web-dev-qa-db-ja.com

フィンガープリント/追跡を回避するためのこの包括的なブラウザ設定の脆弱性は何ですか?

一般的なブラウジングまだ使いやすいのフィンガープリント/追跡を回避するために、このブラウザ設定で何が脆弱ですか?

設定は次のとおりです。

  • いくつかのプロファイル(3〜5個のプロファイル)を備えたパーソナルマシン上のFirefox-各プロファイルは、ブラウジングの特定の側面専用です(つまり、1つはソーシャルメディア専用、もう1つは銀行用、もう1つは純粋に「匿名」のブラウジング用です。私の個人情報を指定するか、私の本当の身元に関連付けられたアカウントにログインします。

  • これらのプロファイルごとに、次のアドオンがあります。デフォルトの拒否ポリシーを持つuMatrix-すべてのサイトでデフォルトで画像とCSSを許可し、特定のサイトでJavaScriptやCookieなどの特定のものを有効にしない限り、他のすべてを無効にします。 uMatrixはまた、セッション全体を通じてCookieとキャッシュを定期的に削除して、電子タグ付けやCookieの追跡を防ぎ、ヘッダー参照をスプーフィングしたり、Webフォントを無効にしたりすることができます。 CanvasDefenderアドオンとRandomAgent Spooferアドオンを使用して、各プロファイルにキャンバスフィンガープリントと、セッション中に変更されないユーザーエージェント文字列を提供します(ユーザーエージェント文字列の場合、平均的なユーザーと同じように、変更されることはめったにありません)それは彼のユーザーエージェントをだまそうとはしません)。 HTTPS-Everywhereアドオン。

  • クッキーに関しては、セッションごとに削除されます。ログインが必要な(したがってCookieが必要な)単一のWebサイト専用のプロファイルがある場合、提供する情報よりも多くの情報がどのように提供されるかわからないため、そのCookieを削除する必要さえない可能性があります。使用しているサービスの会社(つまり、プロファイルで使用しているサイトがそれだけである場合、そのプロファイルのFacebook Cookieを削除する意味は何ですか?Cookieが追跡するものはありません)。

  • JavaやFlashなどのすべてのブラウザプラグインは、最近は本当に必要ないためインストールされていません。ただし、JavaScriptは、必要に応じてサイトごとに有効にできます(デフォルトでは無効になっています)。 -デフォルトでuMatrixによるポリシーの拒否)。

  • Evercookieの場合、Firefoxからセッションの終了時にCookieを削除するオプションを有効にするだけで削除できるようです(これをテストしました)。プラグインを使用した場合にのみ永続的になるようです。 HSTSフィンガープリントに関しては、Firefoxの実装により、現在、プライバシーとセキュリティのどちらかを選択する必要があります。セキュリティを選択したため、HSTSを有効にして、特定のセッションでサイトを追跡できるようにしました。システムのシャットダウンを開始するときにSiteSecurityServiceState.txtの内容を空にして、少なくとも新しいフィンガープリントを取得します。

  • webRTC、OpenGL、およびジオロケーションを無効にするuser.jsファイル。

  • 最後に、プロファイルごとに、頻繁に変更される場合とされない場合がある個別の出口ノード(プロキシ/ VPN)を介してトンネリングされます。

このブラウザの設定はどの程度効果的ですか?私が懸念していることがいくつかあります。

  • おそらく、ブラウザを大幅にカスタマイズすることで、異なるIDを作成することが目標であっても、実際には群衆の中で目立つようになりますifフィンガープリントの種類は、一貫性(どのような種類の情報)について相互分析されます一緒に結ぶことができますか?)。具体的な例として、ユーザーエージェント文字列のなりすましは、JavaScript変数をそのユーザーエージェントに一致させるためになりすましする必要があることを意味します。残念ながら、すべてのJavaScript変数をスプーフィングできるわけではなく、一部しかスプーフィングできないようです。これをチェックし、ユーザーエージェント変数とJavaScript変数の間に矛盾があることを発見した企業の場合、彼らはあなたがなりすましをしていることを知っているので、あなたはユニークであり、まったくなりすましをしていない場合よりも悪い立場にいる可能性があります。問題は、実際にこれをチェックするのに苦労しているサイトはいくつあるかということです。インターネットのプライバシーは純利益がすべてです。これをチェックしない人気のあるサイトを含む多くのサイトがある場合でも、なりすましの価値があるかもしれません。

  • このセットアップでは仮想マシンを使用しません。おそらく、私が考慮しなかったマシン自体に関するフィンガープリント可能な情報の種類があり、プロファイルごとにスプーフィングしようとしたすべての情報と一致しない可能性があります。たとえば、仮想マシンを使用することは、私が説明したセットアップよりもどのように有利でしょうか?

これは一般的なブラウジング用であることを忘れないでください。つまり、目標はそれを使用可能にすると同時にプライバシーを最大化することです。問題の多くはJavaScriptに関係していることを認識していますが、多くのサイトが機能をJavaScriptに依存している現在、一般的なブラウジングでJavaScriptを無効にすることは現実的ではありません。デリケートなブラウジングには、もちろんTorを使用することをお勧めします。

編集:「一般的なブラウジング」とは、平均的な人のブラウジング活動がどのようなものになるかを意味します。つまり、違法なものはなく、脅威は広告会社やGoogle、Facebook、Microsoft、Amazonなどの会社です。「使いやすさ」とは、これらのサービスが引き続き使用され、特定のサイトにJavaScriptが必要であり、ブラウジングエクスペリエンスが大幅に妨げられないことを意味します(つまり、Torは適切ではありません)。

privacyweb-browserinternetuser-trackingfingerprinting
1
Iteration

Googleの「すべてを見通す」攻撃(NSAではない)から防御しようとしていることを考えると、これは良いスタートです。以下にいくつかの提案を追加しました。

検索エンジンのアクティビティは、一意のリンクを生成することで追跡できます。 DuckDuckGoのようなプライバシー指向の検索エンジンの使用を検討してください。あなたは彼らがあなたを追跡しようとしていない彼らの言葉を持っています、あるいは彼らがそうすれば彼らはそれについて明白になるでしょう。

Firefoxの「AwesomeBar」の検索オプションがオンになっていると、入力したURL情報がデフォルトの検索エンジンにリークされます。 Firefoxは、マルウェア分析のためにURL情報をサーバーに送り返すこともできます。各プロファイルですべてのphone-home機能が無効になっていることを確認してください。

サードパーティのJavaScriptだけでなく、どのWebリソースでも追跡情報を提供できます。その「Facebook」のロゴ?トラッカー。 「Pinterest」の画像?トラッカー。 「ソーシャルウィジェット」を認識して安全なローカルリソースに置き換える、Privacy Badger、Ghostery、NoScriptなどのプライバシー専用の別のアドオンツールを検討してください。

ブラウザから漏洩したすべてのデータを表示するために、しばらくの間Burp Suiteをダウンロードして実行することを検討してください(無料版で問題ありません)。マシンから出る唯一のデータが期待するデータであることがわかるまで、ツールを調整します。

トリッキーな部分は進行中です。閲覧中は、運用上のセキュリティを慎重に維持する必要があります。それは、簡単に台無しになり、過覚醒サーバーがごちそうするための意図しないリンクを提供するプロファイルとプロキシの複雑な組み合わせのように聞こえます。 OpSecを改善する1つの方法は、ソーシャルプロファイルと銀行プロファイルごとに専用のブックマークツールバーを用意し、それらのプロファイル内でURLを検索したり入力したりしないことを強く習慣にすることです。

間違いありません。行ったすべてのカスタマイズにより、プロファイルが一意に識別できるようになります。他の誰もあなたがしていることを正確にやっていない。良いニュースは、ほとんどのプライベートWebサイトの所有者があなた自身をプロファイリングしないことです。彼らはその仕事をするためにサードパーティのスクリプトに依存しています。あなたがしたいのは、分析会社がそのプロファイルを見なければならない機会を最小限に抑えることです。分析サイトをブロックすることが重要です。

5
John Deters