Quanta informação os sites podem obter sobre o seu navegador / PC?

41

Estou tentando determinar se as informações mostradas em www.whatsmyip.org são a quantidade máxima absoluta de informações que um servidor da web pode obter de um visitante da web. Existem outros sites capazes de obter mais informações passivamente do usuário assim?

Não estou falando sobre detecção de porta ou qualquer tipo de interação do usuário, apenas as informações que um servidor pode obter de uma visita "burra".

Esta pergunta foi uma pergunta da semana para superusuários .
Leia a entrada do blog para obter mais detalhes ou contribua com o blog você mesmo

browser website internet-security Pickledegg
fonte

Respostas:

34

Há mais: a Electronic Frontier Foundation (EFF) criou uma ferramenta chamada Panopticlick, que mostra principalmente as mesmas informações, mas também verifica as fontes instaladas.

As fontes instaladas são provavelmente as informações mais identificadoras assim que você começa a adicionar uma ou duas. Só por causa da quantidade de fontes disponíveis, é improvável que tenha o mesmo conjunto de fontes em dois computadores diferentes. (Desde que sejam utilizados por pessoas diferentes)

Editar (a partir de comentários): uma contramedida é desativar o JavaScript (por meio de um complemento como NoScript, por exemplo) ou desativar os plug-ins Java e Flash no navegador, pois é necessário pelo menos um deles para extrair as informações.

Baarn
fonte
2
Isso requer Java para extrair algumas de suas informações (e fica muito pouco se você recusar o prompt para permitir Java no site) - o teste OP vinculado reúne muito mais usando meios passivos.
PhonicUK 5/09/12
11
Não requer Java, requer JavaScript. A maioria das pessoas não possui um complemento como o NoScript instalado no navegador, portanto, na maioria dos casos, todas as informações podem ser extraídas. Os sites que fazem esse tipo de verificação normalmente não perguntam ao usuário se estão autorizados a fazê-lo.
Baarn
2
Sim, faz uso java, tem um applet java que faz a verificação da fonte. O Chrome até pergunta quando você visita a página se deseja ou não permitir que o applet seja executado. Fazer uma inspecionar elemento na página e você vê<applet codebase="java" code="fonts.class" id="javafontshelper" name="javafontshelper" mayscript="true" width="1" height="1"></applet>
PhonicUK
11
@ Indrek, posso confirmar isso, assim que o Java e o Flash estiverem desativados, nenhuma fonte poderá ser extraída.
Baarn
2
Se não puder fazê-lo via Java, usará o Flash. Se você desabilitar o flash e o java, apenas "Não há fontes Flash ou Java detectadas". Você não pode obter a lista de fontes apenas usando Javascript. É passivo, até o momento, que não exija nenhuma interação do usuário, mas ainda são necessários extras para isso.
PhonicUK 5/09/12
9

Como eles conseguem isso?

Informações passivas identificáveis ​​são coletadas principalmente dos cabeçalhos dos pacotes de comunicação.

Quando um navegador solicita uma URL, essas solicitações passam por várias camadas do modelo OSI e vários protocolos de rede. Os protocolos de nível superior, como HTTP e TCP / IP, provavelmente fornecem a maioria das informações exibidas nesse site. Essas informações geralmente são armazenadas em um cabeçalho de pacote e foram originalmente incorporadas para ajudar os servidores a entender: qual é a melhor representação das informações para o seu ambiente.

Uma lista amigável dos cabeçalhos HTTP atuais está disponível na Wikipedia . Uma referência mais técnica é a RFC 2616 Header Field Definitions ou a própria RFC 2616 , consulte a seção 14.

Como proteger sua privacidade?

Outra técnica muito popular para rastrear um usuário é por meio de cookie específico - é assim que os fornecedores de anúncios sabem qual anúncio exibir (o que me deixa muito cauteloso). Veja as respostas para minha pergunta: Como remover os cookies de rastreamento . As respostas realmente cobrem muito mais defesas possíveis contra outras técnicas de rastreamento.

Talvez uma maneira mais segura de permanecer anônimo online seja usar alguns projetos de segurança dedicados, um dos quais é o TOR .

oleksii
fonte
8

Em termos de informações, você pode obter passivamente sem usar Java / Flash - isso é bastante exaustivo.

Talvez você possa fazer coisas como estimar o desempenho do PC usando uma referência de JavaScript, mas está realmente pressionando nesse ponto.

PhonicUK
fonte
7

Essa página não mostra muito se você simplesmente negar que o navegador solicite a execução de plug-ins, permita a detecção de local etc.

O nome do host, o endereço IP etc. podem ser facilmente ocultados por meio de um proxy, e as informações do navegador / SO podem ser facilmente falsificadas por meio de extensões.

No final, a menos que você instale e permita plugins de terceiros, os sites não poderão coletar muitas informações porque os navegadores são projetados especificamente para limitar a quantidade de acesso que eles têm ao sistema. A ferramenta mais comum que os sites usam para coletar dados são os cookies, mas há limites para o quanto eles também podem relatar.

A única maneira real de um site obter acesso irrestrito ao seu sistema é tentar explorar uma vulnerabilidade no navegador ou em um de seus plug-ins, mas você pode atenuar isso instalando o mínimo possível e mantendo-os atualizados .

Synetech
fonte
5

Há algo a mais que as respostas anteriores não listam:

Um site pode rastrear quais outros sites você visitou (antes da última vez que você apagou seu histórico de navegação).

Como isso é feito?

As cores do seu navegador são vinculadas de maneira diferente, dependendo de você as ter visitado antes ou não. Um site pode fazer uma grande lista de muitos sites conhecidos (dos quais o site deseja saber se você os visitou) e exibir essa lista de uma maneira que o usuário não possa vê-la (oculta por trás de uma imagem, com uma fonte tamanho de 1 pixel, com a mesma cor do plano de fundo etc.) Agora, um script verifica como a lista é "exibida" pelo navegador e pode saber quais deles foram visitados.

vsz
fonte
11
Já ouvi falar disso antes, mas acho que não é mais possível.
Baarn
Hoje em dia (2012), quando um navegador moderno permite isso, é tratado como uma séria vulnerabilidade de segurança. Por exemplo, uma versão beta (?) Do Firefox 16 foi lançada recentemente quando os desenvolvedores perceberam que estavam vulneráveis ​​a essa exploração. Este foi considerado um near-miss bastante sério para ser uma notícia: bbc.co.uk/news/technology-19909106
user56reinstatemonica8
5

Acabei de encontrar este site, não o vi mencionado acima: http://browserspy.dk Bastante interessante, para dizer o mínimo!

BrowserSpy.dk é o lugar onde você pode ver quantas informações seu navegador revela sobre você e seu sistema.

Você sabia que todos os sites que você visita podem descobrir quais fontes você instalou?

Também é possível descobrir se você possui vários programas instalados. Isso inclui o Adobe Reader, OpenOffice.org, Google Chrome e Microsoft Silverlight. Talvez até os sites que você visitou recentemente possam ser detectados!

Quando você navega pela Internet, seu navegador deixa para trás um rastro de pegadas digitais. Os sites podem usar essas pegadas para verificar seu sistema.

O BrowserSpy.dk é um serviço onde você pode verificar exatamente quais informações são possíveis de coletar do seu sistema, apenas visitando um site.

Karan
fonte