fang5566
管理员
管理员
  • UID3719
  • 注册日期2005-03-07
  • 最后登录2017-02-27
  • 发帖数16372
  • 经验3043枚
  • 威望5点
  • 贡献值2916点
  • 好评度617点
  • 社区居民
  • 最爱沙发
  • 忠实会员
  • 终身成就
阅读:523回复:8

[FDE] Firefox 52.0a 增强避免被字体指纹跟踪的保护

楼主#
更多 发布于:2016-12-30 12:13
在浏览器和网站连接获取信息的过程中,网站可以使用指纹(fingerprint)技术来跟踪用户获取用户的使用信息,这些指纹技术包括字体指纹,flash 指纹,cookies 指纹等等,目的是获取信息以便为用户建立一套个人配置(profile)以便更好跟踪用户。

其中,字体指纹跟踪就是网站通过和你建立连接后获取你系统上所有的字体信息,它是通过一系列 js 代码获取的,而非 Adobe Flash 的字体指纹跟踪。

你可以进入 BrowserprintPanopticlick 网站查看你被指纹跟踪了哪些信息。



Firefox 52.0a 带来更好的避免被字体跟踪的保护,现在浏览器不会返回给网站你系统所有的字体信息,只会返回你想要的那些字体白名单。进入 about:config:
新建一个字符串 font.system.whitelist,将想要的字体名称添加进去即可。

这样再打开这个测试网站,就会只返回给网站你想要的白名单内的字体。




https://bugzilla.mozilla.org/show_bug.cgi?id=1121643
http://www.ghacks.net/2016/12/28/firefox-52-better-font-fingerprinting-protection/

最新喜欢:

warbwarb
Firefox More than meets your experience
warb
火狐狸
火狐狸
  • UID51578
  • 注册日期2015-10-28
  • 最后登录2017-02-24
  • 发帖数135
  • 经验164枚
  • 威望0点
  • 贡献值182点
  • 好评度2点
1楼#
发布于:2016-12-30 15:23
按你说的去https://panopticlick.eff.org/测试了一下。表示数据太多似乎看不懂,比如表格里显示的数值什么样的情况说明你的流浪器很安全,楼主要是能给详细介绍一下就好了。
warb
火狐狸
火狐狸
  • UID51578
  • 注册日期2015-10-28
  • 最后登录2017-02-24
  • 发帖数135
  • 经验164枚
  • 威望0点
  • 贡献值182点
  • 好评度2点
2楼#
发布于:2016-12-30 15:34
目的是获取信息以便为用户建立一套个人配置(profile)以便更好跟踪用户。

要是像楼主说的这样,随机更改其中任何一个参数,那么网站的跟踪目的不就达不到了吗?比如更改ua,
alanfly
千年狐狸
千年狐狸
  • UID31035
  • 注册日期2009-11-10
  • 最后登录2017-02-28
  • 发帖数2535
  • 经验365枚
  • 威望1点
  • 贡献值116点
  • 好评度66点
  • 社区居民
  • 忠实会员
3楼#
发布于:2016-12-30 15:40
有点麻烦,一般用户不会折腾这个。  
而且会影响字体显示吧,设置不好导致字库不全或者页面字体单调。
warb
火狐狸
火狐狸
  • UID51578
  • 注册日期2015-10-28
  • 最后登录2017-02-24
  • 发帖数135
  • 经验164枚
  • 威望0点
  • 贡献值182点
  • 好评度2点
4楼#
发布于:2016-12-30 17:50
Firefox 52.0a 带来更好的避免被字体跟踪的保护,现在浏览器不会返回给网站你系统所有的字体信息,只会返回你想要的那些字体白名单。



看起来高达上,实际上是搬起石头砸自己的脚。多数人使用浏览器都是默认设置,尤其是哪所谓的字体隐私。那么网站接受到的浏览器的字体信息都是默认的。那么网站怎么确定谁是谁。如那个网站所言,搞个白名单,让网站知道你与众不同。。???
都是去银行的路上你如何分辨谁是打算抢银行的,谁是要去办理正常业务的?现在有人告诉你,打算抢银行就带上面罩然后混在去银行的人们中间,这样就被保护了?请问。是不是我理解错了??
aaaa007cn
千年狐狸
千年狐狸
  • UID23968
  • 注册日期2008-05-03
  • 最后登录2017-02-28
  • 发帖数1561
  • 经验879枚
  • 威望1点
  • 贡献值200点
  • 好评度109点
5楼#
发布于:2016-12-30 21:14
alanfly:有点麻烦,一般用户不会折腾这个。  
而且会影响字体显示吧,设置不好导致字库不全或者页面字体单调。
回到原帖
我觉得这应该比照之前对电池电量 api 的处理
https://www.firefox.net.cn/read-53842

不影响本地显示
只返回固定的假信息给那些手脚不干净的网站
alanfly
千年狐狸
千年狐狸
  • UID31035
  • 注册日期2009-11-10
  • 最后登录2017-02-28
  • 发帖数2535
  • 经验365枚
  • 威望1点
  • 贡献值116点
  • 好评度66点
  • 社区居民
  • 忠实会员
6楼#
发布于:2016-12-30 22:06
aaaa007cn:我觉得这应该比照之前对电池电量 api 的处理
https://www.firefox.net.cn/read-53842

不影响本地显示
只返回固定的假信息给那些手脚不干净的网站
回到原帖
电量显示不是必要的,可以直接移除。  
字体列表这个不知道是否会影响本地显示,可以砍掉是最好的。
维持恶意网站名单挺麻烦的,而且隐私保护浏览器做太多了也不好,容易被广告商抵制。浏览器提供功能或者api,由用户设置和实现比较好。
aaaa007cn
千年狐狸
千年狐狸
  • UID23968
  • 注册日期2008-05-03
  • 最后登录2017-02-28
  • 发帖数1561
  • 经验879枚
  • 威望1点
  • 贡献值200点
  • 好评度109点
7楼#
发布于:2017-01-01 19:28
alanfly:电量显示不是必要的,可以直接移除。  
字体列表这个不知道是否会影响本地显示,可以砍掉是最好的。
维持恶意网站名单挺麻烦的,而且隐私保护浏览器做太多了也不好,容易被广告商抵制。浏览器提供功能或者api,由用户设置和实现比较好。
回到原帖
ok 那就换个栗子
著名的 a:visited 伪类
https://developer.mozilla.org/en-US/docs/Web/CSS/Privacy_and_the_:visited_selector

之前没说清楚
并不是维护一份黑名单
而是对所有网站统一返回无法用于追踪的伪造信息
事实上
我想不到对于正常的网页有哪些合理的理由一定需要获取客户端字体信息的
会对这个属性感兴趣的页面必然有不良意图
如果提供用户可定制的选项
那么错误设置了不寻常的值的用户反而更容易被跟踪
所以由浏览器统一提供更合适
alanfly
千年狐狸
千年狐狸
  • UID31035
  • 注册日期2009-11-10
  • 最后登录2017-02-28
  • 发帖数2535
  • 经验365枚
  • 威望1点
  • 贡献值116点
  • 好评度66点
  • 社区居民
  • 忠实会员
8楼#
发布于:2017-01-01 20:12
aaaa007cn:ok 那就换个栗子
著名的 a:visited 伪类
https://developer.mozilla.org/en-US/docs/Web/CSS/Privacy_and_the_:visited_selector

之前没说清楚
并不...
回到原帖
不影响字体显示由浏览器堵上隐私漏洞最好,就没必要交由用户设置。
游客

返回顶部