viewtheard
千年狐狸
千年狐狸
  • UID2383
  • 注册日期2005-01-20
  • 最后登录2024-10-31
  • 发帖数2026
  • 经验542枚
  • 威望1点
  • 贡献值420点
  • 好评度23点
  • 社区居民
  • 忠实会员
阅读:4462回复:20

有没有法子禁止使用html5

楼主#
更多 发布于:2016-09-10 21:19

图片:TB2vEDBuXXXXXXMXXXXXXXXXXXX_!!881336826.jpg


新技术带来了新的威胁,说白了就是根据用户系统的特征生成指纹来跟踪,百度,阿里也在2年前使用了,firefox能关闭html5功能吗?

Canvas 是 HTML5 中用來繪圖的一個元素,為什麼可以這樣追蹤呢,但是事實就是可以,先來說古一下,這個構想是在 2012 年首度在 “Pixel Perfect: Fingerprinting Canvas in HTML5" 論文中被提出來的構想,並在隨後的論文 The Web Never Forgets 有更詳盡的解釋。

本上 Canvas Fingerprinting 的概念就是因為 HTML5 中的 Canvas
這個元素在執行繪圖時,會受到瀏覽器(不同瀏覽器解析 Canvas 的方法不一樣)、瀏覽器設定(有無 3D
加速之類的)、瀏覽器版本、螢幕畫質、系統版本、硬體資訊等等因素而影響,因此即使同一段 Code ,用戶之間生出來的 Canvas
幾乎不可能完全一樣,於是我們就可以運用這種情況,來判斷使用者,而且更糟糕的,即使使用無痕式瀏覽器,因為系統資訊沒變,生出來的 Canvas
也是一樣的,所以理論上幾乎無法防範這種追蹤技術。
But,人生就是要有一個 But 才好玩,這種技術也不是完全無法防止啦,目前 Tor Browser 的作法是如果偵測到疑似在追蹤用戶的 Canvas
就一律返回空白元素,同時也有瀏覽器的外掛可以反追蹤了,但是即使如此,這種追蹤技術還是相當的恐怖。

最新喜欢:

fang5566fang55...
My Technical Blog: http://art-technical.blogspot.com/
bugmenot
禁止发言
禁止发言
  • UID36046
  • 注册日期2011-04-19
  • 最后登录2016-12-04
  • 发帖数257
  • 经验180枚
  • 威望0点
  • 贡献值164点
  • 好评度1点
1楼#
发布于:2016-09-10 21:44
用户被禁言,该主题自动屏蔽!
viewtheard
千年狐狸
千年狐狸
  • UID2383
  • 注册日期2005-01-20
  • 最后登录2024-10-31
  • 发帖数2026
  • 经验542枚
  • 威望1点
  • 贡献值420点
  • 好评度23点
  • 社区居民
  • 忠实会员
2楼#
发布于:2016-09-10 21:50
https://panopticlick.eff.org/
 Random Agent Spoofer 默认测试wu效
My Technical Blog: http://art-technical.blogspot.com/
viewtheard
千年狐狸
千年狐狸
  • UID2383
  • 注册日期2005-01-20
  • 最后登录2024-10-31
  • 发帖数2026
  • 经验542枚
  • 威望1点
  • 贡献值420点
  • 好评度23点
  • 社区居民
  • 忠实会员
3楼#
发布于:2016-09-10 21:57
bugmenot:扩展 Random Agent Spoofer 里有一个选项 Disable canvas support(效果未知)
HTML5 可以试着禁掉 media.mediasource.* 等
回到原帖
Disable canvas support开没开效果都一样,DNT也没用了,扩展好像失效了
My Technical Blog: http://art-technical.blogspot.com/
skytalk
热心会员
热心会员
  • UID32994
  • 注册日期2010-06-06
  • 最后登录2023-07-07
  • 发帖数652
  • 经验1061枚
  • 威望3点
  • 贡献值1292点
  • 好评度154点
  • 社区居民
  • 忠实会员
4楼#
发布于:2016-09-10 23:55
同去测试了, 结果 do not track 是 no. 这...
aaaa007cn
千年狐狸
千年狐狸
  • UID23968
  • 注册日期2008-05-03
  • 最后登录2022-03-07
  • 发帖数1924
  • 经验1138枚
  • 威望1点
  • 贡献值232点
  • 好评度164点
5楼#
发布于:2016-09-11 00:27
什么叫做测试无效?
是指 eff 那个页面显示有唯一指纹?
还是指详细信息里面有显示 canvas 指纹?

还有
怎么会扯到 DNT?
viewtheard
千年狐狸
千年狐狸
  • UID2383
  • 注册日期2005-01-20
  • 最后登录2024-10-31
  • 发帖数2026
  • 经验542枚
  • 威望1点
  • 贡献值420点
  • 好评度23点
  • 社区居民
  • 忠实会员
6楼#
发布于:2016-09-11 06:22
aaaa007cn:什么叫做测试无效?
是指 eff 那个页面显示有唯一指纹?
还是指详细信息里面有显示 canvas 指纹?

还有
怎么会扯到 DNT?
回到原帖
https://panopticlick.eff.org/http://ip-check.info/?lang=en 测试结果不一致,不知道该信哪个了
My Technical Blog: http://art-technical.blogspot.com/
viewtheard
千年狐狸
千年狐狸
  • UID2383
  • 注册日期2005-01-20
  • 最后登录2024-10-31
  • 发帖数2026
  • 经验542枚
  • 威望1点
  • 贡献值420点
  • 好评度23点
  • 社区居民
  • 忠实会员
7楼#
发布于:2016-09-11 07:41
再提供个测试,Found in DB如果为true就是不安全的。
https://www.browserleaks.com/canvas
My Technical Blog: http://art-technical.blogspot.com/
aaaa007cn
千年狐狸
千年狐狸
  • UID23968
  • 注册日期2008-05-03
  • 最后登录2022-03-07
  • 发帖数1924
  • 经验1138枚
  • 威望1点
  • 贡献值232点
  • 好评度164点
8楼#
发布于:2016-09-11 08:12
> https://panopticlick.eff.org/http://ip-check.info/?lang=en 测试结果不一致
测试结果是如何不一致的?
这两个页面信息量都很大
并不仅针对 canvas 指纹这一项
所以你到底是只关心 canvas 指纹这一项?还是浏览器指纹?
另外
canvas 被禁用也是一种指纹可以用于特定某个具体的浏览器客户端

> https://www.browserleaks.com/canvas
> Found in DB如果为true就是不安全的。
如果有利用伪造 canvas 指纹数据的扩展
那么 Found in DB 反而是安全的
只要扩展会不定期刷新伪造的 canvas 指纹数据
并且同时一并刷新其他伪造的指纹数据
viewtheard
千年狐狸
千年狐狸
  • UID2383
  • 注册日期2005-01-20
  • 最后登录2024-10-31
  • 发帖数2026
  • 经验542枚
  • 威望1点
  • 贡献值420点
  • 好评度23点
  • 社区居民
  • 忠实会员
9楼#
发布于:2016-09-11 09:55
 https://panopticlick.eff.org/
这个站我用它自己的反跟踪扩展几次测验结果都不同,有次全绿,隔几分钟又是两个绿所以会迷糊
不清楚你使用什么方法伪造canvas指纹 ,目前找到有效的扩展是canvas-fingerprint-blocker.
https://www.browserleaks.com/canvas

图片:jd_fingerprint.JPG

My Technical Blog: http://art-technical.blogspot.com/
aaaa007cn
千年狐狸
千年狐狸
  • UID23968
  • 注册日期2008-05-03
  • 最后登录2022-03-07
  • 发帖数1924
  • 经验1138枚
  • 威望1点
  • 贡献值232点
  • 好评度164点
10楼#
发布于:2016-09-11 11:41
panopticlick 仔细看它的结果
> Is your browser blocking tracking ads?
> Is your browser blocking invisible trackers?
> Does your browser unblock 3rd parties that promise to honor Do Not Track?
> Does your browser protect from fingerprinting?
并不是全绿就是好
起码第 3 项我是不会让它变绿的
第 4 项结果的计算过程非常复杂,并不单单只参照了 canvas 指纹一项
在我这
即使完全不考虑 Hash of canvas fingerprint 提供的信息
光是 System Fonts + User Agent 就足够在访问过 eff 这个页面的人中特定出我目前使用的浏览器了
而且像我之前说过的
禁止 canvas 一样可以作为特征用来特定

在 AMO 上
伪造 canvas 指纹的概念似乎是 Canvas Defender 最先提出的?
https://addons.mozilla.org/en-US/firefox/addon/no-canvas-fingerprinting/
不过后来其他扩展应该也有实现这个功能
比如曾经被 ghacks 推荐的 CanvasBlocker
https://addons.mozilla.org/en-US/firefox/addon/canvasblocker/

另外
eff 页面有标注
Note: because tracking techniques are complex, subtle, and constantly evolving, Panopticlick does not measure all forms of tracking and protection.

之后又有电池指纹、AudioContext 指纹
可以预见的将来,还有个 WebUSB 可以被滥用 谷歌大法好喂你吃屎
某位前 IQ 少员工甚至曾在某无名论坛自豪地宣称 IQ 少可以通过用户在页面的鼠标移动轨迹来特定具体用户

欢迎来到全员裸体上网的大数据时代
viewtheard
千年狐狸
千年狐狸
  • UID2383
  • 注册日期2005-01-20
  • 最后登录2024-10-31
  • 发帖数2026
  • 经验542枚
  • 威望1点
  • 贡献值420点
  • 好评度23点
  • 社区居民
  • 忠实会员
11楼#
发布于:2016-09-12 13:43
aaaa007cn:panopticlick 仔细看它的结果
> Is your browser blocking tracking ads?
> Is your browser blocking invisible trackers?
> Does y...
回到原帖
不经过用户许可,都是非法的,无效的
My Technical Blog: http://art-technical.blogspot.com/
Cye3s
千年狐狸
千年狐狸
  • UID155
  • 注册日期2004-11-25
  • 最后登录2024-09-19
  • 发帖数1322
  • 经验95枚
  • 威望0点
  • 贡献值34点
  • 好评度14点
  • 社区居民
  • 忠实会员
12楼#
发布于:2016-09-12 14:52
我看指纹测试还和Browser Plugin有很大关系,就是79507.5个浏览器中只有1个和我结果一样,因此可以用这指纹来比较精确定位我,不过加减插件是不是又是新指纹?不过想动态变指纹是麻烦点
我很懒...
aaaa007cn
千年狐狸
千年狐狸
  • UID23968
  • 注册日期2008-05-03
  • 最后登录2022-03-07
  • 发帖数1924
  • 经验1138枚
  • 威望1点
  • 贡献值232点
  • 好评度164点
13楼#
发布于:2016-09-12 21:10
所以光变动浏览器指纹的某一个特定特征意义不大
得全部更换

或者直接伪造成数量最大/特征最小的数据来木藏于林

torbrowser 就是直接建议禁用 javascript 禁用插件

然而现在越来越多网站禁用 javascript 就不让你访问
比如垃圾 CloudFlare 之流

NoScript 的控制粒度还是略粗
话说回来
即使 firefox 有 presto opera 那种可以精确禁止每一段 javascript 代码的方式
用来反跟踪还是非常消耗人力的
凭枰
狐狸大王
狐狸大王
  • UID32865
  • 注册日期2010-05-17
  • 最后登录2021-08-29
  • 发帖数536
  • 经验489枚
  • 威望1点
  • 贡献值226点
  • 好评度50点
  • 社区居民
  • 忠实会员
14楼#
发布于:2016-09-12 23:16
aaaa007cn:panopticlick 仔细看它的结果
> Is your browser blocking tracking ads?
> Is your browser blocking invisible trackers?
> Does y...
回到原帖
这两个扩展有何区别?
上一页
游客

返回顶部