能不能讲解一下这个扩展的设置

https://addons.mozilla.org/zh-CN/firefox/addon/canvasblocker/?src=search

没有在用这个扩展，不过这个扩展对于防止网站通过 canvas 对用户进行指纹跟踪是有很大帮助的。以后这个扩展的应用也会越来越广的。


稍微看了一下 AMO 介绍，里面提到一些设置：
1、block readout API：这个是说屏蔽所有网站（不包括黑白名单内的网站）的 readout API，可能对网页破坏较大。
2、fake readout API：默认设置，伪造 canvas 的 readout API，对网页的破坏较小，又可阻止跟踪。
3、fake an input：网页文字显示时候，所绘制的像素轻微改变，用来避免网站监测到扩展在运行，安全性稍逊。
4、ask for readout API permission：每次网站要调用 readout API 的时候都提醒用户是否允许。
5、block everything：全局屏蔽，无视黑白名单。
6、allow only white list：白名单内的网站允许使用 canvas
7、ask for permission：同第四点，但不同的是第四点只针对 readout API，这个是其他 canvas API
8、block only black list：黑名单里面的网站一律屏蔽
9、allow everything：全局允许，无视黑白名单。

我也是好奇而已，正式版测试了一下https://browserleaks.com/canvas开启扩展和关闭扩展没有任何区别呀（扩展默认设置）

marb：我也是好奇而已，正式版测试了一下https://browserleaks.com/canvas开启扩展和关闭扩展没有任何区别呀（扩展默认设置）回到原帖

我能看到区别
标识符在页面刷新时会改变。
Uniqueness 100% (0 of 258561 user agents have the same signature)
浏览器和操作系统的猜测消失了。

yfdyh000：我能看到区别
标识符在页面刷新时会改变。
Uniqueness 100% (0 of 258561 user agents have the same signature)
浏览器和操作系统的猜测消失了。回到原帖

Signature这个项目有什么作用，好像装了扩展后每次刷新后面的编号会变动

marb：Signature这个项目有什么作用，好像装了扩展后每次刷新后面的编号会变动回到原帖

就是网站用技术根据系统环境计算的一个标识符。
装了扩展后扩展会使环境效应轻微随机化，进而网站无法确定一个唯一标识符来跟踪、关联用户行为。

普通火狐浏览器安装这个扩展后刷新页面后随机可以变化，但是我用tor浏览器测试了一下，在安装这个扩展前后都是
Signature        ✔ 12345（这个数值永远不会变动）
Uniqueness        × False (Tor Browser signature)，如果按你所说tor浏览器的指纹不是非常容易发现吗，每当你去访问一个要取得你指纹的网站，那个网站的后台都会显示这个指纹，而且tor本来用户就少，那是不是非常容易锁定用户呢？而普通浏览器安装这个扩展反而不会被锁定，那么，号称减少指纹做到极致的tor又有什么意义呢。尤其是这个不变的标识符

marb：普通火狐浏览器安装这个扩展后刷新页面后随机可以变化，但是我用tor浏览器测试了一下，在安装这个扩展前后都是
Signature        ✔ 12345（这个数值永远不会变动）
Uniqueness        × False (...回到原帖

印象中Tor浏览器最先canvas的禁止（Firefox等此后跟进），不了解是禁止读取还是固定签名。
如果前者，那么网站表达“× False”正确，并可能是基于其他方面判断为Tor。如果后者，那么Tor浏览器用户都有一个固定签名，在用户量极少的情况下的确该用户呈现为一个唯一个体。如果是后者，那么Tor浏览器可能是在保证功能前提上做了一个统一化签名，而非禁用功能。

marb：普通火狐浏览器安装这个扩展后刷新页面后随机可以变化，但是我用tor浏览器测试了一下，在安装这个扩展前后都是
Signature        ✔ 12345（这个数值永远不会变动）

Uniqueness        × False (...回到原帖

指纹是定位到特定的个体。如果所有torbrowser用户都是一样的特征，那么反而不容易定位到个体。
torbrowser对canvas的防护方式见官方文档 https://www.torproject.org/projects/torbrowser/design/#fingerprinting-defenses
另外torbrowser用户量应该比你想象的要多，见统计数据 https://metrics.torproject.org/webstats-tb.html

yfdyh000：印象中Tor浏览器最先canvas的禁止（Firefox等此后跟进），不了解是禁止读取还是固定签名。
如果前者，那么网站表达“× False”正确，并可能是基于其他方面判断为Tor。如果后者，那么Tor浏览器用户都有一个固定签名，在用户量极...回到原帖

 × False (Tor Browser signature) 表述的是：不是假的（tor浏览器前面）对不？另外应该是统一的签名，我用这个https://raw.githubusercontent.com/ghacksuserjs/ghacks-user.js/master/user.js做了一个测试，这里有很多tor的设置，结果发现标识和官方tor浏览器的标识是一样的，如果是这样的话，很容易确定用户，tor用户在中使用的人肯定非常少，因为tor各种慢和限制几乎没人用

经过在正式版上测试，只要把privacy.resistFingerprinting改为true，就会出现和tor一样的标识，扩展也会失去作用，原理不明白

marb：× False (Tor Browser signature) 表述的是：不是假的（tor浏览器前面）对不？另外应该是统一的签名，我用这个https://raw.githubusercontent.com/ghacksuserjs/ghac...回到原帖

不是，“× False”可能表达 功能不可用，也可能表达 唯一性签名无法获得。
用user.js测试看到“Canvas Support in Your Browser”都是打勾，所以我上面说的禁用功能不正确。Number of Colors=1，是使结果变成一个点。

试了一下，是 privacy.resistFingerprinting 的效果，Firefox 为 Tor 浏览器定制的参数，不过自己也能改来用。所以并不是仅Tor浏览器能用，技术向用户也会改，虽然目前比例仍小，但如果影响不大会更加普及，Firefox好像有引入一个相关的屏蔽功能（页面信息-权限，有canvas相关的一个，不过设置后没看到效果）。此外，Firefox用户本来就很少、其他标识符技术也不少。

那就有些不理解了，按官方说法新版火狐引入privacy.resistFingerprinting参数的目的是增强功能，自己可以开启默认是关闭的，开启的目的是为了更好的防止跟踪，但是开启后
Signature
Uniqueness × False (Tor Browser signature)
Number of Colors这三个参数始终保持不变。那被网站识别的机率会很大，而且开启这个参数后ua会变成固定的Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:60.0) Gecko/20100101 Firefox/60.0，（我考虑要变成这个ua是为了降低指纹数值）可是，由此以来ua也变成固定的了，在加上前面的三个固定参数不是更容易被锁定了吗，更不理解的是user.js文件里明确说明了。不建议使用任何随机更改ua的扩展，大概意思是说如果使用了这样的扩展反而有害。原因就是因为，开启了这个参数。如果这样那这个参数是开启好还是关闭好呢？