阅读:4462回复:20
有没有法子禁止使用html5图片:TB2vEDBuXXXXXXMXXXXXXXXXXXX_!!881336826.jpg 新技术带来了新的威胁,说白了就是根据用户系统的特征生成指纹来跟踪,百度,阿里也在2年前使用了,firefox能关闭html5功能吗? Canvas 是 HTML5 中用來繪圖的一個元素,為什麼可以這樣追蹤呢,但是事實就是可以,先來說古一下,這個構想是在 2012 年首度在 “Pixel Perfect: Fingerprinting Canvas in HTML5" 論文中被提出來的構想,並在隨後的論文 The Web Never Forgets 有更詳盡的解釋。 基 本上 Canvas Fingerprinting 的概念就是因為 HTML5 中的 Canvas 這個元素在執行繪圖時,會受到瀏覽器(不同瀏覽器解析 Canvas 的方法不一樣)、瀏覽器設定(有無 3D 加速之類的)、瀏覽器版本、螢幕畫質、系統版本、硬體資訊等等因素而影響,因此即使同一段 Code ,用戶之間生出來的 Canvas 幾乎不可能完全一樣,於是我們就可以運用這種情況,來判斷使用者,而且更糟糕的,即使使用無痕式瀏覽器,因為系統資訊沒變,生出來的 Canvas 也是一樣的,所以理論上幾乎無法防範這種追蹤技術。 But,人生就是要有一個 But 才好玩,這種技術也不是完全無法防止啦,目前 Tor Browser 的作法是如果偵測到疑似在追蹤用戶的 Canvas 就一律返回空白元素,同時也有瀏覽器的外掛可以反追蹤了,但是即使如此,這種追蹤技術還是相當的恐怖。 |
|
最新喜欢:fang55...
|
1楼#
发布于:2016-09-10 21:44
用户被禁言,该主题自动屏蔽! |
|
2楼#
发布于:2016-09-10 21:50
https://panopticlick.eff.org/
Random Agent Spoofer 默认测试wu效 |
|
|
3楼#
发布于:2016-09-10 21:57
|
|
|
4楼#
发布于:2016-09-10 23:55
同去测试了, 结果 do not track 是 no. 这...
|
|
5楼#
发布于:2016-09-11 00:27
什么叫做测试无效?
是指 eff 那个页面显示有唯一指纹? 还是指详细信息里面有显示 canvas 指纹? 还有 怎么会扯到 DNT? |
|
|
6楼#
发布于:2016-09-11 06:22
aaaa007cn:什么叫做测试无效?https://panopticlick.eff.org/和 http://ip-check.info/?lang=en 测试结果不一致,不知道该信哪个了 |
|
|
7楼#
发布于:2016-09-11 07:41
再提供个测试,Found in DB如果为true就是不安全的。
https://www.browserleaks.com/canvas |
|
|
8楼#
发布于:2016-09-11 08:12
> https://panopticlick.eff.org/和 http://ip-check.info/?lang=en 测试结果不一致
测试结果是如何不一致的? 这两个页面信息量都很大 并不仅针对 canvas 指纹这一项 所以你到底是只关心 canvas 指纹这一项?还是浏览器指纹? 另外 canvas 被禁用也是一种指纹可以用于特定某个具体的浏览器客户端 > https://www.browserleaks.com/canvas > Found in DB如果为true就是不安全的。 如果有利用伪造 canvas 指纹数据的扩展 那么 Found in DB 反而是安全的 只要扩展会不定期刷新伪造的 canvas 指纹数据 并且同时一并刷新其他伪造的指纹数据 |
|
|
9楼#
发布于:2016-09-11 09:55
https://panopticlick.eff.org/
这个站我用它自己的反跟踪扩展几次测验结果都不同,有次全绿,隔几分钟又是两个绿所以会迷糊 不清楚你使用什么方法伪造canvas指纹 ,目前找到有效的扩展是canvas-fingerprint-blocker. https://www.browserleaks.com/canvas 图片:jd_fingerprint.JPG |
|
|
10楼#
发布于:2016-09-11 11:41
panopticlick 仔细看它的结果
> Is your browser blocking tracking ads? > Is your browser blocking invisible trackers? > Does your browser unblock 3rd parties that promise to honor Do Not Track? > Does your browser protect from fingerprinting? 并不是全绿就是好 起码第 3 项我是不会让它变绿的 第 4 项结果的计算过程非常复杂,并不单单只参照了 canvas 指纹一项 在我这 即使完全不考虑 Hash of canvas fingerprint 提供的信息 光是 System Fonts + User Agent 就足够在访问过 eff 这个页面的人中特定出我目前使用的浏览器了 而且像我之前说过的 禁止 canvas 一样可以作为特征用来特定 在 AMO 上 伪造 canvas 指纹的概念似乎是 Canvas Defender 最先提出的? https://addons.mozilla.org/en-US/firefox/addon/no-canvas-fingerprinting/ 不过后来其他扩展应该也有实现这个功能 比如曾经被 ghacks 推荐的 CanvasBlocker https://addons.mozilla.org/en-US/firefox/addon/canvasblocker/ 另外 eff 页面有标注 Note: because tracking techniques are complex, subtle, and constantly evolving, Panopticlick does not measure all forms of tracking and protection. 之后又有电池指纹、AudioContext 指纹 可以预见的将来,还有个 WebUSB 可以被滥用 某位前 IQ 少员工甚至曾在某无名论坛自豪地宣称 IQ 少可以通过用户在页面的鼠标移动轨迹来特定具体用户 欢迎来到全员裸体上网的大数据时代 |
|
|
11楼#
发布于:2016-09-12 13:43
|
|
|
12楼#
发布于:2016-09-12 14:52
我看指纹测试还和Browser Plugin有很大关系,就是79507.5个浏览器中只有1个和我结果一样,因此可以用这指纹来比较精确定位我,不过加减插件是不是又是新指纹?不过想动态变指纹是麻烦点
|
|
|
13楼#
发布于:2016-09-12 21:10
所以光变动浏览器指纹的某一个特定特征意义不大
得全部更换 或者直接伪造成数量最大/特征最小的数据来木藏于林 torbrowser 就是直接建议禁用 javascript 禁用插件 然而现在越来越多网站禁用 javascript 就不让你访问 比如垃圾 CloudFlare 之流 NoScript 的控制粒度还是略粗 话说回来 即使 firefox 有 presto opera 那种可以精确禁止每一段 javascript 代码的方式 用来反跟踪还是非常消耗人力的 |
|
|
14楼#
发布于:2016-09-12 23:16
|
|
上一页
下一页