Web siteleri tarayıcınız / bilgisayarınız hakkında ne kadar bilgi alabilir?

41

Www.whatsmyip.org sitesinde gösterilen bilgilerin, bir web sunucusunun bir web ziyaretçisinden alabileceği maksimum bilgi miktarı olup olmadığını belirlemeye çalışıyorum . Bu şekilde pasif olarak kullanıcıdan daha fazla bilgi alabilecek başka siteler var mı?

Port-sniffing ya da kullanıcıdan gelen herhangi bir etkileşimden bahsetmiyorum, sadece bir sunucunun 'aptal' bir ziyaretten alabileceği bilgilerden.

Bu soru Haftanın Süper Kullanıcısı Sorusuydu . Daha fazla ayrıntı için blog girişini
okuyun veya bloga kendiniz katkıda

browser  website  internet-security 
Pickledegg
kaynak

Yanıtlar:

34

Dahası var: Elektronik Cephe Vakfı (EFF) Panopticlick adında ve aynı bilgiyi gösteren ancak ek olarak kurulu yazı tiplerini tarayan bir araç çıkardı .

Yüklü fontlar, bir veya iki eklemeye başlar başlamaz muhtemelen en belirleyici bilgi parçasıdır. Dışarıdaki fontların miktarı nedeniyle, aynı font kümesinin iki farklı bilgisayarda olması pek mümkün değildir. (Farklı kişiler tarafından kullanıldığı sürece)

Düzenleme (yorumlardan): Buna karşı bir önlem, ya JavaScript'i devre dışı bırakmaktır (örneğin NoScript gibi bir eklenti aracılığıyla) ya da tarayıcıdaki hem Java hem de Flash eklentilerini devre dışı bırakmaktır, çünkü bilgilerin en az birinin çıkarılması gerekir.

Baarn
kaynak
2
Bu, bilgilerin bazılarının çıkarılması için Java'yı gerektirir (ve sitede Java izin verme istemini reddederseniz çok az olur) - OP testi testi, pasif araçları kullanarak çok daha fazla toplanır.
PhonicUK
1
Java gerektirmez, JavaScript gerektirir. Çoğu kişi, tarayıcılarına yüklü NoScript gibi bir eklenti içermez, bu nedenle çoğu durumda tüm bilgiler çıkarılabilir. Bu tür taramalar yapan siteler normalde kullanıcıya izin verip vermediklerini sormaz.
Baarn
2
Evet o does it yazı denetimi yapan bir java uygulaması vardır, kullanım java. Chrome, uygulamanın çalışmasına izin vermek isteyip istemediğiniz konusunda sayfayı ziyaret ettiğinizde sizi uyarır. Sayfada bir inceleme elemanı yapın; görüyorsunuz<applet codebase="java" code="fonts.class" id="javafontshelper" name="javafontshelper" mayscript="true" width="1" height="1"></applet>
PhonicUK
1
@Indrek Bunu onaylayabilirim, hem Java hem de Flash'ı devre dışı bıraktıktan sonra yazı tipi ayıklanamaz.
Baarn
2
Java ile yapamıyorsa, bunun yerine Flash kullanır. Hem flash'ı hem java'yı devre dışı bırakırsanız, sadece "Flash veya Java fontu algılanmadı" veriyor. Sadece Javascript kullanarak fontların listesini bulamıyorsunuz. Kullanıcıdan herhangi bir etkileşim gerektirmediği için pasif olduğu kabul edilir, ancak bunun için ekstralar hala gereklidir.
PhonicUK
9

Nasıl anladılar?

Pasif tanımlanabilir bilgiler çoğunlukla iletişim paketlerinin başlıklarından toplanır.

Bir tarayıcı bir URL istediğinde, bu istekler birkaç OSI modeli katmanından ve birkaç ağ protokolünden geçer. HTTP ve TCP / IP gibi üst düzey protokoller muhtemelen bu web sitesinde görüntülenen bilgilerin çoğunu sağlar. Bu bilgiler genellikle bir paket başlığında saklanır ve sunucuların anlamalarına yardımcı olmak için orjinal olarak yerleştirilmiştir: ortamınız için bilginin en iyi gösterimi nedir.

Geçerli HTTP başlıklarının kullanıcı dostu bir listesine Wikipedia'dan ulaşılabilir . Daha teknik bir referans RFC 2616 Başlık Alan Tanımları veya RFC 2616'nın kendisidir, bakınız bölüm 14.

Gizliliğinizi nasıl korursunuz?

Bir kullanıcıyı izlemek için kullanılan çok popüler bir teknik, belirli bir tanımlama bilgisidir - bu, reklamverenlerin size hangi reklamı göstereceğini bilmesidir (bu beni çok dikkatli yapar). Sorumun cevaplarına bakın: İzleme çerezleri nasıl kaldırılır ? Cevaplar aslında diğer izleme tekniklerine karşı daha muhtemel savunmaları kapsamaktadır.

Çevrimiçi olarak isimsiz kalmanın daha güvenli bir yolu, biri TOR olan bazı özel güvenlik projeleri kullanmaktır .

Oleksii
kaynak
8

Bilgi açısından, Java / Flash kullanmadan pasif olarak elde edebilirsiniz - bu oldukça ayrıntılı.

Belki bir JavaScript kıyaslaması kullanarak bilgisayar performansını tahmin etmek gibi şeyler yapabilirsiniz, ama gerçekten bu noktada zorluyorsunuz.

PhonicUK
kaynak
7

Eğer O sayfa gerçekten çok göstermiyor basitçe inkar , eklentilerin çalışması için tarayıcı istemlerini konum tespitini vb izin

Ana bilgisayar adı, IP adresi vb. Bir proxy üzerinden kolayca gizlenebilir ve tarayıcı / işletim sistemi bilgileri, uzantılar vb. Yoluyla kolayca taklit edilebilir.

Sonunda, üçüncü taraf eklentileri kurup izin vermediğiniz sürece, web siteleri çok fazla bilgi toplayamazlar çünkü tarayıcılar bir sisteme ne kadar erişime sahip olduklarını sınırlamak için özel olarak tasarlanmıştır . Sitelerin veri toplamak için kullandığı en yaygın araç çerezlerdir, ancak ne kadar rapor verebileceklerinin de sınırları vardır.

Bir sitenin sisteminize sınırsız erişebilmesinin tek gerçek yolu, tarayıcıda veya eklentilerinden birinde bir güvenlik açığından yararlanmaya çalışmaktır, ancak bu durumu olabildiğince az yükleyerek ve güncel tutarak bile azaltabilirsiniz .

Synetech
kaynak
5

Önceki cevapların listelemediği ekstra bir şey var:

Bir web sitesi, ziyaret ettiğiniz diğer web sitelerini izleyebilir (tarama geçmişinizi en son silmenizden önce).

Nasıl oldu?

Tarayıcınız, onları daha önce ziyaret edip etmediğinize bağlı olarak farklı renklere sahiptir. Bir web sitesi, çok sayıda tanınmış web sitesinin büyük bir listesini yapabilir (bu siteyi ziyaret edip etmediğinizi bilmek ister) ve bu listeyi kullanıcının göremeyeceği bir şekilde görüntüleyebilir (bir resmin arkasına gizlenmiş, yazı tipi ile arka planla aynı renkte olan 1 piksel büyüklüğünde, vb.) Artık bir komut dosyası listenin tarayıcı tarafından "nasıl görüntülendiğini" tarar ve hangisinin ziyaret edildiğini bilir.

vsz
kaynak
1
Bunu daha önce duymuştum, ancak artık mümkün olmadığını düşünüyorum.
Baarn
Bugünlerde (2012) modern bir tarayıcı buna izin verdiğinde, ciddi bir güvenlik açığı olarak görülüyor. Örneğin, geliştiriciler bu istismara karşı savunmasız olduklarını fark ettiklerinde, Firefox 16’nın bir beta sürümü (?) Çıkarıldı. Bu, bir haber olacağı için yeterince ciddiye alınabileceğini
düşündü
5

Sadece bu siteyi buldum, yukarıda belirtilenleri görmedim: http://browserspy.dk Çok ilginç, az söylemek!

BrowserSpy.dk, tarayıcınızın kendiniz ve sisteminiz hakkında ne kadar bilgi gösterdiğini görebileceğiniz yerdir.

Ziyaret ettiğiniz tüm web sitelerinin hangi fontları yüklediğinizi bulabildiğini biliyor muydunuz?

Bir dizi programın kurulu olup olmadığını öğrenmek de mümkündür. Bunlar arasında Adobe Reader, OpenOffice.org, Google Chrome ve Microsoft Silverlight bulunur. Belki de en son ziyaret ettiğiniz siteler bile tespit edilebilir!

İnternette gezinirken tarayıcınız dijital ayak izlerinin arkasında kalıyor. Web siteleri, sisteminizi kontrol etmek için bu ayak izlerini kullanabilir.

BrowserSpy.dk, yalnızca bir web sitesini ziyaret ederek sisteminizden toplayabileceğiniz bilgilerin ne olduğunu kontrol edebileceğiniz bir hizmettir.

Karan
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.