Webサイトはブラウザ/ PCについてどのくらいの情報を取得できますか?

41

私は上に示された情報かどうかを判断しようとしていますwww.whatsmyip.orgは、ウェブサーバは、Web訪問者から入手可能な情報の絶対最大量です。このように受動的にユーザーからより多くの情報を取得できる他のサイトはありますか?

ポートスニッフィングやユーザーからのあらゆる種類の対話についてではなく、サーバーが「ダム」訪問から取得できる情報についてだけです。

この質問は今週のスーパーユーザー質問でした。詳細について
ブログエントリを読むか自分でブログに投稿してください

browser  website  internet-security 
漬け
ソース

回答:

34

さらに、Electronic Frontier Foundation(EFF)はPanopticlickと呼ばれるツールを発表しました。このツールは、ほとんど同じ情報を表示しますが、インストールされているフォントをさらにスキャンします。

インストールされたフォントは、おそらく1つまたは2つの追加を開始するとすぐに最も識別しやすい情報です。そこにあるフォントの量のために、2台の異なるコンピューターに同じフォントのセットがあることはほとんどありません。(異なる人が使用する限り)

編集(コメントから):これに対する対策は、JavaScriptを無効にする(たとえばNoScriptなどのアドオンを使用する)か、情報を抽出するために少なくとも一方が必要なため、ブラウザーでJavaプラグインとFlashプラグインの両方を無効にすることです。

バールン
ソース
2
これには、情報の一部を抽出するためにJavaが必要です(サイトでJavaを許可するプロンプトを拒否した場合、Javaが非常に少なくなります)。
PhonicUK
1
Javaは必要なく、JavaScriptが必要です。ほとんどの人はブラウザにNoScriptのようなアドオンをインストールしていないため、ほとんどの場合、すべての情報を抽出できます。この種のスキャンを行うサイトは、通常、ユーザーに許可されているかどうかを尋ねません。
バーン
2
はい、それはありません使用するJavaを、それがフォントのチェックを行うJavaアプレットを持っています。アプレットの実行を許可するかどうかをページにアクセスすると、Chromeでもプロンプトが表示されます。ページで検査要素を実行すると、<applet codebase="java" code="fonts.class" id="javafontshelper" name="javafontshelper" mayscript="true" width="1" height="1"></applet>
PhonicUK
1
@Indrekこれを確認できます。JavaとFlashの両方を無効にするとすぐに、フォントを抽出できません。
バールン
2
Javaで実行できない場合は、代わりにFlashを使用します。フラッシュとJavaの両方を無効にすると、「フラッシュまたはJavaフォントが検出されません」と表示されます。Javascriptを使用するだけではフォントのリストを取得できません。これまでのところ受動的であり、ユーザーからの操作は必要ありませんが、それを行うには追加機能が必要です。
PhonicUK
9

彼らはどうやってそれを手に入れますか?

受動的な識別可能な情報は、主に通信パケットのヘッダーから収集されます。

ブラウザーがURLを要求すると、この要求はOSIモデルのいくつかのレイヤーといくつかのネットワークプロトコルを通過します。HTTPTCP / IPなどの上位レベルのプロトコル は、おそらくそのWebサイトに表示されるほとんどの情報を提供します。この情報は通常、パケットヘッダーに格納され、サーバーに理解を助けるために元々そこに埋め込まれていました。つまり、環境にとって最適な情報の表現は何かということです。

現在のHTTPヘッダーのユーザーフレンドリーなリストは、Wikipediaから入手できます。より技術的なリファレンスは、RFC 2616ヘッダーフィールド定義またはRFC 2616自体です。セクション14を参照してください。

プライバシーを保護するには?

ユーザーを追跡する別の非常に一般的な手法は、特定のCookieを使用することです。これは、広告プロバイダーがどの広告を表示するかを知る方法です(これは非常に警戒します)。私の質問への回答をご覧ください:トラッキングCookieを削除する方法。回答は、実際には他の追跡技術に対するより多くの可能な防御をカバーしています。

おそらく、匿名でオンラインを続けるためのより安全な方法は、いくつかの専用のセキュリティプロジェクトを使用することです。そのうちの1つがTORです。

oleksii
ソース
8

情報に関しては、Java / Flashを使用せずに受動的に取得できます-これはかなり網羅的です。

JavaScriptベンチマークを使用してPCのパフォーマンスを推定するなどのこともできますが、その時点で本当にプッシュしています。

PhonicUK
ソース
7

プラグインの実行、位置検出の許可などのブラウザプロンプトを単に拒否した場合、そのページはあまり表示されません。

ホスト名、IPアドレスなどはプロキシを介して簡単に隠すことができ、ブラウザ/ OS情報は拡張機能などを介して簡単に偽装できます。

あなたは、サードパーティ製のプラグインをインストールして、許可しない限り、ブラウザがされているので、最終的には、ウェブサイトは、多くの情報を集めることができない特別の限界に設計された、彼らはシステムに持っているどのくらいのアクセス。サイトがデータを収集するために使用する最も一般的なツールはCookieですが、同様にレポートできる量にも制限があります。

サイトがシステムに自由にアクセスできる唯一の本当の方法は、ブラウザまたはそのプラグインの脆弱性を悪用しようとすることですが、できるだけ少なくインストールし、それらを更新し続けることで、それを緩和することもできます。

シネテック
ソース
5

以前の回答にリストされていないものが余分にあります:

Webサイトは、(閲覧履歴を最後に消去する前に)アクセスした他のWebサイトを追跡できます。

どうやって?

ブラウザは、以前にアクセスしたかどうかに基づいて、リンクの色が異なります。Webサイトは、よく知られている多くのWebサイト(訪問したかどうかを知りたいWebサイト)の大きなリストを作成し、ユーザーが表示できない方法でそのリストを表示します(フォントで画像の後ろに隠されます) 1ピクセルのサイズ、背景と同じ色など)これで、スクリプトがブラウザーによるリストの表示方法をスキャンし、どれが訪問されたかを知ることができます。

vsz
ソース
1
以前にこれについて聞いたことがありますが、もう不可能だと思います。
バーン
最近(2012年)、最新のブラウザでこれが許可されると、深刻なセキュリティ上の脆弱性として扱われます。たとえば、Firefox 16のベータ(?)リリースは、開発者がこのエクスプロイトに対して脆弱であることに気づいたときに最近撤回されました。これはニュース記事になるほど深刻なニアミスと見なされました:bbc.co.uk/news/technology-19909106
user56reinstatemonica8
5

ちょうどこのサイトを見つけましたが、上で言及されていませんでした:http : //browserspy.dk控えめに言っても、かなり興味深いです!

BrowserSpy.dkは、ブラウザがあなたとあなたのシステムについてどれだけの情報を公開しているかを見ることができる場所です。

訪問したすべてのWebサイトで、インストールしたフォントを確認できることをご存知ですか?

さまざまなプログラムがインストールされているかどうかを調べることもできます。これらには、Adobe Reader、OpenOffice.org、Google Chrome、Microsoft Silverlightが含まれます。おそらく、最近アクセスしたサイトも検出できます!

インターネットをサーフィンするとき、ブラウザはデジタルフットプリントの痕跡を残します。Webサイトはこれらのフットプリントを使用してシステムをチェックできます。

BrowserSpy.dkは、ウェブサイトにアクセスするだけで、システムから収集できる情報を確認できるサービスです。

カラン
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.