|
阅读:2673回复:8
[FDE] Firefox 52.0a 增强避免被字体指纹跟踪的保护
在浏览器和网站连接获取信息的过程中,网站可以使用指纹(fingerprint)技术来跟踪用户获取用户的使用信息,这些指纹技术包括字体指纹,flash 指纹,cookies 指纹等等,目的是获取信息以便为用户建立一套个人配置(profile)以便更好跟踪用户。
其中,字体指纹跟踪就是网站通过和你建立连接后获取你系统上所有的字体信息,它是通过一系列 js 代码获取的,而非 Adobe Flash 的字体指纹跟踪。 你可以进入 Browserprint 或 Panopticlick 网站查看你被指纹跟踪了哪些信息。 
Firefox 52.0a 带来更好的避免被字体跟踪的保护,现在浏览器不会返回给网站你系统所有的字体信息,只会返回你想要的那些字体白名单。进入 about:config: 新建一个字符串 font.system.whitelist,将想要的字体名称添加进去即可。 这样再打开这个测试网站,就会只返回给网站你想要的白名单内的字体。
https://bugzilla.mozilla.org/show_bug.cgi?id=1121643 http://www.ghacks.net/2016/12/28/firefox-52-better-font-fingerprinting-protection/ |
|
最新喜欢: warb
|
|
1楼#
发布于:2016-12-30 15:23
按你说的去https://panopticlick.eff.org/测试了一下。表示数据太多似乎看不懂,比如表格里显示的数值什么样的情况说明你的流浪器很安全,楼主要是能给详细介绍一下就好了。
|
|
|
2楼#
发布于:2016-12-30 15:34
目的是获取信息以便为用户建立一套个人配置(profile)以便更好跟踪用户。
要是像楼主说的这样,随机更改其中任何一个参数,那么网站的跟踪目的不就达不到了吗?比如更改ua, |
|
|
3楼#
发布于:2016-12-30 15:40
有点麻烦,一般用户不会折腾这个。
而且会影响字体显示吧,设置不好导致字库不全或者页面字体单调。 |
|
|
4楼#
发布于:2016-12-30 17:50
Firefox 52.0a 带来更好的避免被字体跟踪的保护,现在浏览器不会返回给网站你系统所有的字体信息,只会返回你想要的那些字体白名单。
看起来高达上,实际上是搬起石头砸自己的脚。多数人使用浏览器都是默认设置,尤其是哪所谓的字体隐私。那么网站接受到的浏览器的字体信息都是默认的。那么网站怎么确定谁是谁。如那个网站所言,搞个白名单,让网站知道你与众不同。  。???
都是去银行的路上你如何分辨谁是打算抢银行的,谁是要去办理正常业务的?现在有人告诉你,打算抢银行就带上面罩然后混在去银行的人们中间,这样就被保护了?请问。是不是我理解错了?? |
|
|
5楼#
发布于:2016-12-30 21:14
alanfly:有点麻烦,一般用户不会折腾这个。我觉得这应该比照之前对电池电量 api 的处理 https://www.firefox.net.cn/read-53842 不影响本地显示 只返回固定的假信息给那些手脚不干净的网站 |
|
|
|
6楼#
发布于:2016-12-30 22:06
aaaa007cn:我觉得这应该比照之前对电池电量 api 的处理电量显示不是必要的,可以直接移除。 字体列表这个不知道是否会影响本地显示,可以砍掉是最好的。 维持恶意网站名单挺麻烦的,而且隐私保护浏览器做太多了也不好,容易被广告商抵制。浏览器提供功能或者api,由用户设置和实现比较好。 |
|
|
7楼#
发布于:2017-01-01 19:28
alanfly:电量显示不是必要的,可以直接移除。ok 那就换个栗子 著名的 a:visited 伪类 https://developer.mozilla.org/en-US/docs/Web/CSS/Privacy_and_the_:visited_selector 之前没说清楚 并不是维护一份黑名单 而是对所有网站统一返回无法用于追踪的伪造信息 事实上 我想不到对于正常的网页有哪些合理的理由一定需要获取客户端字体信息的 会对这个属性感兴趣的页面必然有不良意图 如果提供用户可定制的选项 那么错误设置了不寻常的值的用户反而更容易被跟踪 所以由浏览器统一提供更合适 |
|
|
|
8楼#
发布于:2017-01-01 20:12
aaaa007cn:ok 那就换个栗子不影响字体显示由浏览器堵上隐私漏洞最好,就没必要交由用户设置。 |
|
