デバイスフィンガープリントの回避

Question

デバイス（ブラウザ）フィンガープリントの概念について、ユーザーがリクエストごとに指紋が変化するようにランダムな情報を提供することにより、フィンガープリントデータを偽装することは可能ですか？

もしそうなら、この機能を持つプラグイン/ブラウザはありますか？

Yoav Aner · Accepted Answer

私が見る限り、すべてのフィンガープリントデータを簡単に偽装し、リクエストごとに変更する可能性があります。このすべての情報は、リクエストのHTTPヘッダーでブラウザーによって送信されます（またはブラウザーのクライアント側スクリプトを介して取得されます）。私はこれを完全にサポートする特定のプラグインを知りませんが、 changeing your user-agent 、 manipulating headers および managing cookies のプラグインがいくつかあります=。ユーザーエージェントは、フィンガープリントプロセスの主要な識別情報の1つであり、他のほとんどの情報は他のさまざまなヘッダーにあります。 javascript/flashスクリプトのブロックも可能です。 noscript plugin を使用する

ただし、このフィンガープリント情報の変更には代償が伴います。これにより、Webサイトが別の方法でページを表示する可能性があり、サイトが正しく表示されなかったり、正しく機能しなくなったりします。多くのWebサイト開発者は、表示するページをブラウザーと互換性を持たせるために、この指紋情報（の少なくとも一部）に依存しています。したがって、この情報を非表示/スプーフィングすると、このプロセスに影響し、ブラウジング体験が変更される可能性があります。

このフィンガープリントは、正当なセキュリティ上の理由のために実行される可能性もあります。たとえば、セキュリティ対応のWebサイトは、フィンガープリント情報をセッションまたはログインしているユーザーに関連付け、フィンガープリントが一致しないリクエストを拒否します（これにより、サーバーにリクエストが別のブラウザーから送信されていることが示唆されます）。別の質問の例をもう1つ示します。Webサイトの所有者は、アクセスを許可する前に、ブラウザーのブラウザープラグインバージョン（フィンガープリントデータの一部）をテストしたいと考えています。このテクニックを使用している特定のサイトは知りませんが、それは確実に実現可能です。リクエストごとに指紋データを変更すると、再び不要な動作が発生します。

特定のヘッダーにいくつかのマイナーなランダム化された微調整を実行すると、ブラウジングエクスペリエンスを損なうことなく、フィンガープリントに対してより良い程度の匿名性が得られると思います。これにはいくつかの実験が必要であり、おそらくセキュリティとユーザビリティの間の妥協を意味するでしょう。

Jay · Answer

いくつかの異なる方法でキャンバスの指紋をブロックできると主張するkkapsnerによるCanvasBlockerと呼ばれるFirefoxのブラウザープラグインがあります。私が最も興味深いブロックモードは、呼び出されたときに偽のデータを送信する「偽の読み出しAPI」です。ただし、ユーザーは、すべてのリクエストをブロックする、ブラックリストでのみサイトをブロックする、ホワイトリストでブロックしないなど、他の方法を選択できます。ただし、Shnatselが上記で指摘したように、フィンガープリントプロバイダー。さらに、Yoav Anerが上記の投稿で述べたように、指紋をブロックまたはスプーフィングすると、特定のサイトが破損する可能性があります。開発者のkkapsnerもこの特定の問題について説明しています。この拡張機能の詳細については、 https://github.com/kkapsner/CanvasBlocker を参照してください。 Firefox拡張機能は https://addons.mozilla.org/en-US/firefox/search/?platform=windows&q=CanvasBlocker で入手できます。ハッピーサーフィン！

Shnatsel · Answer

いいえ、それはほとんど不可能です。それにはいくつかの問題があります。

フィンガープリントを回避することの主な問題は、フィンガープリントが実際にどのように機能するかについてほとんどわかっていないため、それを回避するために何をすべきかわからないことです。

誰もが Panopticlick をフィンガープリントの参照フレームとして考えるようです。理論的には、指紋をクラウドソーシングすることで、Panopticlickを多少は回避できます。しかし、Panopticlickは非常に限定的なデモです。そのホワイトペーパーは、Panopticlickが作成された2009年でさえ、商用の指紋ソリューションがはるかに高度であったことを明確に述べています。

Arcot ...は、PCクロックプロセッサの速度と、デバイスの識別に役立つより一般的なブラウザー要因を確認できると主張しています。 41番目のパラメーターは100を超えるパラメーターを調べ、そのアルゴリズムの中核は、ユーザーのPC（ミリ秒まで）とサーバーのPCの間の時間差を測定する時間微分パラメーターです。 ThreatMetrixは、TCP/IPスタックの不規則性を検出し、プロキシサーバーを突き刺すことができると主張しています。 PCの。

そして、これは2009年でした！それ以来、彼らが何を思いついたのかと思います。

もう1つの問題は、クロックスキューを頻繁に変更する場合、すべての主要なフィンガープリントプロバイダーの管理コンソールにアクセスできない限り、それが役立つかどうかを確認できないことです。

これが、フィンガープリントを回避するソフトウェアがない理由です。誰もそれと戦う方法を本当に知りません。したがって、おそらくそれに対処する必要があります。

D.W. · Answer

はい、それはおそらく可能です。ただし、フィンガープリントのスプーフィングや、リクエストごとにフィンガープリントを変更することをサポートするブラウザやプラグインについては知りません。

匿名性を保護し、フィンガープリントから身を守ろうとしている場合は、Tor（Torバンドル経由でインストール）とNoScriptを組み合わせることをお勧めします。