ChromeとFirefoxで「システムフォント」と「ブラウザプラグインの詳細」を読み取る権限を無効にする方法
http://panopticlick.eff.org/ に移動すると、FirefoxとChromeが、「システムフォント」と「ブラウザプラグインの詳細」について、私が望むよりも多くを公開していることがわかります。
FirefoxとChromeでこれらの設定にアクセスするWebページの権限を無効にするにはどうすればよいですか?
2つの質問がありますが、フォントリストの質問に答えています。
mms.cfgシステム全体の構成ファイルを使用して、Flashフォント列挙を無効にすることができます。 Linuxを使用している場合、このファイルは/etc/Adobe/ディレクトリにある必要があります。基本的には、次の行をファイルに追加するだけです。
DisableDeviceFontEnumeration = 1
詳細は Adobe Flash Player管理ガイド を参照してください。
この設定では、Panopticlickや他のサイトがFlash経由でフォントリストを取得できません。
フォントリストは、Javaをインストールしている場合は引き続き使用できます。とにかくJavaを削除することをお勧めします。 Javaを必要とするいくつかのサイトでは、Javaがこれらのサイトに対してのみ有効になっている別のユーザープロファイルで別のブラウザーインスタンスを使用します。
無料のChrome拡張 RubberGlove は、FirefoxとInternet Explorerがネイティブで/実行できるのとほぼ同じ方法で配列エントリをクローキングすることにより、プラグインとMIMEタイプの列挙をブロックします。
引き続きchromeを「クリックして再生」プラグインに設定し、Chromeのプライバシー設定でサードパーティのCookieを無効にする必要があります。また、調査で述べたように、おそらく表示されます十分な数の人がこのようなプラグインを使い始めるまで、ユニークです。
完全な開示:私は著者です。
この機能は、Electronic Frontier Foundationの Privacy Badger 拡張機能に今後統合される可能性があります(または統合されない可能性があります)。とにかく、彼らは興味を持っていたようです。
Firefox 28の場合:
タイプabout:configロケーションバー
検索plugins.enumerable_names
エントリをなしに設定します。
https://panopticlick.eff.org/ にアクセスして、プラグインがリストに表示されていないことを確認します。
フォントフィンガープリントは、ブラウザフィンガープリントのほんの一部です。ブラウザを機能させたままにすることが目的である場合、それを完全にブロックすることはほとんど不可能です。最高の一般的な指紋保護はTorブラウザにあると言われています。
実際のテストでは、フォントフィンガープリントをブロックしようとすると、実際にはコンピュータのフィンガープリントの一意性が高まることがわかりました。フィンガープリントを回避する最善の方法は、特別なことを何もせずに、他の何千ものユーザーと調和させることです。
フォントフィンガープリントに対する最初のステップは、実行する防御策の有効性をテストすることです。ここでの良いツールは https://browserleaks.com/fonts です。一般的なフィンガープリントの一意性のための優れたツールは https://panopticlick.eff.org/ です(私のブラウザは、過去45日間にテストされた199,984の中で一意であると見なされました)または 私はユニークです 。
Chromeの保護のために、実行できる対策は次のとおりです。
- 代わりに、強化されたChromiumビルドをインストールします
- 拡張機能を使用します(私はそれらの有効性をテストしていません):
- フォントグリフフィンガープリントプライバシーホワイトリスト
Windowsにインストールされているフォントのデフォルトリストのみが検出されるようにします。 - フォント指紋ディフェンダー
これは、実際の指紋に小さなノイズを追加し、Webサイトにアクセスするか、ページをリロードするたびに指紋を「更新」します。 - 指紋を印刷しないでください
ブラウザのフィンガープリントの試行を示すタブをChromeの開発者ツールに追加します。
- フォントグリフフィンガープリントプライバシーホワイトリスト
Firefoxでの保護用
Mozillaは現在、Tor Upliftプロジェクトに取り組んでいます。そのプロジェクトの目標は、FirefoxでTorブラウザと同じレベルのフィンガープリント耐性を構築することです。このプロジェクトは進行中で、記事 Security/Fingerprinting で説明されています。
Github ghacks-user.js でFirefoxを強化するスクリプトを試すことができます。
アドオンに関する限り、ページ firefox-tweaks には、便利なアドオンのリストとその他のアドバイスがあります。
現時点では、フォントフィンガープリントについて特に知っている対策は about:config設定 にあります。
右クリックしてNew> Stringを選択し、JavaScriptが表示するフォントをリストする新しいパラメーター
font.system.whitelistを作成します。有効な値の例はHelvetica, Courier, Verdanaです。変更はすぐに有効になります。
私の場合、これにより、自分の Font Fingerprinting が512フォントのリストにある266フォントと238の固有メトリックから、28フォントと9固有のメトリックのみに減少しました。 (これがブラウジングにどのように影響するかはわかりません。)privacy.resistFingerprinting=trueは、Tor Upliftプロジェクトのプライバシー対策が実装されたときにそれらを有効にするための一般的なスイッチです。これにより、均一なフォントリストを配布できます。 Mozillaは一部のWebサイトを破壊するため、有効にすることはお勧めしません。次の値を変更して、「Webサイトが独自のフォントを使用できるようにする」オプションとCSS Font Loading APIを無効にします。
browser.display.use_document_fonts = 0 layout.css.font-loading-api.enabled = false font.blacklist.underline_offset = (empty string) gfx.downloadable_fonts.enabled = true gfx.font_rendering.opentype_svg.enabled = false gfx.font_rendering.graphite.enabled = false(これはおそらくブラウジングを低下させます。)
洗練されたフォントフィンガープリンティングと描画のために、ディスプレイカードとグラフィカルドライバーを識別することさえできる方法を検討したことを私が見たことに注意してください。
私の意見:指紋を避けることは不可能です-フォントがすべてではありません。たとえあなたが:
- VPNを使用する
- Vanilla Windows仮想マシンからブラウジングを行う
- フォントやその他のソフトウェアをインストールしない
- 最も広く使用されているブラウザをインストールする-拡張機能なしのChrome
- すべてのCookieと拡張機能を無効にするシークレットモードでブラウジングを行う
次に、これらの固有の保護方法と、仮想マシンで検出可能なハードウェア要素を組み合わせることで、固有またはほぼ固有のフィンガープリントが作成される可能性が高くなります。言うまでもなく、この環境は使いにくいでしょう。
いくつかの既知のフィンガープリント方法の説明については、次の記事を参照してください。
ブラウザのフィンガープリント–説明と解決策 (2019年から)
上記のリストよりも多くの情報とハックが含まれています。新しい指紋技術 (2017年から)
Proxomitron で絶対に可能です。
ProxはNoScript、HTTP LiveHeaders、RequestPolicy、CookieSafeguard、BetterPrivacyなどに似ていますが、すべて1つのプログラムに組み込まれています。それはさらに開発されていませんが、それでも私に他のツールができないプライバシーを保証します。
Proxomitronは、ユニバーサルWebフィルターです。彼らのサイトからの情報:
プログラム
まだ導入されていない人のために、Proxomitronに出会ってください:無料で、柔軟性が高く、ユーザーが構成可能で、小さくても非常に強力なローカルHTTP Webフィルタリングプロキシです。よく知るために、より包括的な概要については、Proxomitronヘルプファイルのオンラインバージョンを参照してください。
Proxomitronの現在(および最後)のバージョンはNaoko 4.5で、そのうち2003年5月に1つ、6月に1つという2つのリリースがありました。非常に似ていますが、どちらのプログラムのドキュメントにも記載されていない2つの違いがあります。どちらのリリースも「ファイル」セクションで入手できます。 P.Iの焦点は最新バージョンである6月のリリースです。
著者
スコットR.レモンは、もともと自分用のProxomitronを開発しました。彼はそれを一般にリリースすることを決定し、電子メールといくつかのProxomitronユーザーディスカッショングループでユーザーが利用できるようにしました。彼のプログラムのように、彼のサポートは常に無料でした。
直子4.5のリリースに伴い、スコットはプログラムの開発とサポートをすべて中止し、Proxomitronの公式サイトをWebから切り離しました。私たちは彼の先へ進む決断を尊重し、彼が最善を尽くすことを願っています-結局のところ、これは彼が一貫して私たちに与えたものです。
悲しいことに、1年後、スコットは亡くなりました。しかし、彼の精神と精神の輝きは存続しています。簡単に言えば、Proxomitronはその作成者を反映しています。つまり、Scottのプログラムを知ることです。 。 。スコット・レモンを知ることです。
見てみな! (やや)アクティブなコミュニティがあります。
Javascriptには、インストールされているプラグインを確認する機能があります。これは通常、必要に応じて「プラグインがありません」というメッセージを表示するために使用されます。必要に応じて、設定でプラグインを無効にし、ChromeのJavaScriptブラックリストやFirefoxのクイックJavaステータスバーなどのアドオンを使用してJavaScriptを無効にすることができます。
Firefox 17以降では、「クリックして再生」を有効にして、JavaおよびFlashのロードを自動的に停止することができます。これにより、多くの(すべてではない)情報が検出されなくなります。たとえば、Flashプラグインを停止すると、ほとんどのフォントが発見されています。
Firefoxで 'click_to_play'を有効にするには:
- あなたのアドレスバーの「about:config」に行きました
- 「click_to_play」を検索
- エントリをダブルクリックして、値を「false」から「true」に切り替えます
- タブを閉じます
- 次回プラグインが必要になると、プラグインを有効にするオプションを示すプロンプトが表示されます
最新のFirefoxブラウザのソリューションは次のとおりです。
ランダムエージェントスプーファーを使用します。最近プラグインの列挙をオフにするオプションが追加されました: https://github.com/dillbyrne/random-agent-spoofer/issues/28
または、上記のリンクのメカザワのコメントに示されているように、ユーザースクリプトを使用します。彼のGreasemonkeyまたはTampermonkeyスクリプト(firefoxとchromeの両方)を使用して、拡張機能なしでこれを処理できます。
これにより、panopticlickテストでプラグインが「未定義」として表示されることが確認できます。
これは古い質問ですが、2017年の時点で、フィンガープリンティングに使用されているブラウザーから漏洩したすべての情報については非常に懸念しています。 Spectraljumpで言及されているランダムエージェントスプーファー( https://github.com/dillbyrne/random-agent-spoofer )が頭の爪を直撃しているのがわかります。
リクエストに応じて、次のものから保護します。
- プラグイン列挙
- マシンにインストールされているフォントを公開しません(FluxFontsなどのフォント変更ツールのより効率的な代替手段です)
また、次のことからユーザーを保護するオプションが提供されます。
- 他のほとんどのフィンガープリントツール
- webRTC、webGL、ローカルキャッシュなどを無効にできます。
canvasフィンガープリントランダマイザー( Canvas Defender など)を投入すると、browserleaks.comおよびPanopticlickで検出できるほとんどすべてのものから保護されます。 。
最後に、ループを閉じるために、必ずVPNとDNSリーク保護を使用してください。
別の解決策は、それほど便利ではありませんが、すべてのブラウジングアクティビティに汎用のVanilla(最も一般的なOS、カスタムインストールされていないもの)VMを使用し、セッションごとにリセットすることです。