Come disabilitare l'autorizzazione a leggere "Font di sistema" e "Dettagli plug-in browser" in Chrome e Firefox

Andando su http://panopticlick.eff.org/ Riesco a vedere che Firefox e Chrome espongono più su "Font di sistema" e "Dettagli plug-in del browser" di quanto preferisca.

Come si può disabilitare l'autorizzazione di una pagina Web per accedere a queste impostazioni in Firefox e Chrome?

Ci sono due domande ma sto rispondendo alla domanda dell'elenco dei caratteri:

È possibile disabilitare l'enumerazione dei caratteri Flash utilizzando il mms.cfgfile di configurazione a livello di sistema. Questo file dovrebbe trovarsi nella /etc/adobe/directory se si utilizza Linux. Fondamentalmente devi solo inserire la seguente riga nel file:

DisableDeviceFontEnumeration = 1

Consulta la Guida all'amministrazione di Adobe Flash Player per maggiori dettagli.

Con questa impostazione Panopticlick e altri siti non possono ottenere l'elenco dei caratteri tramite Flash.

Si noti che l'elenco dei caratteri è ancora disponibile tramite Java se è installato. È una buona idea sbarazzarsi di Java comunque. Se si utilizzano un paio di siti che richiedono Java, utilizzare un'istanza del browser diversa con un profilo utente diverso con Java abilitato solo per quei siti.

L'estensione Chrome gratuita RubberGlove blocca il plug-in e l'enumerazione di tipo mime occultando le voci dell'array all'incirca nello stesso modo in cui Firefox e Internet Explorer possono / fare in modo nativo.

Devi ancora impostare Chrome su plug-in "Fai clic per giocare" e disabilitare tu stesso i cookie di terze parti nelle impostazioni sulla privacy di Chrome. Inoltre, come è stato menzionato nello studio, probabilmente ti presenterai come unico fino a quando un numero sufficiente di persone inizierà a utilizzare plugin come questo.

Divulgazione completa: sono l'autore.

Questa funzionalità potrebbe (o meno) essere integrata in futuro nell'estensione del Badger sulla privacy di Electronic Frontier Foundation . Sembravano comunque interessati.

In Firefox 28:

Digita about:configla barra degli indirizzi

Trova plugins.enumerable_names

Impostare la voce su niente.

Visita https://panopticlick.eff.org/ per verificare che i plug-in non siano più elencati.

Javascript ha la capacità di controllare quali plugin sono installati, questo è generalmente usato per dare un messaggio "installa plugin mancanti" se necessario. Se lo desideri, puoi disabilitare i plug-in nelle impostazioni e disabilitare Javascript utilizzando un componente aggiuntivo come Javascript Blacklist per Chrome o Quick Java statusbar per Firefox.

Assolutamente possibile con Proxomitron .

Prox è come NoScript, HTTP LiveHeaders, RequestPolicy, CookieSafeguard, BetterPrivacy e quant'altro, tutti messi in un unico programma. Non è sviluppato ulteriormente, ma mi garantisce la privacy che nessun altro strumento può fare.

Proxomitron è un filtro web universale. Informazioni dal loro sito:

Il programma

Per coloro che non sono ancora stati introdotti, incontra Proxomitron: un proxy di filtraggio web HTTP locale gratuito, altamente flessibile, configurabile dall'utente, piccolo ma molto potente. Per conoscere meglio, consultare la nostra versione online dei file della Guida di Proxomitron per una panoramica più completa.

L'attuale (e ultima) versione di Proxomitron è Naoko 4.5, di cui sono state rilasciate due versioni, una nel maggio 2003 e una successiva nel mese di giugno. Sebbene molto simili, ci sono differenze distinte tra i due che non sono menzionate nella documentazione di nessuno dei due programmi. Entrambe le versioni sono disponibili nella sezione File. L'attenzione di PI sarà sull'ultima versione, la versione di giugno.

L'autore

Scott R. Lemmon originariamente ha sviluppato il Proxomitron per uso personale. Ha quindi deciso di rilasciarlo al pubblico e si è reso disponibile agli utenti via e-mail e in diversi gruppi di discussione degli utenti Proxomitron. Il suo supporto, come il suo programma, era sempre gratuito.

Con l'uscita di Naoko 4.5, Scott ha interrotto tutti gli ulteriori sviluppi e il supporto del suo programma e ha rimosso la sede ufficiale di Proxomitron dal Web. Abbiamo rispettato la sua decisione di andare avanti e gli abbiamo augurato il meglio, il che è, dopo tutto, ciò che ci ha costantemente dato.

Purtroppo, un anno dopo, Scott è morto, ma il suo splendore di mente e spirito sopravvive. In poche parole, Proxomitron è un riflesso del suo creatore: conoscere il programma di Scott. . . è conoscere Scott Lemmon.

Controlla! C'è una (in qualche modo) comunità attiva.

A partire da Firefox 17 puoi abilitare il "click to play" che interrompe il caricamento automatico di Java e Flash. Questo a sua volta impedisce di scoprire molte (non tutte) informazioni. Ad esempio, l'arresto del plug-in Flash impedisce la maggior parte dei caratteri scoperti.

Per abilitare "click_to_play" in Firefox:

• arriva a "about: config" nella barra degli indirizzi
• cerca "click_to_play"
• fai doppio clic sulla voce per alternare il valore da 'false' a 'true'
• chiudi la scheda
• la prossima volta che è richiesto il plugin, riceverai un messaggio che ti darà la possibilità di abilitarlo

La soluzione per gli ultimi browser Firefox è:

• Usa Spoofer agente casuale. Di recente ha aggiunto opzioni per disattivare l'enumerazione dei plug-in: https://github.com/dillbyrne/random-agent-spoofer/issues/283

• Oppure usa uno script utente come mostrato nel commento di Mechazawa nel link sopra. Puoi usare il suo script Greasemonkey o Tampermonkey (sia Firefox che Chrome) per occuparti di questo senza alcuna estensione.

Posso confermare che questo mostra i plugin come "indefiniti" nel test panopticlick.

L'impronta digitale dei caratteri è solo una piccola parte dell'impronta digitale del browser. Bloccarlo totalmente è quasi impossibile da fare se lo scopo è lasciare il browser ancora funzionante. Si dice che la migliore protezione generale delle impronte digitali si trovi nel Tor Browser.

Nei test pratici è stato scoperto che il tentativo di bloccare l'impronta digitale dei caratteri aumenta effettivamente l'unicità dell'impronta digitale del computer, poiché la maggior parte degli utenti non lo fa. Il modo migliore per evitare le impronte digitali è non fare nulla di speciale e fondersi con migliaia di altri utenti.

Il primo passo contro l'impronta digitale dei caratteri è quello di avere un test per l'efficacia di qualsiasi misura difensiva che prenderai. Un buon strumento qui è https://browserleaks.com/fonts . Un buon strumento per l'unicità dell'impronta digitale generale è https://panopticlick.eff.org/ (il mio browser è risultato unico tra i 199.984 testati negli ultimi 45 giorni) o Am I Unique .

Per la protezione in Chrome , le misure che puoi adottare sono:

• Installa invece una build di Chromium rinforzata
• Usa un'estensione (non ho testato la loro efficacia):
  • Whitelist privacy impronte digitali glifo carattere
    Consente di rilevare solo l'elenco predefinito di caratteri installati con Windows.
  • Carattere Fingerprint Defender
    Aggiunge un piccolo rumore all'impronta digitale effettiva e la "rinnova" ogni volta che si visita un sito Web o si ricarica una pagina.
  • Don't FingerPrint Me
    Aggiunge una scheda agli strumenti di sviluppo di Chrome che mostra i tentativi di fingerprinting del browser.

Per protezione in Firefox

Mozilla sta attualmente lavorando al progetto Tor Uplift, il cui obiettivo è costruire su Firefox lo stesso livello di resistenza alle impronte digitali del Tor Browser. Questo progetto è in corso e descritto nell'articolo Sicurezza / impronte digitali .

Potresti provare lo script di protezione di Firefox in Github ghacks-user.js , anche se, a detta di tutti, potrebbe essere troppo e danneggiare la navigazione.

Per quanto riguarda i componenti aggiuntivi, c'è un elenco di componenti aggiuntivi utili e altri consigli mantenuti nella pagina firefox-tweaks .

Per il momento, le misure che conosco specificamente per l'impronta digitale dei caratteri riguardano: impostazioni di configurazione :

• Fare clic con il tasto destro del mouse e selezionare Nuovo> Stringa , creando il nuovo parametro font.system.whitelist, che elencherà i caratteri che verranno visualizzati da JavaScript. Un valore valido di esempio è Helvetica, Courier, Verdana. La modifica ha effetto immediato.
  Nel mio caso, ciò ha ridotto il mio Font Fingerprinting da 266 caratteri e 238 metriche uniche trovate in un elenco di 512 caratteri, a "solo" 28 caratteri e 9 metriche uniche. (Non ho idea di come ciò avrebbe un impatto sulla navigazione.)

• privacy.resistFingerprinting=trueè un interruttore generale per abilitare le misure sulla privacy del progetto Tor Uplift man mano che vengono implementate. Consente di distribuire un elenco di caratteri uniforme. Mozilla non consiglia di abilitarlo poiché interromperà alcuni siti Web.

• Disabilitando le opzioni di "Consenti ai siti Web di utilizzare i propri caratteri" e l'API di caricamento dei caratteri CSS modificando questi valori:

  browser.display.use_document_fonts = 0
  layout.css.font-loading-api.enabled = false
  font.blacklist.underline_offset = (empty string)
  gfx.downloadable_fonts.enabled = true
  gfx.font_rendering.opentype_svg.enabled = false
  gfx.font_rendering.graphite.enabled = false
  

  (Molto probabilmente questo peggiorerà la navigazione.)

Solo per notare che ho visto i metodi discussi per sofisticati Font Fingerprinting e disegno che potrebbero persino identificare la scheda video e il driver grafico.

La mia opinione: è impossibile evitare le impronte digitali: i caratteri non sono tutto. Anche se tu:

• Usa una VPN
• Esegui la navigazione da una macchina virtuale Windows vaniglia
• Non installare caratteri o altri software
• Installa il browser più utilizzato: Chrome, senza estensioni
• Effettua la navigazione in modalità di navigazione in incognito che disabilita tutti i cookie e le estensioni

quindi molto probabilmente questi metodi di protezione unici, insieme ad elementi hardware ancora rilevabili nella macchina virtuale, renderanno comunque un'impronta digitale unica o quasi unica. Per non parlare del fatto che questo ambiente sarà piuttosto difficile da usare.

Per discussioni su alcuni noti metodi di impronte digitali, consultare i seguenti articoli:

• Browser Fingerprinting - Explanation & Solutions (dal 2019)
  Contiene più informazioni e hack di quelli che ho elencato sopra.

• Nuove tecniche di impronte digitali (dal 2017)

• Sicurezza del browser Web - BrowserLeaks.com

Anche se questa è una domanda più vecchia, a partire dal 2017 siamo ancora molto preoccupati per tutte le informazioni trapelate dal browser mentre vengono utilizzate per l'impronta digitale. Trovo che Random Agent Spoofer ( https://github.com/dillbyrne/random-agent-spoofer ) menzionato da Spectraljump colpisce l'unghia proprio sulla testa.

Come richiesto, proteggerà da:

• enumerazione dei plugin
• non esporrà i caratteri installati sui tuoi computer (che è un'alternativa più efficiente agli strumenti per cambiare i caratteri, come FluxFonts)

Inoltre, fornirà opzioni per proteggerti da:

• la maggior parte degli altri strumenti di impronte digitali
• ti permetterà di disabilitare webRTC, webGL, cache locale e altro.

Se lanci un randomizzatore di impronte digitali su tela (come Canvas Defender ), ti troverai protetto praticamente da tutto ciò che è rilevabile su browserleaks.com e Panopticlick.

Infine, assicurati di utilizzare una VPN con protezione dalle perdite DNS , per chiudere il loop.

Una soluzione alternativa, sebbene meno conveniente, è quella di utilizzare una VM generica (sistema operativo più comune, con nulla di personalizzato installato) per tutte le attività di navigazione e ripristinarla dopo ogni sessione.