Quante informazioni possono ottenere i siti Web sul tuo browser / PC?

41

Sto cercando di determinare se le informazioni visualizzate su www.whatsmyip.org sono la quantità massima assoluta di informazioni che un server web può ottenere da un visitatore web. Ci sono altri siti che saranno in grado di ottenere passivamente più informazioni dall'utente in questo modo?

Non sto parlando di port sniffing o di qualsiasi tipo di interazione da parte dell'utente, solo le informazioni che un server può ottenere da una visita "stupida".

Questa domanda era una domanda super utente della settimana .
Leggi la voce del blog per maggiori dettagli o contribuisci tu stesso al blog

browser  website  internet-security 
Pickledegg
fonte

Risposte:

34

C'è di più: la Electronic Frontier Foundation (EFF) ha lanciato uno strumento chiamato Panopticlick che mostra per lo più le stesse informazioni ma analizza ulteriormente i caratteri installati.

I caratteri installati sono probabilmente le informazioni più identificative non appena si inizia ad aggiungere uno o due. Solo a causa della quantità di caratteri disponibili, è improbabile che abbia lo stesso set di caratteri su due computer diversi. (Purché siano utilizzati da persone diverse)

Modifica (dai commenti): una contromisura è disabilitare JavaScript (ad esempio un componente aggiuntivo come NoScript) o disabilitare entrambi i plug-in Java e Flash nel browser, poiché almeno uno di essi è necessario per estrarre le informazioni.

Baarn
fonte
2
Ciò richiede Java per estrarre alcune delle sue informazioni (e diventa molto poco se si rifiuta la richiesta di consentire Java sul sito) - il test OP collegato raccoglie molto di più usando mezzi passivi.
PhonicUK,
1
Non richiede Java, richiede JavaScript. La maggior parte delle persone non ha un componente aggiuntivo come NoScript installato nel proprio browser, quindi nella maggior parte dei casi è possibile estrarre tutte le informazioni. I siti che eseguono questo tipo di scansioni normalmente non chiederanno all'utente se sono autorizzati a farlo.
Baarn,
2
Sì, fa uso di Java, ha un applet Java che fa il controllo del carattere. Chrome ti chiede anche quando visiti la pagina se desideri o meno consentire l'esecuzione dell'applet. Fai un elemento di ispezione sulla pagina e vedi<applet codebase="java" code="fonts.class" id="javafontshelper" name="javafontshelper" mayscript="true" width="1" height="1"></applet>
PhonicUK
1
@Indrek Posso confermarlo, non appena Java e Flash sono disabilitati, non è possibile estrarre caratteri.
Baarn,
2
Se non può farlo tramite Java, utilizza invece Flash. Se si disabilitano sia Flash che Java, viene visualizzato "Nessun carattere Flash o Java rilevato". Non è possibile ottenere l'elenco dei caratteri utilizzando solo Javascript. È scontato che sia passivo in quanto non richiede alcuna interazione da parte dell'utente, ma sono ancora necessari extra per farlo.
PhonicUK,
9

Come lo ottengono?

Le informazioni identificabili passive sono per lo più raccolte dalle intestazioni dei pacchetti di comunicazione.

Quando un browser richiede un URL, questa richiesta viene sottoposta a diversi livelli del modello OSI e diversi protocolli di rete. I protocolli di livello superiore come HTTP e TCP / IP forniscono probabilmente la maggior parte delle informazioni visualizzate su quel sito web. Queste informazioni sono generalmente archiviate in un'intestazione di pacchetto e sono state originariamente incorporate lì per aiutare i server a capire: qual è la migliore rappresentazione delle informazioni per il tuo ambiente.

Un elenco intuitivo delle intestazioni HTTP correnti è disponibile da Wikipedia . Un riferimento più tecnico è RFC 2616 Header Field Definitions o RFC 2616 stesso, vedere la sezione 14.

Come proteggere la tua privacy?

Un'altra tecnica molto popolare per tracciare un utente è tramite cookie specifici: è così che i provider di annunci sanno quale annuncio mostrare (il che mi rende molto diffidente). Consulta le risposte alla mia domanda: come rimuovere i cookie di tracciamento . Le risposte in realtà coprono molte più difese possibili contro altre tecniche di tracciamento.

Forse un modo più sicuro per rimanere anonimi online è utilizzare alcuni progetti di sicurezza dedicati, uno dei quali è TOR .

Oleksii
fonte
8

In termini di informazioni è possibile ottenere passivamente senza utilizzare Java / Flash: è piuttosto esaustivo.

Forse potresti fare cose come stimare le prestazioni del PC usando un benchmark JavaScript, ma stai davvero spingendo a quel punto.

PhonicUK
fonte
7

Quella pagina non mostra molto se si rifiutano semplicemente i prompt del browser per eseguire plug-in, consentire il rilevamento della posizione, ecc.

Il nome host, l'indirizzo IP, ecc. Possono essere facilmente nascosti tramite un proxy e le informazioni del browser / sistema operativo possono essere facilmente falsificate tramite estensioni e simili.

Alla fine, a meno che non si installi e si consentano plug-in di terze parti, i siti Web non possono raccogliere molte informazioni poiché i browser sono specificamente progettati per limitare la quantità di accesso a un sistema. Lo strumento più comune che i siti utilizzano per raccogliere dati sono i cookie, ma ci sono limiti anche a quanto possono segnalare.

L'unico modo reale per un sito di ottenere un accesso illimitato al tuo sistema è provare a sfruttare una vulnerabilità nel browser o in uno dei suoi plugin, ma puoi mitigare anche quello installando il meno possibile e aggiornandoli .

Synetech
fonte
5

C'è qualcosa in più che le precedenti risposte non elencano:

Un sito Web può tenere traccia degli altri siti Web visitati (prima dell'ultima volta che hai cancellato la cronologia di navigazione).

Com'è fatto?

I colori del tuo browser si collegano in modo diverso, a seconda che tu li abbia già visitati o meno. Un sito Web può creare un grande elenco di molti siti Web noti (di cui il sito vuole sapere se li hai visitati) e visualizzare tale elenco in modo che l'utente non possa vederlo (nascosto dietro un'immagine, con un carattere dimensioni di 1 pixel, con lo stesso colore dello sfondo, ecc.) Ora uno script analizza il modo in cui "l'elenco" viene visualizzato dal browser e può sapere quali di essi sono stati visitati.

VSZ
fonte
1
Ne ho sentito parlare prima, ma penso che non sia più possibile.
Baarn,
In questi giorni (2012), quando un browser moderno lo consente, viene trattato come una grave vulnerabilità della sicurezza. Ad esempio, una versione beta (?) Di Firefox 16 è stata estratta di recente quando gli sviluppatori si sono resi conto di essere vulnerabili a questo exploit. Questa è stata considerata una notizia abbastanza grave da essere una notizia: bbc.co.uk/news/technology-19909106
user56reinstatemonica8
5

Ho appena trovato questo sito, non l'ho visto menzionato sopra: http://browserspy.dk Abbastanza interessante, per non dire altro!

BrowserSpy.dk è il luogo in cui puoi vedere quante informazioni rivelano il tuo browser su di te e sul tuo sistema.

Sapevi che tutti i siti web che visiti possono scoprire quali caratteri hai installato?

È anche possibile scoprire se è installata una serie di programmi. Questi includono Adobe Reader, OpenOffice.org, Google Chrome e Microsoft Silverlight. Forse anche quali siti hai visitato di recente possono essere rilevati!

Quando navighi in Internet, il tuo browser lascia dietro di sé una scia di impronte digitali. I siti Web possono utilizzare queste impronte per controllare il sistema.

BrowserSpy.dk è un servizio in cui è possibile verificare quali informazioni è possibile raccogliere dal proprio sistema, semplicemente visitando un sito Web.

Karan
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.