В последнии 6 месяцев года 2017, с января до июня, стало явной отнюдь нездоровая (если перейти на qualitative definitions) тенденция в эволюции веб-сайтов. Именно тех веб-сайтов, чья целевая аудитория - состоит на 100% из ново-инет-быдла (не путать с нуво-рюссиш-бандитами) За неимением лучшей формулировки, Блиц ограничит себя лишь этим новоязом. Факты. Изначально, сайт запрашивает информацию с HTML <canvas>. Этот запрос и информация <canvas> - уникальна для каждого отдельно взятого браузера, работающего в отдельно взятой операционной системе и отдельно взятой графической карте. Поставив <canvas> на свою страницу, любой сайт может идентифицировать тебя. Без javascript, без 0-day xploits. Просто один визит на сайт. Сайт не откроется - если <canvas> заблокирован в установках/settings/about:config браузера. Вот эти сайты - vpngate.net,entropay.com,d3.ru,pikabu.ru,txxx.com,meduza.io,dnsleaktest.com - хотят знать больше, чем им положено. Список далеко не полный и собрался за пару дней.
про уникальность canvas-fingerprint - цэ абсолютно true НО это не совсем деанон, а неполная идентификация - идентификация браузера...если имеешь браузер для "черных делишек", через который в свои аккаунты не ходишь, со своих ip не заходишь и ничего особо деанонимизирующего в поиске не ищешь, то это не очень страшно вот font-fingerprinting - тот еще серьёзнее...но, опять же, не так страшен как можно было предположить
Показывай сразу, самые популярные ident строки браузеров, чтобы слиться с толпой. Посмотрю и поставлю (may be) в следующей редакции анонимного браузера. Edit: font-deanon - с этим пока никто не справился. Пока. Вопрос не о том, можно или нельзя убрать font identification. Вопрос - где в 2ГБ сурса Firefox прячется эта опция?
Canvas Blocker есть давно. Генерирует случайный отпечаток при каждом входе на страницу. Естественно, уникальный, но постоянно разный => отслеживание по нему невозможно. Font Fingerprinting — возможность защиты уже есть в Firefox: https://www.ghacks.net/2016/12/28/firefox-52-better-font-fingerprinting-protection/ (хотя список "стандартных" шрифтов придётся вбить самому). Можно бороться и с помощью NoScript, но не всегда удобно. Также стоит обратить внимание на Fluxfonts. Ну а если брать не для "рядового пользователя", а для анонимного браузера, то виртуалка без сторонних шрифтов уже решает проблему. Гораздо более интересный вопрос — как бороться с WebGL 2.0 fingerprint, не отключая собственно WebGL.
с шрифтами и канвой окозалось довольно легко.... есть еще что-нибудь новое приватное интересное, кроме всяких zero-day уязвимостей (от которых, кстати, нормально настроенный файрвол спасает) и стандартных утечек (dns, webrtc, canvas, fonts, flash, plugins, java, vb, silvelight) котрые могут спалить (выдать ip) или просто идентифицировать?
п.с. всякие ETAG, кросс-логин-чек во всяких вк и фэйсбуках не предлагать, как и куки geolocation API, естественно, тоже всякие банальные сканы истории серфинга тоже http://xakep.ru/37967/ ================ это всё не предлагать, т.к. под серые делишки отдельная система с отдельным браузером п.п.с. всякие там local storage и подобное тоже не предлагать, т.к. система отдельная и приват-режимы в ходовых браузерах аккуратно подходят к вопросу чтения\записи в локалсторадж ну это какие-то меди плэй типа того? они ж не деанонят
Вопрос не актуален на сегодня. WebGL и WebGL2 - отключается в firefox простыми коммандами. И включается взад, если хотеть поиграть в игры на HTML5 и WebGL.
Что отключается, это понятно. Хоть настройками, хоть галочкой в NoScript. А сам факт его отключенности пока не считается подозрительным? Всё-таки в современных браузерах уже давно поддерживается по умолчанию...
Не знаю где спросить,не ругайтесь если что. Я совсем нуб так сказать,стоит задача-как обойти фингерпринт на сайт для голосования.Хочу вытянуть свою подругу в топ10,но честным путем это не реально.Топ состоит из фэйков-это точно и они как то накручивают.Голосвание анлим и без реги,24ч 1 раз. Сайт определяет меня с браузера или компа - чтобы я ни делал.А делал -все классические и детские методы(куки,тор,прокси,вебпрокси,подмены ип,фаерфокс расширения,канвасхайды всякие)-ничего не помогает.Все ранво показывает-вы уже проголосовали сегодня.При изучении систем и защит,узнал вот о новом явлении-отпечаток браузера и пк. Если другие участники себе накручивают,значит дыра имеется. Хотелось бы узнать. Подскажите,как то возможно обойти защиту эту и голосовать много раз?
1) перезапускай браузер, каждый раз стартуй его в приват-режиме https://www.howtogeek.com/137466/how-to-always-start-any-browser-in-private-browsing-mode/ 2)используй только крайне анонимные http-proxy, а лучше socksпрокси 3)лучше юзать файрфокс с сок5с-проксями и опцией remote dns
Под детскими методами и имелся в виду-приватный режим)).Нет,все слишком сложно,поэтому я мучаюсь вопросом.Спасибо за ответ.3 пункт посмотрю,благодарю. Еще вчера подключил второй ноут,его тоже определило.То ест все таки по Ип тоже защита стоит. Сайт зарубежный,на девушку месяца.Какая то сложная система стоит у них.
детские+недетские все одномоментно надо применить, чтоб дало повторно голосовать ))) -приватРежим -сокс5 с ремот днс -браузер ограничивай файрволом чтоб он через webRTC не баловал, но вебртц оставь ВКЛ -выключай плагины (если не через них голосует flash может использоваться) -прячь\меняй КАНВУ -МЕНЯЙ ЮЗЕРАГЕНТ каждый раз -МЕНЯЙ СПИСОК ШРИФТОВ https://www.ghacks.net/2016/12/28/firefox-52-better-font-fingerprinting-protection/
для подобного никогда не катило ибо: -выключай плагины (если не через них голосует flash может использоваться) -прячь\меняй КАНВУ -МЕНЯЙ ЮЗЕРАГЕНТ каждый раз -МЕНЯЙ СПИСОК ШРИФТОВ
Ну баш легко можно запилить... и curl' ом через socks5 накручивай себе сколько надо, меняя при этом User-Agent и прочее, хоть GET, хоть POST.
