Как отключить разрешение на чтение «Системных шрифтов» и «Сведения о плагине браузера» в Chrome и Firefox

47

Зайдя на сайт http://panopticlick.eff.org/, я вижу, что Firefox и Chrome предоставляют больше информации о «системных шрифтах» и «деталях плагина браузера», чем я предпочитаю.

Как можно отключить разрешение веб-страницы для доступа к этим настройкам в Firefox и Chrome?

firefox google-chrome privacy

— eaubin
источник

1

Для системных шрифтов вы должны отключить Flash. Все еще ищу плагины.

— pkario

1

На самом деле, отключение Flash не обрезает его; он все еще может перечислять их по-другому.

— Synetech

Если кто-то здесь, потому что он беспокоится о конфиденциальности ... вашего IP-адреса достаточно, чтобы идентифицировать вашу семью. Сколько пользователей в вашем доме имеют одинаковое разрешение экрана, ОС и браузер? Вы уже уникальны :), так что вы можете перестать беспокоиться о списках шрифтов и плагинах ...

— xtrahelp.com

22

Есть два вопроса, но я отвечаю на вопрос списка шрифтов:

Можно отключить перечисление шрифтов Flash, используя mms.cfgсистемный конфигурационный файл. Этот файл должен находиться в /etc/adobe/каталоге, если вы используете Linux. В основном вам просто нужно поместить следующую строку в файл:

DisableDeviceFontEnumeration = 1

Подробнее см. В Руководстве по администрированию Adobe Flash Player .

С этой настройкой Panopticlick и другие сайты не могут получить ваш список шрифтов через Flash.

Обратите внимание, что список шрифтов по-прежнему доступен через Java, если он у вас установлен. В любом случае, хорошая идея - избавиться от Java. Если вы используете пару сайтов, для которых требуется Java, используйте другой экземпляр браузера с другим профилем пользователя с включенной Java только для этих сайтов.

— щелчок
источник

2

На моем компьютере с Windows 7 файл находится по адресу C: \ Windows \ SysWOW64 \ Macromed \ Flash \ mms.cfg

— MikeFHay,

Вы можете просто отключить Java и Flash в расширениях вашего браузера. Это сработало для меня.

— Вакар Лим

1

Спасибо большое! Это работает на моем ПК (Windows XP). Хотя Panopiclick все еще признает меня уникальным посетителем. через мой список плагинов ...

— Цербер

У меня тоже работает на XP. FWIW, местоположение файла было C:\WINDOWS\system32\Macromed\Flash\mms.cfg.

— Мартино,

2

Не работает для Chrome на OS X. Оказывается, Chrome использует свой собственный плагин Flash, который имеет отдельный файл конфигурации. Его путь ~/Library/Application Support/Google/Chrome/Default/Pepper Data/Shockwave Flash/System/mms.cfg(создайте, System/mms.cfgесли он не существует.)

— Дэн,

6

Бесплатное расширение Chrome RubberGlove блокирует перечисление плагинов и mime-типов, скрывая записи массива примерно так же, как Firefox и Internet Explorer могут / делают изначально.

Вам по-прежнему нужно установить в Chrome плагины "Click to play" и отключить сторонние файлы cookie в настройках конфиденциальности Chrome. Кроме того, как было упомянуто в исследовании, вы все равно, вероятно, будете выглядеть как уникальные, пока достаточное количество людей не начнут использовать подобные плагины.

Полное раскрытие: я автор.

Эта функциональность может (или не может) быть интегрирована в расширение Privacy Badger Electronic Frontier Foundation . В любом случае они казались заинтересованными.

— Джейсон С. Клари
источник

Джейсон, есть ли шанс, что ты сможешь добавить функцию белого списка в RubberGlove? Это удивительно, но ломает несколько сайтов. Включение и отключение расширения в течение всего дня немного раздражает. Об этом есть запрос как на сайте аддонов Google Chrome, так и на странице разработки github.

— Костин Гугэ,

5

В Firefox 28:

Введите about:configадресную строку

найти plugins.enumerable_names

Установить запись в ничто.

Посетите https://panopticlick.eff.org/, чтобы убедиться, что плагины больше не перечислены.

— mlibby
источник

1

Для белого списка используйте этот формат plugins.enumerable_names: Java, QuickTime, Shockwave

— Tilo

Чтобы вернуть этот метод, измените запись обратно на *

— matt.

3

Я не вижу этого параметра в FireFox 41. Кто-нибудь знает, где он сейчас?

— Келли Томас

Кажется, пока нет. Нашел это: bugzilla.mozilla.org/show_bug.cgi?id=757726

— нео пост модерн

3

Javascript имеет возможность проверять, какие плагины установлены, это обычно используется, чтобы при необходимости вывести сообщение «install missing plugin». Если вы хотите, вы можете отключить плагины в настройках и отключить Javascript, используя такие дополнения, как Javascript Blacklist для Chrome или Quick Java statusbar для Firefox.

— NoBugs
источник

Где можно отключить плагины в настройках?

— Мартино

из меню инструментов-дополнений.

— NoBugs

3

Абсолютно возможно с Proxomitron .

Prox похож на NoScript, HTTP LiveHeaders, RequestPolicy, CookieSafeguard, BetterPrivacy и еще много чего, все в одной программе. Это не развито далее, но все еще гарантирует мне частную жизнь, никакой другой инструмент не может сделать.

Proxomitron - это универсальный веб-фильтр. Информация с их сайта:

Программа

Для тех, кто еще не был представлен, познакомьтесь с Proxomitron: бесплатным, очень гибким, настраиваемым пользователем, небольшим, но очень мощным локальным прокси-сервером HTTP-фильтрации. Чтобы лучше ознакомиться, ознакомьтесь с нашей онлайн-версией файлов справки Proxomitron для более полного обзора.

Текущая (и последняя) версия Proxomitron - это Naoko 4.5, из которых было выпущено два: один в мае 2003 года, а второй в июне. Хотя они очень похожи, между ними есть четкие различия, которые не упомянуты в документации ни к одной из программ. Оба релиза доступны в разделе «Файлы». В центре внимания PI будет последняя версия - выпуск в июне.

Автор

Скотт Р. Леммон первоначально разработал Проксомитрон для собственного использования. Затем он решил опубликовать его и сделать доступным для пользователей по электронной почте и в нескольких дискуссионных группах Proxomitron. Его поддержка, как и его программа, всегда была бесплатной.

С выпуском Naoko 4.5 Скотт прекратил всю дальнейшую разработку и поддержку своей программы и вывел официальный сайт Proxomitron из Интернета. Мы уважали его решение двигаться дальше и желали ему всего наилучшего - что, в конце концов, он постоянно нам давал.

К сожалению, через год Скотт умер, но его ум и дух продолжают жить. Проще говоря, Proxomitron является отражением его создателя: узнать программу Скотта. , , это знать Скотта Леммона.

Проверьте это! Есть (несколько) активное сообщество.

— canopee
источник

Ух, люди все еще используют Proxomitron, даже с Windows 7, Chrome и т. Д. ಠ_๏Я думаю, Скотт действительно отлично справился с этим. Я не использовал это в течение долгого времени; Я думаю, я должен получить это. ☺

— Synetech

2

Начиная с Firefox 17 вы можете включить функцию «кликни, чтобы играть», которая автоматически останавливает загрузку Java и Flash. Это, в свою очередь, останавливает обнаружение большой (не всей) информации. Например, остановка плагина Flash предотвращает обнаружение большинства шрифтов.

Чтобы включить «click_to_play» в Firefox:

добрался до «about: config» в вашей адресной строке
искать "click_to_play"
дважды щелкните на записи, чтобы переключить значение с «ложь» на «истина»
закрыть вкладку
в следующий раз, когда потребуется плагин, вы получите подсказку с возможностью включить его

— IanB
источник

Разве это не то, что дополнение Flashblock выполняет во многих других версиях Firefox?

— Мартино

Это не сработало для меня.

— mlibby

2

Решением для последних браузеров Firefox является:

Используйте Случайный Агент Спуфер. Недавно были добавлены опции для отключения перечисления плагинов: https://github.com/dillbyrne/random-agent-spoofer/issues/283
Или используйте пользовательский скрипт, как показано в комментарии Mechazawa в приведенной выше ссылке. Вы можете использовать его сценарий Greasemonkey или Tampermonkey (как Firefox, так и Chrome), чтобы позаботиться об этом без каких-либо расширений.

Я могу подтвердить, что это показывает плагины как «неопределенные» в тесте panopticlick.

— Spectraljump
источник

2

Отпечатки шрифтов - это лишь малая часть отпечатков пальцев браузера. Полностью заблокировать его практически невозможно, если цель - оставить браузер работоспособным. Лучшая общая защита от отпечатков пальцев, как говорят, находится в браузере Tor.

В ходе практических испытаний было установлено, что попытка заблокировать отпечатки пальцев на шрифтах на самом деле увеличивает уникальность отпечатков пальцев на компьютере, поскольку большинство пользователей этого не делают. Лучший способ избежать снятия отпечатков пальцев - не делать ничего особенного и смешиваться с тысячами других пользователей.

Первым шагом против дактилоскопии является проверка эффективности любой защитной меры, которую вы предпримете. Хороший инструмент здесь https://browserleaks.com/fonts . Хорошим инструментом для уникальности общего снятия отпечатков пальцев является https://panopticlick.eff.org/ (мой собственный браузер оказался уникальным среди 199 984 тестированных за последние 45 дней) или Am I Unique .

Для защиты в Chrome вы можете предпринять следующие меры:

Установите вместо этого усиленную сборку Chromium
Используйте расширение (я не проверял их эффективность):
- Белый
  список шрифтов Fingerprint Fingerprint позволяет обнаруживать только список шрифтов по умолчанию, установленных с Windows.
- Font Fingerprint Defender
  Добавляет небольшой шум к фактическому отпечатку и «обновляет» его каждый раз, когда вы посещаете веб-сайт или перезагружаете страницу.
- Don't FingerPrint Me
  Добавляет вкладку в инструменты разработчика Chrome, которая показывает попытки снятия отпечатков в браузере.

Для защиты в Firefox

В настоящее время Mozilla работает над проектом Tor Uplift, целью которого является создание в Firefox того же уровня защиты от отпечатков пальцев, что и в браузере Tor. Этот проект находится в стадии разработки и описан в статье Безопасность / Отпечатки пальцев .

Вы можете попробовать сценарий защиты от Firefox в Github ghacks-user.js , хотя по всем отчетам он может быть слишком большим и фактически вредить просмотру.

Что касается дополнений, то на странице firefox-tweaks есть список полезных дополнений и других советов .

На данный момент, меры, которые я знаю специально для Font Fingerprinting, описаны в : config settings :

Щелкните правой кнопкой мыши и выберите New> String , создав новый параметр font.system.whitelist, в котором будут перечислены шрифты, которые будет видеть JavaScript. В качестве примера допустимого значения Helvetica, Courier, Verdana. Изменение вступает в силу немедленно.
В моем случае это уменьшило отпечатки моих шрифтов с 266 шрифтов и 238 уникальных метрик, найденных в списке из 512 шрифтов, до «только» 28 шрифтов и 9 уникальных метрик. (Я понятия не имею, как это повлияет на просмотр.)
privacy.resistFingerprinting=trueявляется общим переключателем для включения мер конфиденциальности из проекта Tor Uplift по мере их реализации. Это позволяет распространять единый список шрифтов. Mozilla не рекомендует включать его, так как это сломает некоторые веб-сайты.
Отключение параметров «Разрешить веб-сайтам использовать их собственные шрифты» и API загрузки шрифтов CSS путем изменения этих значений:
```
browser.display.use_document_fonts = 0
layout.css.font-loading-api.enabled = false
font.blacklist.underline_offset = (empty string)
gfx.downloadable_fonts.enabled = true
gfx.font_rendering.opentype_svg.enabled = false
gfx.font_rendering.graphite.enabled = false
```
(Это, скорее всего, ухудшит просмотр.)

Просто чтобы заметить, что я видел методы, обсуждаемые для сложной Font Fingerprinting и рисования, которые могли бы даже идентифицировать видеокарту и графический драйвер.

Мое мнение: невозможно избежать снятия отпечатков пальцев - шрифты не все. Даже если ты:

Используйте VPN
Делайте просмотр с виртуальной машины Windows ванили
Не устанавливайте шрифты или другое программное обеспечение
Установите самый распространенный браузер - Chrome, без расширений.
Делайте просмотр в режиме инкогнито, который отключает все куки и расширения

тогда, скорее всего, эти уникальные методы защиты вместе с аппаратными элементами, все еще обнаруживаемыми в виртуальной машине, все равно будут создавать уникальный или почти уникальный отпечаток пальца. Не говоря уже о том, что эту среду будет довольно сложно использовать.

Для обсуждения некоторых известных методов снятия отпечатков пальцев см. Следующие статьи:

Отпечатки пальцев в браузере - Объяснение и решения (с 2019 г.)
Содержит больше информации и взломов, чем я перечислил выше.
Новые методы снятия отпечатков пальцев (с 2017 года)
Безопасность веб-браузера - BrowserLeaks.com

— harrymc
источник

1

Несмотря на то, что это старый вопрос, по состоянию на 2017 год мы по-прежнему очень обеспокоены всей информацией, просочившейся браузером, поскольку она используется для снятия отпечатков пальцев. Я обнаружил, что Случайный Агент Спуфер ( https://github.com/dillbyrne/random-agent-spoofer ), упомянутый Spectraljump, бьет по гвоздю прямо в голову.

По запросу он защитит от:

перечисление плагинов
не будет выставлять шрифты, установленные на ваших компьютерах (что является более эффективной альтернативой инструментам для изменения шрифтов, таким как FluxFonts)

Кроме того, он предоставит варианты, чтобы защитить вас от:

большинство других инструментов для снятия отпечатков пальцев
позволит вам отключить webRTC, webGL, локальный кеш и многое другое.

Если вы добавите рандомизатор для снятия отпечатков пальцев (например, Canvas Defender ), вы обнаружите, что защищены от почти всего, что можно обнаружить на browserleaks.com и Panopticlick.

Наконец, убедитесь, что используете VPN с защитой от утечки DNS , чтобы замкнуть петлю.

Альтернативное решение, хотя и менее удобное, состоит в том, чтобы использовать обычную виртуальную машину (наиболее распространенную ОС, не имеющую ничего установленного) для всех операций просмотра и сбрасывать ее после каждого сеанса.

— DrSplange
источник