web-dev-qa-db-ja.com

プライバシー上の理由から、Firefox Flashプラグインに制御されたデータを供給することは可能ですか?

プライバシーとセキュリティ上の理由から、ブラウザでFlashプラグインを無効にすることを強くお勧めします。しかし、私はそれを無効にしたくありません、私はプライバシー関連の情報を偽造したいと思います。企業はユーザーに関する指紋を作成できます。 Flashプラグインは、次のような多くの情報を提供します。

  • インストールされているフォント、
  • IPアドレス(プロキシの背後にある元のアドレス)または
  • 使用されているOSとカーネルシステム/バージョン

だから私の質問は:
そのような情報を偽造することは可能ですか?

たとえばFirefoxを使用している場合、Firefoxはこれらのシステム情報をFlashプラグインに提供しますか?それから、Flash拡張機能の呼び出しイベントを登録して誤ったデータを返すFirefoxアドオンでそれらを偽造できますか?または、Flashプラグインからオペレーティングシステムに直接アクセスできますか?はいの場合、OSバックグラウンドで実行し、Flashプラグインの呼び出しを登録して、偽の情報を提供するソフトウェアを構築できますか?
私はNPAPIがブラウザとOSの間のインターフェースであることを知っていますが、呼び出された情報を何らかの方法で操作できるかどうか、そのような情報(インストールされているフォントなど)がブラウザまたはOSによって提供されます。

[更新]

例:

元のデータ:Windows 8.1、Firefox 24、英語、23個のフォントがインストールされています

  1. ステップ:フラッシュフィンガープリントツールでランダムなWebサイトを呼び出す
  2. ステップ:追跡ツールがフラッシュで私の指紋の収集を開始し、インストールされているフォントを取得するためにアクションスクリプト関数を呼び出します。
  3. ステップ:アクションスクリプト関数を介して、FlashプラグインがFirefoxまたはOS(NPAPI)から情報を取得しようとします
  4. 手順:フラッシュプラグインがFirefoxまたはOSからデータを呼び出す前に、インストールされた独自の開発されたfirefoxアドオンを検出してイベントをキャッチし、システムコールを防ぎ、元のデータの代わりに偽造データ(OSX 、Firefox 24、英語、12フォントがインストールされている)私のFirefoxアドオンから

Flashプラグインの結果データ:[〜#〜] osx [〜#〜]、Firefox 24、英語、12個のフォントがインストールされています

4.ステップで、システムパラメータを偽装します。そして問題は、これが(Firefox拡張機能またはOSネイティブアプリケーションを使用して)一般的に可能かどうか、そしてその方法です。そして:Flashプラグインはどこからシステム情報を取得しますか? Firefoxパラメータから?システムからNPAPIインターフェースを介して?

他のフィンガープリンティングの機会(JavaScript、ユーザーエージェント、キャッシュ付きCSS、Flash Cookie、HTTP-Cookieなど)があることは知っていますが、この質問の焦点は、システムパラメーター(インストールされているフォントリスト、OSなど)です。 Firefox Flash拡張機能。

privacyfirefoxbrowser-extensionsflashfingerprinting
3
Zeussi

そのような情報を偽造することは可能ですか?

一部のWebサイトで行われるブラウザフィンガープリントを回避するために、そのような情報を偽造したいのですが、今日導入されている最も単純なフィンガープリントアルゴリズムは、フィンガープリントの変更を検出、追跡、推測さえできることを知っている必要があります。また、フォイルするフィンガープリントアルゴリズムについてもわかりません。

あなたの質問によって引き起こされる別の問題は、そのような情報を偽造する方法です。さて、すべてのケースに適合するソリューションはありません。偽物にしたい情報に応じて、さまざまなソリューションやツールが存在する場合と存在しない場合があります。たとえば、 Firfox User Agent Switcher という名前を言うことができるアドオンです。

たとえばFirefoxを使用している場合、Firefoxはこれらのシステム情報をFlashプラグインに提供しますか?それから、Flash拡張機能の呼び出しイベントを登録して誤ったデータを返すFirefoxアドオンでそれらを偽造できますか?または、Flashプラグインからオペレーティングシステムに直接アクセスできますか?はいの場合、OSバックグラウンドで実行し、Flashプラグインの呼び出しを登録して、偽の情報を提供するソフトウェアを構築できますか?

あなたがこれらの質問に語った方法から、あなたがしたいくつかの誤った(私がそう言うかもしれない)質問を避けるために最初に知っておくべき重要なことがあると思います:

  1. フラッシュでハードウェアとオペレーティングシステムの情報を取得できますか?

    Capabilities クラスを調べて、オペレーティングシステムとハードウェアから取得できる情報を確認する必要があります。たとえば、 cpuArchitecture プロパティは、現在のCPUアーキテクチャを指定します。 cpuArchitectureプロパティは、「PowerPC」、「x86」、「SPARC」、および「ARM」の文字列を返すことができます。サーバー文字列はArch。ですが、 os プロパティは現在のオペレーティングシステムを指定します。

注:この段落は、そのようなデータがFlash Webアプリケーションを使用して送信されるかどうかの質問に回答しますインターネット経由かどうか。これについては後で説明します。

  1. Flash Webアプリケーションとは何ですか?

    Flash Webアプリケーションは、ブラウザーで表示したいビデオから、sharedtalk.comのようにFlashが非常に重要な役割を果たす本格的で複雑なアプリケーションまで、さまざまなSWF/FLVコンテンツです。

  2. ローカル共有オブジェクトとは

    Flash Webアプリケーションの実行に関する問題(ここで取り上げていないFlashの脆弱性は別として)は、Flash Cookieと呼ばれる ローカル共有オブジェクト (LSO)と呼ばれるものに存在します。 Flash Cookieは比較的不明ですSchneier on Security:Flash Cookies )。

    HTTPは約4KBのデータしか保存しませんが、Flash Cookieには最大100KBのデータが含まれます( ActionScript3.0 Cookbook )。あなたはすることができますフラッシュCookieのストレージ容量を自由に拡張することもできます。 Flash Cookieは、ブラウザスペース内のファイルではなく、.solファイル拡張子が付いた別のAdobeファイルに保存されます。これは、ブラウザがFlash Cookieを制御できず、ブラウザのCookieをクリアすると、Flash Cookieがまだあなたのコンピューター上にあります(しかし、それらを削除するツールがあります)。

  3. Flash Cookieに保存できるコンテンツはどれですか?

    コンテンツがそのCookieを作成した特定のWebサイトによって決定されるHTTP Cookieの場合。内容はサイトごとに異なります。これはFlash Cookieに適用されます。

    Flash Cookieは通常、ユーザーの設定を保存するために使用されます(たとえば、Youtubeでビデオを視聴してビデオ画面のサイズを変更した場合:サイズはFlash Cookieに保存されます)。

  4. LSOに固有の主なプライバシー問題は何ですか?

    フラッシュCookieには HTTP cookieに保持 などの情報が含まれていますが、有効期限に関連するフィールドを除きます。HTTPCookieの場合と同様に、フラッシュCookieにはデフォルトで有効期限がありません(企業のWebサイトの一般的な慣行では、通常30日に設定されていますが、これの理由の1つは、ユーザーを追跡している企業が多くのユーザーが少なくとも1か月に1回Cookieをクリアしていることに気付いた場合、Webサイトへの真のユニークビジター数を過大評価し、広告会社の過払いにつながるためです( サイトサーバーおよび広告サーバーのメトリックの精度に対するCookieの削除の影響:経験的Comscoreの調査 )。

    しかしさらに悪いことに、Flash Cookieは以前に削除したHTTP Cookieを再作成する可能性があります( respawning cookiepersistent Identification element

    攻撃性の低いLSOには、追跡するWebアプリケーション用にコンピューターを識別する globally unique identifier が含まれていることに注意してください。

  5. Flashハードウェアアクセラレーションとは何ですか?なぜそれを言及するのですか?

    特定の機能を加速するように設計されたハードウェアがある場合、ハードウェアアクセラレーションはです。したがって、たとえば、ビデオをデコードまたはエンコードするときは、CPUで行います。一部のビデオカードでは、代わりにGPUでこれを行うことができるため、「ハードウェアアクセラレーションビデオデコード」を使用できます。 ( 「ハードウェアアクセラレーション」とは何を指しますか? )。 Flashハードウェアアクセラレーションは、Flashのハードウェアアクセラレーションです( 特定のFlashビデオでのパフォーマンスまたは表示の問題 )。ほとんどのブラウザーでは、この機能はデフォルトで無効になっていますが、特定のWeb Flashアプリケーションをよりよく視覚化するためにこの機能をアクティブにすると、ハードウェアに関する詳細情報が表示されます。しかし、なぜこれを言及するのですか?このような情報は [〜#〜] lso [〜#〜] sに格納されているためです。

  6. OSやハードウェアの情報が漏洩する可能性はありますか?

    これを公式ドキュメントから直接引用することを好みます( Flashプレーヤーのヘルプ

    そのようなアクセスを要求しているのは、使用しているアプリケーションを作成した人または会社であり、アドビではありません(アドビが情報を保存したいアプリケーションを作成していない場合)。 アクセスを要求する人または会社が、アクセスを必要とする理由と、保存した情報の使用方法を明確にすることは、ユーザーの責任です。コンピューターへのアクセスを要求している人のプライバシーポリシーに注意する必要があります。たとえば、アドビのプライバシーポリシーを参照してください。プライバシーポリシーについては、アクセスをリクエストするWebサイトに問い合わせてください。

    また、そのドキュメントから読むべき1つの重要なこと:

    (Flash Player 8以降)SWFまたはFLVコンテンツをコンピューターにダウンロードした場合、コンテンツがインターネットと通信しようとしていることを警告するダイアログボックスが表示されることがあります。 Flash Player 8以降のバージョンでは、デフォルトでローカルのSWFまたはFLVコンテンツがインターネットと通信することはできません。

    また、最初のポイントで説明したCapibilitiesクラスを使用してOSとハードウェアの両方の情報を取得することが可能であり、同じ最後のリンクから読み取ることができるので、Flash Webアプリケーションで必要な場合があるため、100KB以上、およびWebアプリケーションが悪意のあるものである質問に対する明確な答えは、特にセキュリティの問題について誤った情報を提供しているユーザーで発生する可能性が高いということです。

これらの情報が与えられれば、深く掘り下げた後、あなたが尋ねたことを確実に達成できます(確かに誰もあなたにその方法を教えてくれません)。しかし、覚えておいてください。もしあなたがbrwoserフィンガープリントを回避する目的でそれをしたいなら、そのアイデアを忘れて 伝統的な方法 を使うほうがいいです。

2
user45139

Ivan Iovationのプライバシーマネージャーでフラッシュを編集します。私は所有者です。

カスタムデータを読み取るようにFlashを設定できます。

Flash Version
Operating System
Manufacturer
Language
Player Type
Pixel Aspect Ratio
Flash Architecture
Screen Resolution 
Screen Color
Screen DPI
Max Level IDC
System 32 Bit
System 64 Bit

PLUGIN Name
PLUGIN Version
PLUGIN FileName
PLUGIN Description
MIME Type 
MIME Suffixes
MIME Description

www.ivanovation.ro/manager

View Flash Privacy Manager

1
Larry Flashman