pour vous connecter.
  • définissez les paramètres de sécurité à haute
  • activer uniquement JS pour les pages qui en ont explicitement besoin (via Noscript)
  • changer les identités fréquemment.

Vous voudrez probablement scripter des modifications régulières sur des identifiants de système d'exploitation éventuels tels que l'heure exacte, les dispositions de clavier, l'adresse MAC.

Toujours mettre à jour fréquemment et ne jamais exécuter flash.

[~ # ~] Mise à jour [~ # ~] Il y a une nouvelle version de l'empreinte digitale JavaScript disponible: https://github.com/valve/fingerprintjs2

Celui-ci semble faire un meilleur travail et mettre en place une nouvelle identité ne fait rien.

Voici une liste des sources qu'il utilise pour l'empreinte digitale:

  1. Agent utilisateur
  2. Langue
  3. La profondeur de la couleur
  4. Résolution d'écran
  5. Fuseau horaire
  6. A le stockage de la session ou non
  7. A stockage local ou non
  8. A indexé dB
  9. A IE spécifique 'addbehavior'
  10. A ouvert dB
  11. CLASSE CPU
  12. Plate-forme
  13. Donottrack ou pas
  14. Liste complète des polices installées (maintien de leur commande, qui augmente l'entropie), mise en œuvre avec Flash.
  15. Une liste de polices installées, détectées avec JS/CSS (technique de canal latéral) - peut détecter jusqu'à 500 polices installées sans flash
  16. Toile empreinte digitale
  17. Webglinting digital
  18. Plugins (c.-à-d. Inclus)
  19. Adblock est-il installé ou non
  20. L'utilisateur a-t-il altéré avec ses langues 1
  21. L'utilisateur a-t-il altéré de sa résolution d'écran 1
  22. L'utilisateur a-t-il altéré avec son système d'exploitation 1
  23. L'utilisateur a-t-il altéré avec son navigateur 1
  24. Détection et capacités d'écran tactile
3
nyxgeek