<canvas> = fingerprinting = deanon

Discussion in 'Безопасность и Анонимность' started by altblitz, 22 Jul 2017.

  1. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,691
    Likes Received:
    3,145
    Reputations:
    236
    В последнии 6 месяцев года 2017, с января до июня,
    стало явной отнюдь нездоровая (если перейти на qualitative definitions) тенденция в эволюции веб-сайтов.

    Именно тех веб-сайтов, чья целевая аудитория - состоит на 100% из ново-инет-быдла (не путать с нуво-рюссиш-бандитами)
    За неимением лучшей формулировки, Блиц ограничит себя лишь этим новоязом.

    Факты.
    Изначально, сайт запрашивает информацию с HTML <canvas>.
    Этот запрос и информация <canvas> - уникальна для каждого отдельно взятого браузера, работающего в отдельно взятой операционной системе и отдельно взятой графической карте.

    Поставив <canvas> на свою страницу, любой сайт может идентифицировать тебя.
    Без javascript, без 0-day xploits. Просто один визит на сайт.

    Сайт не откроется - если <canvas> заблокирован в установках/settings/about:config браузера.

    Вот эти сайты - vpngate.net,entropay.com,d3.ru,pikabu.ru,txxx.com,meduza.io,dnsleaktest.com - хотят знать больше, чем им положено.
    Список далеко не полный и собрался за пару дней.
     
  2. devton

    devton Elder - Старейшина

    Joined:
    26 Oct 2007
    Messages:
    3,364
    Likes Received:
    5,122
    Reputations:
    48
    про уникальность canvas-fingerprint - цэ абсолютно true

    НО это не совсем деанон, а неполная идентификация - идентификация браузера...если имеешь браузер для "черных делишек", через который в свои аккаунты не ходишь, со своих ip не заходишь и ничего особо деанонимизирующего в поиске не ищешь, то это не очень страшно

    вот font-fingerprinting - тот еще серьёзнее...но, опять же, не так страшен как можно было предположить
     
    Triton_Mgn and altblitz like this.
  3. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,691
    Likes Received:
    3,145
    Reputations:
    236
    Показывай сразу, самые популярные ident строки браузеров, чтобы слиться с толпой.
    Посмотрю и поставлю (may be) в следующей редакции анонимного браузера.

    Edit:
    font-deanon - с этим пока никто не справился. Пока.

    Вопрос не о том, можно или нельзя убрать font identification.
    Вопрос - где в 2ГБ сурса Firefox прячется эта опция?
     
    #3 altblitz, 22 Jul 2017
    Last edited: 22 Jul 2017
  4. Darkhon

    Darkhon Member

    Joined:
    31 Aug 2016
    Messages:
    15
    Likes Received:
    9
    Reputations:
    0
    Canvas Blocker есть давно. Генерирует случайный отпечаток при каждом входе на страницу. Естественно, уникальный, но постоянно разный => отслеживание по нему невозможно. Font Fingerprinting — возможность защиты уже есть в Firefox: https://www.ghacks.net/2016/12/28/firefox-52-better-font-fingerprinting-protection/ (хотя список "стандартных" шрифтов придётся вбить самому). Можно бороться и с помощью NoScript, но не всегда удобно. Также стоит обратить внимание на Fluxfonts. Ну а если брать не для "рядового пользователя", а для анонимного браузера, то виртуалка без сторонних шрифтов уже решает проблему. Гораздо более интересный вопрос — как бороться с WebGL 2.0 fingerprint, не отключая собственно WebGL.
     
    altblitz and devton like this.
  5. devton

    devton Elder - Старейшина

    Joined:
    26 Oct 2007
    Messages:
    3,364
    Likes Received:
    5,122
    Reputations:
    48
    с шрифтами и канвой окозалось довольно легко....

    есть еще что-нибудь новое приватное интересное, кроме всяких zero-day уязвимостей (от которых, кстати, нормально настроенный файрвол спасает) и стандартных утечек (dns, webrtc, canvas, fonts, flash, plugins, java, vb, silvelight) котрые могут спалить (выдать ip) или просто идентифицировать?
     
    quite gray likes this.
  6. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,691
    Likes Received:
    3,145
    Reputations:
    236
    Таки есть - плагин firefox, что не показывает установленные plug-ins.
     
  7. devton

    devton Elder - Старейшина

    Joined:
    26 Oct 2007
    Messages:
    3,364
    Likes Received:
    5,122
    Reputations:
    48
    п.с. всякие ETAG, кросс-логин-чек во всяких вк и фэйсбуках не предлагать, как и куки
    geolocation API, естественно, тоже
    всякие банальные сканы истории серфинга тоже http://xakep.ru/37967/
    ================
    это всё не предлагать, т.к. под серые делишки отдельная система с отдельным браузером

    п.п.с. всякие там local storage и подобное тоже не предлагать, т.к. система отдельная и приват-режимы в ходовых браузерах аккуратно подходят к вопросу чтения\записи в локалсторадж

    ну это какие-то меди плэй типа того? они ж не деанонят
     
    #7 devton, 21 Aug 2017
    Last edited by a moderator: 21 Aug 2017
  8. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,691
    Likes Received:
    3,145
    Reputations:
    236
    Вопрос не актуален на сегодня.
    WebGL и WebGL2 - отключается в firefox простыми коммандами.

    И включается взад, если хотеть поиграть в игры на HTML5 и WebGL.
     
  9. Darkhon

    Darkhon Member

    Joined:
    31 Aug 2016
    Messages:
    15
    Likes Received:
    9
    Reputations:
    0
    Что отключается, это понятно. Хоть настройками, хоть галочкой в NoScript. А сам факт его отключенности пока не считается подозрительным? Всё-таки в современных браузерах уже давно поддерживается по умолчанию...
     
  10. vasin78

    vasin78 Banned

    Joined:
    14 Sep 2017
    Messages:
    6
    Likes Received:
    1
    Reputations:
    0
    Не знаю где спросить,не ругайтесь если что.

    Я совсем нуб так сказать,стоит задача-как обойти фингерпринт на сайт для голосования.Хочу вытянуть свою подругу в топ10,но честным путем это не реально.Топ состоит из фэйков-это точно и они как то накручивают.Голосвание анлим и без реги,24ч 1 раз. Сайт определяет меня с браузера или компа - чтобы я ни делал.А делал -все классические и детские методы(куки,тор,прокси,вебпрокси,подмены ип,фаерфокс расширения,канвасхайды всякие)-ничего не помогает.Все ранво показывает-вы уже проголосовали сегодня.При изучении систем и защит,узнал вот о новом явлении-отпечаток браузера и пк.
    Если другие участники себе накручивают,значит дыра имеется.
    Хотелось бы узнать. Подскажите,как то возможно обойти защиту эту и голосовать много раз?
     
  11. cheburactor

    cheburactor Member

    Joined:
    10 Feb 2017
    Messages:
    114
    Likes Received:
    32
    Reputations:
    0
    Какой сайт?
     
  12. devton

    devton Elder - Старейшина

    Joined:
    26 Oct 2007
    Messages:
    3,364
    Likes Received:
    5,122
    Reputations:
    48
    1) перезапускай браузер, каждый раз стартуй его в приват-режиме
    https://www.howtogeek.com/137466/how-to-always-start-any-browser-in-private-browsing-mode/

    2)используй только крайне анонимные http-proxy, а лучше socksпрокси

    3)лучше юзать файрфокс с сок5с-проксями и опцией remote dns
     
    Veil likes this.
  13. vasin78

    vasin78 Banned

    Joined:
    14 Sep 2017
    Messages:
    6
    Likes Received:
    1
    Reputations:
    0
    Под детскими методами и имелся в виду-приватный режим)).Нет,все слишком сложно,поэтому я мучаюсь вопросом.Спасибо за ответ.3 пункт посмотрю,благодарю.
    Еще вчера подключил второй ноут,его тоже определило.То ест все таки по Ип тоже защита стоит.


    Сайт зарубежный,на девушку месяца.Какая то сложная система стоит у них.
     
  14. devton

    devton Elder - Старейшина

    Joined:
    26 Oct 2007
    Messages:
    3,364
    Likes Received:
    5,122
    Reputations:
    48
    детские+недетские все одномоментно надо применить, чтоб дало повторно голосовать )))
    -приватРежим
    -сокс5 с ремот днс
    -браузер ограничивай файрволом чтоб он через webRTC не баловал, но вебртц оставь ВКЛ
    -выключай плагины (если не через них голосует flash может использоваться)
    -прячь\меняй КАНВУ
    -МЕНЯЙ ЮЗЕРАГЕНТ каждый раз
    -МЕНЯЙ СПИСОК ШРИФТОВ https://www.ghacks.net/2016/12/28/firefox-52-better-font-fingerprinting-protection/
     
  15. erwerr2321

    erwerr2321 Elder - Старейшина

    Joined:
    19 Jun 2015
    Messages:
    4,236
    Likes Received:
    26,248
    Reputations:
    148
    а curl --proxy socks5 , не?
     
    Veil and t0ma5 like this.
  16. Veil

    Veil Banned

    Joined:
    21 May 2015
    Messages:
    2,020
    Likes Received:
    3,349
    Reputations:
    72
    А ТОР + SSH уже не катит?
     
  17. devton

    devton Elder - Старейшина

    Joined:
    26 Oct 2007
    Messages:
    3,364
    Likes Received:
    5,122
    Reputations:
    48
    для подобного никогда не катило ибо:
    -выключай плагины (если не через них голосует flash может использоваться)
    -прячь\меняй КАНВУ
    -МЕНЯЙ ЮЗЕРАГЕНТ каждый раз
    -МЕНЯЙ СПИСОК ШРИФТОВ
     
    quite gray likes this.
  18. Veil

    Veil Banned

    Joined:
    21 May 2015
    Messages:
    2,020
    Likes Received:
    3,349
    Reputations:
    72
    Зачем меняй только ssh клиента. В Тор и так все анонимно стоит нормально по умолчанию.
     
  19. devton

    devton Elder - Старейшина

    Joined:
    26 Oct 2007
    Messages:
    3,364
    Likes Received:
    5,122
    Reputations:
    48
    тор юзерагент динамически меняет?
    тор канву динамически меняет?
     
  20. erwerr2321

    erwerr2321 Elder - Старейшина

    Joined:
    19 Jun 2015
    Messages:
    4,236
    Likes Received:
    26,248
    Reputations:
    148
    Ну баш легко можно запилить...
    и curl' ом через socks5 накручивай себе сколько надо, меняя при этом User-Agent и прочее, хоть GET, хоть POST.
     
    altblitz and Veil like this.