Új hozzászólás Aktív témák
-
Fecow
aktív tag
Nem teljesen értem ezt a "heuréka" jellegű felfedezést a privát móddal kapcsolatban. A privát mód sosem arról szólt, hogy szerver oldalról nem lehet azonosítani a felhasználót. Tudtommal azt kliens oldali "védelem" miatt hozták létre, tehát, hogy a többfelhasználós gépeken minimalizálják az adatszerzés lehetőségét.
Persze, mindenképp érdemes vizsgálni a problémát, hogy ilyen "nyomok" alapján mennyire lehet azonosítani a felhasználót.
Egyébként tesztelgettem kicsit, tényleg ugyanazt az ujjlenyomatot kapom azonos gépen, böngésző és böngésző módtól függetlenül, viszont észrevettem egy dolgot, akkor is ugyanazt az ujjlenyomatot kapom ha más Windows felhasználói fiókból próbálom ki. Tehát így ebben a formában a felhasználó követés csak egy erős becslés lehet ilyen módon. Persze tudom, hogy ma már egyre kevésbé használnak többen egy gépet, sőt inkább egy embernek van több gépe.Nyergeld meg a nagyot
-
nagyúr
Én is erre gondoltam, nem az a lényeg, hogy egy honlap engem ne tudjon azonosítani hanem, hogy az utánam a géphez ülő ember ne tudja, hogy milyen honlapokat néztem.
Ultraparanoiásoknak CCleaner+CCenhancer vagy Privacy Mantra használata lehet még javasolt, mindegyik ingyenes, egyszerű, 1 klikkes program.
"As long as there are those that remember what was, there will always be those that are unable to accept what can be. They will resist."
-
Brutforsz
senior tag
Nálam nem böngészőfüggetlen az eredmény: más ujjlenyomat keletkezett Firefox és Opera alatt -- igaz, utóbbit nem láttam a tesztelt programok listájában.
Azt nem látom egyértelműen, hogy a tesztelők csupán egy adott böngésző két módja közötti különbséget tagadják és vizsgálják, mert a cikkben szó esik arról, hogy az azonosítás böngészőfüggetlenül megoldható.
[ Szerkesztve ]
Te sejted, kik vagyunk, mi tudjuk, ki vagy.
-
Hiftu
senior tag
Nos, a cikk épp arra hivja fel a figyelmet, hogy legyünk paranoidok és ne hagyjuk még
azt sem, hogy a megnézett oldalak infót szerezzenek rólunk.
Erre jön a felhívás, hogy nézd meg ezt az oldalt. Leteszteljük mennyire egyedi az azonosítód.
Ez jó kis öngól.Átváltok paranoid módba.
PARANOID ON
És rögtön nem hiszem el, hogy törlik az adatokat, meg hogy nem adják ki 3. félnek.
Mi van, ha valaki felhekkeli őket? Mi van, ha az összeesküvés elmélet követ a sötét utcákon?
Ha a kutyám igazából a kormány titkosügynöke... ARGHHHHH:....PARANOID OFF
Off módban meg mikor érdekel engem az, hogy valaki statisztikát gyűjt rólam.
Egyedül az on-line pénzmozgásokra (banking, vásárlás) kell odafigyelni ügyesen.Tessék mondani, lehet itt hazudni? - Kaszt: Decker, Faj: Troll, Működési Terület: Prohardver
-
Az a probléma, hogy a Panopticlick is gyönyörűen demonstrálja a lehetőséget, viszont megoldási javaslatról (azon kívül, hogy ne böngéssz) sehol sem olvastam.
Ami teszteket futtattam, az alapján igen nagy szűkítést esetünkben a magyar nyelv, mint böngésző alapértelmezett jelenti. (Ez mondjuk könnyen átállítható lenne angolra, csak épp...) A legnagyobb egyedi beazonosításra alkalmas adat viszont a betűkészletek listája, amire én nem tudok tiltási lehetőséget. Pedig milyen jó is lehetne, ha a böngésző csak a rendszerben alapértelmezett ötféle betűtípust (Arial, Courier, Times, Tahoma, Verdana) árulnál el!
A tej élet, erő, egészség.
-
Penge_4
veterán
"ugyanis vannak olyan jellemzők, amelyek a böngészőprogramtól függetlenek, és valamennyi böngészőből el is érhetőek. Ilyen például a betűtípusok listája vagy az IP-cím. "
Mindenki böngésszen IE6-tal, angol XP alól, letiltott beépülőkkel AT&T-s (kishazánkban pedig Trés vagy UPC-s) nettel. Válogassák ki a sokmillióból.
(#1) Fecow: A kliensoldal az ipconfig/displaydns miatt felejtős...
Amúgy már a Flashblock is sokat jelent.
-
Fecow
aktív tag
Maradjunk annyiban, hogy felhasználók böngészési adatinak bizonyos védelmére találták ki, kevésbé képzett felhasználók ellen. Ezenkívül nem véd a keylogger ellen, shoulder surfing ellen, hálózat monitorozás ellen, és stb. ellen. Egyébként egy szóval nem írtam, hogy kliens oldalon minden ellen véd. Viszont amivel az emberek, általában találkoztak, vagyis a közösen használt böngészőben felugrottak a másik ember előzményei, automatikusan bejelentkezett a bent maradt sütikkel stb., az ellen véd.
Okoslegyé: Akkor az van, hogy neked a böngészés egy kész rémálom lehet.
Nyergeld meg a nagyot
-
DJS
tag
Csatlakozom, ezt a problémát nagyrészt meg lehetne szüntetni, ha nem a tíz évvel ezelőtti (a dotcomlufi előtt, hogy tudjunk viszonyítani!) adatbiztonsági elvek szerint működnének ma is a böngészők.
Szvsz fél perces kódolást igényel, mármint a böngészőfejlesztők részéről. Meg azt, hogy a HTML és a JavaScript szabványban ne szerepeljenek a betűtípus-adatok.
Én egyébként a többi adatra is hepciás vagyok. Az én azonosítóm így néz ki:
Mozilla/5.0 (X11; U; Linux i686; hu-HU; rv:1.9.2.8) Gecko/20100723 Ubuntu/10.04 (lucid) Firefox/3.6.8
Ezenkívül van időzóna és képernyőfelbontás is. Amiből egy csomó adat felesleges.
Nem tudom, mennyire elterjedt, hogy a felhasználó böngészőjéhez és képernyőjéhez igazítjuk az oldalt, de szerintem nem nagyon. Manapság, amikor a böngészők nagy része eleve 9X%-osan szabványkövető, ráadásul annyi böngészőnek annyi verziója van a piacon, hogy fejlesztői rémálom lenne mindre külön optimalizálni... Egyszerűen nem kellene erre lehetőséget adni. Tartalmazzon csak annyit, hogy egy magyar nyelvű böngésző kér adatokat, ekkora képernyőre. Kész.
N.b. az előzményekhez is hozzáfér minden weboldal, pedig az sem igazán kritikus fontosságú a javascriptben.
A következő, nagy lépés meg az IP-technológia leváltása lenne valami olyanra, amit nem lehet olyan egyszerűen nyomon követni.
-
Penge_4
veterán
"Nem tudom, mennyire elterjedt, hogy a felhasználó böngészőjéhez és képernyőjéhez igazítjuk az oldalt, de szerintem nem nagyon."
Attól még a lehetőség adott és UserJS-sel tudsz küldeni fake adatokat is.
Az meg egy másik dolog, hogy ezt inkább a marketing szegmensben használják ki. Pedig nem lenne hülyeség, mivel a dinamikus szélesség is csak egy határig működik normálisan.
Például egy 1920-as, aki nem szereti az oldalsávokat lehet, hogy a fejkörzést sem szereti és jobb, ha neki több hasábba van tördelve, vagy kap oldalra olyan tartalmakat, ami egy 1024-esnél alul, vagy valahol máshol helyezkedik el.
"ráadásul annyi böngészőnek annyi verziója van a piacon, hogy fejlesztői rémálom lenne mindre külön optimalizálni..."
Ha kihagyod az IE6-ot és az IE7-et, akkor annyira már nem az.
"Tartalmazzon csak annyit, hogy egy magyar nyelvű böngésző kér adatokat, ekkora képernyőre. Kész."
Azt is tartalmazza. Ebből a szempontból viszont pláne nem értem, hogy miért van szükség a full felbontásra.
Az OS nyelve pedig megint csak bekavar, ahogy a területi beállítások is. Például egy külföldön dolgozó magyar az ottani területi beállításokat és időzónát használja, de lehet, hogy szeretné, ha magyarul szólna hozzá az adott oldal, vagy legalább angolul, nem pedig mondjuk németül, franciául vagy azon amilyen nyelvterületen él.
Ugyanúgy egy itteni angol anyanyelvűnek is okozhat kellemetlen meglepetéseket az ilyesmi.
Amire meg felhasználják ezeket a dolgokat, élükön az IP címmel az egyszerűen felháborító. Az Internet egyik fő szempontja az volt, hogy eltörli a határokat, erre különböző copyright szakzsargonokat kapsz az arcodba.
"N.b. az előzményekhez is hozzáfér minden weboldal, pedig az sem igazán kritikus fontosságú a javascriptben."
Bizonyos oldalakon lényeges, hogy legyenek refferer információk.
Mellesleg nem fér hozzá, csak az előzőleg látogatott oldalhoz.
Tehát ha itt a fórumba belinkelek egy oldalt, akkor ott látszani fog a statban, hogy x ember y IP címről arról a címről érkezett az oldalra.
De ha azt a címet kimásolod és az URL sávba írod, akkor már nem és akkor sem ha könyvjelzőből mész az adott oldalra, akkor direktlinkként azonosítja.
Mellesleg van userJS erre is, ami az anonym.to és társain keresztül elrejti a refferer adatokat.
"A következő, nagy lépés meg az IP-technológia leváltása lenne valami olyanra, amit nem lehet olyan egyszerűen nyomon követni."
Épp fordítva halad, a RealID-t akarnak minden embernek, mert a hekkerek (sic!) és a terroristák fenyegetik a világot.
Amúgy a dinamikus IP címek nem igazán követhetők nyomon, ha nincs a kliensgépre telepítve valami nyomkövető szoftver.
Maximum cookie alapján, de az meg szintén nem egy stabil adat, mert gyakran törlődhet.
-
zdanee
őstag
Egyszeru plugin: ezeket az azonositokat folyamatosan torzitani kell minden latogataskor. UserAgentString jobbra-balra csavarhato, az oprendszer verzioja teljesen lenyegtelen adat, a betutipusokbol meg az alap 4 kivetelevel random el lehet hagyni 3-4 darabot, es maris mindig uj, egyedi azonositot is kapunk. Holnapra firefox plugint valaki?
Zipit Z2 idomár - S23u 1TB - HP Envy x360 13 - SGW4 - Miyoo Mini
-
DJS
tag
válasz Okoslegyé #12 üzenetére
Nem érted. Az nem igazi megoldás, hogy userJS-sel meg több böngészővel meg speckó ff pluginnal védekezz ellene. A fő kérdés az, hogy miért adjuk egyáltalán ki? Milyen funkciója van, milyen előnyt kapsz azért, hogy majdnem száz százalékosan, mindenféle hackelés nélkül, jogilag veszélytelenül beazonosítható vagy a neten?
Semmilyet. Abból, hogy az oldalak tudják a betűtípusaidat, te nem látsz hasznot.
Ugyanilyen logikával azt is mondhatnánk, hogy hát miért ne adja ki a böngésző a nevedet és a telefonszámodat. "Ez nem biztonsági rés", mondod te, hiszen ha valótlan adatokat írsz bele, akkor ki tudod védeni!... De az emberek többsége úgysem fogja kivédeni.
Felesleges, de veszélyt jelent. Akkor meg ne védekezzünk ellene, hanem töröljük el egy az egyben. Ez még csak problémát sem okoz, csak keresztül kell verni a W3-nál.
Egy plugin meg jó átmeneti megoldásnak.
-
WonderCSabo
félisten
Nemrég volt egy ilyen cikk, egy ugyanilyen külföldi felmérésről...
-
Penge_4
veterán
1: Tény, hogy nem igazi megoldás, de jelenleg a legjobb megoldás. A filozófiától mindenképp hatékonyabb.
2: Azért, mert elhanyagolható a jelentősége még van nekik pozitív oldala is, így az sem megoldás, hogy kivesszük, akkor dobjuk ki az összes kést is otthon, mert minden fel lehet több célra is használni.
3: A W3-at eddig is leszarták és most is csak azért terjednek a szabványok, mert
a: Bizniszt lát benne a Google és ebben támogatja az összes alternatív böngésző (nem véletlenül alakult ki ez a kifejezés is).
b: A MS is belátta, hogy előbb-utóbb eltűnik az IE a süllyesztőben, ha továbbra is a de facto "szabványait" erőlteti.De ezek a cégek mind reklámból (is) élnek. Szóval kétlem, hogy csak úgy hagynák, hogy ezeket a dolgokat kivegyék.
4: Még ha valamilyen csoda folytán ki is veszik és eltekintünk attól a minimum 5-6 éves átfutási időtől, mire a felhasználók döntő hányada át is áll olyan böngészőre, ami már nem adja ki ezeket az infókat akkor is necces lenne a milliónyi felugráló JavaScript alert, ami értesítene, hogy nem tudja megállapítani, vagy egyszerűen csak dobálna egy rakat "null" és "undefined" hibát.
Végezetül: Szvsz ez már a harmadik pontnál elvérzik. Ahogy leírtad a neves, lakcímes példádban is, az emberek többsége leszarja a személyiségi jogokat és társait. Az emberek többsége boldogan adja ki ezeket az adatokat minden oldalon.
Globálisan az internetezőkre levetítve még az Adblock-ot használók száma is elenyésző, nem még akik olyan cuccokat használnak, amivel tudják kontrollálni a scripteket.
-
Okoslegyé
csendes tag
Én speciel teszek az emberek többségére és nem is tudok és nem is akarok nekik észt osztani, ha valakit nem zavar, hogy beazonosítható akkor annak nyílván nincs is titkolnivalója és pontosan ezért NEM IS ÉRDEMES MEGFIGYELNI, aki pedig sunnyogni akar az bizony úgy el tud bújni, proxyk, SSH-k és egyéb trükkök mögé hogy még az atyaúristen sem fogja beazonosítani nemhogy a csicska titkosszolgálok, és ehhez nem kell se lediplomázni, se évekig tanulni, csak egyszerűen okosnak kell lenni, és pár órát összefórumozni a neten a tőlem hasonlóaktól tanulni, tanácsokat kérni, és kész.
Ezért írtam, hogy e cikk nagy árnyékravetődés és semmi több, a titkosszolgálatok, pedig ugyanezt tudják ugyanígy , csak mindig megpróbálnak hátulról mellbe cikkekkel megfélemlíteni , laikusokat hátha megszeppennek és majd azt hiszik, hogy ők a birka nyáj mindig és mindenhol megfigyelhetők , ezért még azt a 2 óra fórumozást sem érdemes rászánni, ami alatt mesteri szintre pallérozhatják a proxyk mögé való elbújási tudásukat...
[ Szerkesztve ]
-
Penge_4
veterán
válasz Okoslegyé #16 üzenetére
"mesteri szintre pallérozhatják a proxyk mögé való elbújási tudásukat..."
Élvezetes lehet modemes sebességgel böngészni a szélessávú korszakban. Mert ingyenes proxykkal nem mész sokra. Aztán a napi 1-2 órád arra megy, hogy találj magadnak új proxy-t, mert az egyik fél nap után szarik be a másik 1 óra múlva.
Akkor már a VPN is stabilabb, bár az ingyenes ott is lassú.
Persze fizethetsz is érte, de annak viszont nyoma marad, főleg ha digitálisan teszed. Ráadásul nem tudhatod, hogy akinek fizettél az sniffeli-e a rajta keresztül áramló adatokat (segítek: igen, már csak azért is, mert
1: Nem több millió előfizetővel kell megbirkóznia, mint egy ISP-nek.
2: Nem figyelik annyira, mivel félig-meddig szürke szolgáltatás általában sri-lanka-i, vagy kínai szervereken.
3: Aki ilyen szolgáltatást igénybe vesz (ellentétben a sok-sok "átlaguserrel") azok döntő hányadának komoly vaj van a füle mögött, amiért rejtőzködni akar. Ilyenkor viszont már megéri figyelni, ugyanis zsarolni olyat lehet, aki illegálisat tesz (vagy elkövetett), esetleg ha nem is azt, de olyat, ami tönkretenné a karrierjét/családját, stb.Ha warezbirodalmat üzemeltetsz, akkor meg szerezz állampolgárságot valami távol-keleti országba és költözz ki ha melegszik a helyzet. Még mindig jobb, mint atombunkerben TOR-ral böngészni, minden fájlt titkosítani és összekötni egy önmegsemmisítő mobilrack-ben lévő vinyót az ajtókilinccsel.
-
Penge_4
veterán
-
DJS
tag
"Azért, mert elhanyagolható a jelentősége még van nekik pozitív oldala is, így az sem megoldás, hogy kivesszük, akkor dobjuk ki az összes kést is otthon, mert minden fel lehet több célra is használni."
Ez továbbra is mellébeszélés. Milyen haszna van a fontlista kiadásának, és milyen biztonsági kockázatot jelent? Ehhez képest hogyan védik? Sehogy. Már az is jó lenne, ha megkérdezne, vagy egy szabvány választ adna minden erről kérdező JS proginak, de nem, vígan kiadunk mindent.
"De ezek a cégek mind reklámból (is) élnek. Szóval kétlem, hogy csak úgy hagynák, hogy ezeket a dolgokat kivegyék."
Én azzal is megelégednék, ha a Firefoxban nem szerepelne.
"Még ha valamilyen csoda folytán ki is veszik és eltekintünk attól a minimum 5-6 éves átfutási időtől, mire a felhasználók döntő hányada át is áll olyan böngészőre, ami már nem adja ki ezeket az infókat akkor is necces lenne a milliónyi felugráló JavaScript alert, ami értesítene, hogy nem tudja megállapítani, vagy egyszerűen csak dobálna egy rakat "null" és "undefined" hibát."
Nem, ezt szabvány és semmitmondó válasszal meg lehet oldani. Nem a legelegánsabb, de nem is lenne egyedülálló a szabványok történetében.
"Ahogy leírtad a neves, lakcímes példádban is, az emberek többsége leszarja a személyiségi jogokat és társait."
Épp ezért kellene legalább a szabványkészítőknek észnél lenniük.
-
lorenzen
aktív tag
Kérdezd meg az Adobe-ot, ugyanis ha a Flash le van tiltva, vagy legalább Flashblock-ot használsz, akkor nem ad ki semmilyen fontot.
És ezzel ismét megkönnyíted a digitális ujjlenyomatod követését. A font információk hiánya is értékes információ.
Adj vért, életet adsz!! (Az aláírás, a vámpírok támogatásával jöhetett létre.)
-
Penge_4
veterán
Azért írtam az első hozzászólásomban, hogy IE6-tal Windows XP alól bekapcsolt Flash pluginnel...stb, mivel akkor hiába van sok információ, amivel szolgálsz, ezek az információk nem egyediek, mert többen böngésznek IE6-tal Windows XP alól bekapcsolt Flash pluginnel, mint Opera 10.70-nel Flashblock-kal x64-es Windows 7 alól.
Amúgy meg a font információkban épp az az érdekes, hogy önmagukban is csak azt lehet megállapítani, hogy milyen OS és milyen verzió, de ha nincs telepített fontkészlet, csak a gyári Windows fontok (amik az esetek 99%-ában így vannak, főleg hogy Windows-ra leginkább fizetős az összes normális, még a Helvetica is, ami Linuxban alap)...
-
Ezért írtam, hogy adjon vissza információt, de kizárólag az op.rendszeren alapértelmezetten telepített fontokat.
A Flash teljes letiltása sajnos nem járható, mert elég sok gyopár cég van, akiknek kizárólag Flash-vezérelt főmenüs weblapja van. Nincs Flash, nincs driver. Nincs Flash, nincs adatlap.
A tej élet, erő, egészség.
-
Penge_4
veterán
De a driveres oldalt nem látogatod napi szinten és ha Flashblock-ot használsz akkor az a Flash-es cookie-k bekérését is megakadályozza, amíg blokkolva van.
Viszont az ilyeneket meg is kéne büntetni, ugyanis driveres oldalnak minden esetben hozzáférhetőnek kell lennie a lehető legtöbb ember számára, még a látássérült emberek speciális szoftvereivel is.
Meg úgy kollektíve mindenkit. Az senkit nem érdekel, hogy Pistike az oldalára Dreamweaverben milyen Flash-es gombokat csinált, de egy cég oldalán a videós tutorialokat leszámítva más ne legyen már abban! És igen, ilyen oldalakon lehetőleg a JavaScripttel is csínján kéne bánni. Stílusozzon inkább CSS-ben, az könnyen kikerülhető és az oldal linkjei és szövege akár még Lynx-ben is hozzáférhető.
És ne jöjjön nekem azzal senki, hogy az IE miatt, mert az IE bár de facto szabványokat alkalmazott, de már IE6-ban is volt még olyan is, hogy scrollbar stílusozás és checkbox stílusozás (ami például Firefoxban és Chrome-ban a mai napig nincs (hozzáteszem, nem is hiányzik). Még a PNG átlátszóság bugjára is van javító CSS.
-
tocsa
senior tag
Ez a user agent string kulonbsege miatt lehet. Vagy a browsereid nem ugy enumeraljak a felinstallalt fontokat. A felsorolt fontokat az ujjlenyomat szamolas elott rendezik (arra az eshetosegre, ha az enumeralasi sorrend lenne csak mas)?
Amugy ez a trukk: [link]
Ha JavaScript le van tiltva, akkor nem megy, persze akkor nagyon sokminden nem megy.Egy jo rendszer fingerprint-be meg milyen dolgokat lehetne belevenni?
Acer Predator Helios 500 Ryzen, Samsung 960 Pro NVMe + GeChic 15.6" kulso monitor a mobil irodahoz
-
Penge_4
veterán
Attól már az is jobb, ha bedobod adblock listára a */fontdetect.js*-t.
De a legbiztosabb megoldás egy userJS lenne.
"Rettenetesen lassan, de kozeleg a HTML5."
Még jó ideig nem lesz végleges, de már rég lehet használni. Írás a mítoszok eloszlatásáról.
Például itt a PH-n is bőven le lehetne már cserélni a képeket border-radius-ra és társaira. A végleges Firefox, Chrome, Opera, Safari tudja, az IE pedig úgyis külön CSS-t kap.
-
Penge_4
veterán
válasz WonderCSabo #35 üzenetére
Mondom végleges... Az IE9 csak jövőre lesz az.
-
WonderCSabo
félisten
Hát izé, sztem a border-radiust kevés végleges böngésző tudja, talán csak az Opera. Sok a saját megoldását igen (webkit-border-radius, moz-border-radius).
Ha pedig így értetted, gondolom a PH!sok várnak, amíg elég lesz egy sort írni a 3 helyett...
Rénáztem a kódra, ha jól látom general CSS van.
[ Szerkesztve ]
Új hozzászólás Aktív témák
- Eladó hibátlan állapotú okosított Nintendo Switch Lite + ajándék 128GB SD, tok és hordtáska
- AMD Ryzen 7 5700X3D 3.0GHz (96MB Cache, up to 4.1GHz) OEM - 3 év garancia
- ÚJ, bontatlan Lenovo IdeaPad 1 15IGL7
- Arzopa portable Monitor
- GAMER PC : RYZEN 5 2600X, 16GB DDR4, SAPPHIRE RX 580, 120GB SSD, 1TB HDD
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest
Cég: Axon Labs Kft.
Város: Budapest