Задачи рендеринга на клиентской стороне с целью фингерпринтинга
Практика смены браузера, чтобы сменить личность в интернете, является популярным советом от экспертов и специалистов по безопасности. Согласно опросу, около 70% пользователей установили и регулярно используют по меньшей мере два браузера. Так они надеются избежать слежки и нежелательного распознавания на сайтах.
Группа американских исследователей опубликовала научную работу с описанием более продвинутых техник фингерпринтинга, которые не учитывают версию браузера, но всё равно распознают конкретный ПК с высокой точностью.
Фингерпринтинг — спорная техника идентификации пользователей в интернете в качестве альтернативы обычным кукам и «вечным» кукам. Если пользователь удаляет куки или у него установлены программы для блокировки следящих трекеров, с помощью фингерпринтинга его всё равно можно узнать.
Противники этой техники говорят, что использование фингерпринтинга неэтично, если пользователь явно запретил себя идентифицировать и активно удаляет куки. С другой стороны, некоторые веб-разработчики не видят ничего плохого в том, чтобы распознавать повторных посетителей, если не делать ничего незаконного. Мол, это же для их собственного удобства. Распознавание пользователей (трекинг) тем или иным способом осуществляет более 90% самых популярных сайтов интернета. Фингерпринтинг — самая надёжная техника. Она подразумевает создание уникального «отпечатка» пользовательского компьютера с учётом всех открытых параметров: версии ОС, версии браузера, набора плагинов и расширений к браузеру, списка установленных шрифтов, разрешения экрана и т.д.
До последнего времени при фингерпринтинге всегда учитывалась версия браузера пользователя, но сейчас исследователи пробуют преодолеть это ограничение — и распознавать конкретные ПК независимо от браузера.
В работе группы американских исследователей новая техника именуется CBF, то есть кросс-браузерный фингерпринтинг (Cross-Browser Fingerprinting). Она учитывает характеристики компьютерной системы, которые проявляют себя независимо от версии браузера при рендеринге и обработке графики.
Исследователи замеряют время выполнения различных графических операций и используют эту информацию для профилирования конкретного ПК. Например, нанесение растрового изображения на грань куба средствами WebGL с аппаратным видеоускорением выполняется с одинаковой скоростью независимо от браузера.
Вот список некоторых параметров, которые можно использовать для кросс-браузерного фингерпринтинга.
Разрешение экрана. Как выяснилось, если задействовать зуммирование, то можно получить надёжный результат независимо от версии браузера.
Количество ядер процессора. Браузерный параметр
hardwareConcurrency выдаёт максимальный порог для конкретного компьютера в операциях Web Worker. Даже если браузер пытается изменить этот параметр (например, Safari делит его на два), можно легко вычислить истинное значение.AudioContext. Набор задач по обработке звука в операционной системе и звуковой карте. Фингерпринтинг осуществляется путём замера времени выполнения этих операций.
Список шрифтов. Стандартная техника фингерпринтинга, которую исследователи адаптировали для кросс-браузерного варианта. Список установленных шрифтов можно определить по рендерингу глифов в браузере.
Линии, кривые и антиалиасинг. Рендеринг линий, прямых и антиалиасинг в HTML5 Canvas и WebGL выполняется средствами GPU.
Vertex Shader. Ещё один элемент, который рендерится графической подсистемой и графическим драйвером. Он используется при создании теней и освещения в 3D-объектах и задействуется в WebGL.
Fragment Shader. Отслеживается таким же способом, как и Vertex Shader.
Прозрачность в альфа-канале. Выдача этих графических элементов зависит от GPU и драйвера и является одинаковой во всех браузерах.
Установленные письменности (языки). Некоторые письменности вроде китайской, корейской и арабской, требуют установки специальных библиотек.
Моделирование. Рендеринг 3D-моделей.
Освещение и построение теней (Lighting and Shadow Mapping). Ещё одна особенность 3D-графики, связанная с обработкой света и теней.
Камера. Имеется в виду не установленная на компьютере веб-камера, а другая техника, специфичная для 3D-моделирования. Она производит построение 2D-представлений для 3D-объектов.
Отсечение плоскостей (Clipping Planes). Операция WebGL, связанная с вычислением координат 3D-объектов с ограниченной видимостью.
Все перечисленные техники в совокупности позволяют составить довольно надёжный и точный профиль конкретного компьютера. В таблице ниже перечислена надёжность и энтропия, которую обеспечивает каждый метод и все они вместе.
В совокупности, техники CBF позволяют точно идентифицировать около 99,24% всех компьютеров. Исследователи проводили тесты с использованием браузеров Chrome, Firefox, Edge, IE, Opera, Safari, Maxthon, UC Browser и Coconut.
Техника работает довольно надёжно и отсутствие какого-нибудь одного из параметров в профиле практически не оказывает влияния на результат.
Для анонимной работы в интернете авторы научной работы рекомендуют использовать браузер Tor, который нормализует браузерную выдачу и не даёт возможности осуществить фингерпринтинг такого рода. Правда, и у него есть небольшой грешок: он тоже оставляет пару параметров открытыми, в том числе ширину экрана и AudioContext. Исследователи выразили надежду, что разработчики Tor нормализуют выдачу по этим параметрам тоже.
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Комментарии (134)
vconst
14.01.2017 12:59+3Практика смены браузера, чтобы сменить личность в интернете, является популярным советом от экспертов и специалистов по безопасности.
Одни домохозяйки, посоветовали другим домохозяйкам, что бы те пользовались отдельным браузером. Внезапно, этот совет оказался не самым лучшим, потому что настоящие специалисты — всегда советовали, для полного инкогнито, создавать виртуалку со стандартными параметрами, или пользоваться для этого VPS. Но кто же слушает специалистов?
Am0ralist
14.01.2017 14:04Ну ок, следующим добавят поведенческий и психологический анализ. Будете развивать управляемую шизофрению?
vconst
14.01.2017 14:12Гуглтранслейт туда обратно и пусть психиатры ставят диагноз искину. Это даже не учитывая того, что такой анализ только в теории.
andreymal
16.01.2017 00:47Виртуалка или будет выбиваться своей низкой производительностью (без аппаратного ускорения), или будет успешно проходить сабж так же как и без виртуалки (с ускорением), а у VPS как минимум айпишник странный, да и WebGL возможно вообще не будет, что тоже слишком необычно, так что, подозреваю, всё это не поможет)
UPD: ох, очень долго комментарий модерировали, я за это время уже понял что глупость написал) Впрочем, если цель — не перестать быть уникальным, а не допустить связи с основной машиной, то может и пойдёт. Однако любой случайной связи (по стилю сообщений, например) всё равно может деанонимизировать всё и сразу
Iwantbelieve
14.01.2017 13:41Связано это прежде всего с canvas fingerprinting, которой получается уникальным для каждого компьютера. Для FF есть дополнение CanvasBlocker, выдающее вместо реального отпечатка рандомное значение. Эффективность можно проверить на Panopticlick.
Incidence
14.01.2017 14:32+6Я так понимаю, все эти тонкие измерения возможны только при включенном джава-скрипте на стороне клиента. А это первое, что выключают параноики.
NeoCode
14.01.2017 16:16+4Сейчас многие сайты без джаваскрипта не работают вообще.
iChaos
15.01.2017 15:22Сейчас многие сайты без джаваскрипта не работают вообще.
И это, именно те сайты, на которые, в первую очередь, забивают параноики. ;)
0x131315
15.01.2017 17:37И правильно делают.
Информацию можно отдавать и без скриптов, статически.
И именно так ее и нужно отдавать — это просто, это удобно, это совместимо с большинством устройств (в т.ч. полностью автоматических, рассчитанных на длительную автономную работу).
Скрипты нужны для экономии трафика, для украшения, для рекламы, и для игрушек — ничего этого серьезным людям не нужно. А трафик можно экономить, просто обрезая всю графику, подгружая ее клиентом по запросу — это будет намного эффективнее скриптов.
Правда тогда веб превращается просто в странички текста.
Но именно это и нужно серьезным людям: текст — это информация в чистом виде.
Текст просто форматируется (сейчас вообще автоматически), выглядит прилично, хорошо жмется, мало весит на диске — идеальный формат для оффлайн хранения подборок, коллекций, статей, и т.п.
Плохо, что большинство сайтов тупо разучились отдавать статику.
А ведь в большинстве ситуаций могли бы и отдавать: большинство сайтов отдают информацию именно в виде текста, графика не более чем необязательное украшение, игры редкость, отдавать статику, если клиент отказывается от динамики, ничто не мешает.
Alexeyslav
16.01.2017 18:00Всё очень просто. Сервера просто не справятся со статикой… это же на каждое действие пользователя необходимо будет перезагружать страничку. Вы пробовали измерить трафик в старом режиме, статичном? Так за 2-3 перегрузки страницы окупает один раз за сеанс скачаный мегабайт скриптов. Скрипты на клиенте — это так же снижение нагрузки на сервер! Даже если не изменяющиеся элементы в виде картинок и другой статики кешируются, то DOM страницы каждое действие пользователя необходимо будет передавать по сети, это забъёт все каналы к серверам при незначительной нагрузке на процессор сервера. Оно конечно хорошо для пользователя, но плохо для владельца сайта/сервера.
0x131315
16.01.2017 20:25Сервера просто не справятся со статикой… это же на каждое действие пользователя необходимо будет перезагружать страничку
Никто не заставляет всем отдавать статику — у большинства скрипты все же включены, а у меньшинства получается просто нет доступа. Либо со скриптами, либо никак.
Ситуация тут та же, что и везде на рынке: жертвуют интересами меньшей части пользователей, ради погони за большей.
dumndum
15.01.2017 12:33-1К сожалению, очень многие сайты не работают или сильно ограничивают функционал, без java скриптов.
bano-notit
15.01.2017 17:34Как правила параноики не играют в игры и не сидят в соц сетях. Они предпочитают "живое забвение" всяким там сетевым увлечениям. Но есть такие сайты, которые согласны откатится на IT-век назад и заплатить, чтобы даже параноикам на них было удобно.
Lux_In_Tenebris
14.01.2017 17:19На https://browserleaks.com/ можно провериться на раскрытие различных данных браузером. Если кто знает получше альтернативы — подкиньте.
svosin
14.01.2017 17:49+2
abrwalk
15.01.2017 01:41Panopticlick это в основном просто обертка над Fingerprintjs2,
Browserleaks же показывает более подробно по пунктам, например:
https://browserleaks.com/canvas
https://browserleaks.com/webgl
https://browserleaks.com/fonts
olgerdovich
15.01.2017 03:25да, славная вещица. Проверился: один из 188,569. В первую очередь палево по плагинам браузера (собственно 188,569), хотя, казалось бы ничего особенного не ставил; всего лишь вдвое (и почему-то РОВНО вдвое) менее уникальны системные шрифты (один к 94284.5). Hash of canvas fingerprint на третьем месте, но это жалкие один к 739.49
therealman_tm
15.01.2017 18:51Подскажите, как читать результаты? Чем больше бит, тем хуже, т.е. тем уникальней браузер? Если так, то у меня больше всего как раз от canvas и WebGL fingerprints (в сумме 15 бит).
Любопытно еще то, что у разных браузеров одно и тоже общее количество бит.
ssergy
14.01.2017 17:29+1Главное проблема/ограничение фингерпринта- он не работает на однотипных устройствах — например на iphone/ipad. Хотя все указанные в статье варианты мы не тестили.
melchermax
14.01.2017 17:56У меня вопрос к экспертам: чем мой стандартнный Sony Vaio 91711 со стоковой Ubuntu 16.10 и Google Chrome отличается от другого такого же, стоящего в подвале? Исключая, конечно, MAC сетевых карт.
ssergy
14.01.2017 18:13Если 2 ноута чисто распечатаны из коробки, на них установлена чистая убунту и хром, без единого плагина из репа — 2 машины будут идентичны и однозначно определить что на 2 сайта зашел один и тот же юзер невозможно. Но большинство юзеров ставит плагины (тот же адблок), шрифты и тд и тп (за что и цепляются спецы из статьи).
taumag
14.01.2017 19:28adblock — это расширение, а не плагин. Насколько я знаю, невозможно узнать список расширений из js запущенного на странице.
Sayonji
14.01.2017 19:51+1Многие сайты умеют определять, есть ли у вас блокировщик, вы и сами это наверняка видели. Нужно только проанализировать разницу списков разных блокировщиков, чтобы уметь более-менее точно идентифицировать конкретное расширение.
ssergy
14.01.2017 20:27Есть способ проверки конкретных extensions, того же адблока. Раньше было совсем просто — сейчас легко нашел решение на stackoverflow, комменты от октября 16, и легко проверить.
Zavtramen
15.01.2017 19:54+1В энтерпрайсе распространено использование однотипных машин с однотипными образами. Там все данные будет одинаковыми. Правда энтерпрайс и в интернет почти не ходит.
DrZlodberg
14.01.2017 17:47А каким образом используется камера? Замеряется время трансформаци тяжелого объекта? Вроде как оно в чистом виде не присутствует. Только как общая часть процесса.
Sayonji
14.01.2017 17:56техники CBF позволяют точно идентифицировать около 99,24% всех компьютеров.
Что это значит? Просто определить модель компьютера? А толку от этого?ssergy
14.01.2017 18:19Это значит что зайдя на 2 разных сайта пользователь будет узнан как один. Даже в режиме инкогнито. В идеале даже из 2 разных браузеров. Применение — самое очевидное -при показе рекламы, когда это завязывается с профайлингом. Более простое — можно от мультирегистраций на сайте защищаться, можно мошенников, которые карты вбивают ворованные ловить)
Sayonji
14.01.2017 18:24+1Подавляющее большинство метрик из статьи это характеристики GPU. Ну хорошо, пусть кто-то знает, какая у меня видюха. Моя видюха (да хоть всё железо) + мой набор плагинов сафари (адблок) + мои шрифты (стандартные, естесственно) позволяют кому-то отличить мой макбук от чьего-то еще? О каких 99.24% идет речь?
ssergy
14.01.2017 18:33Да позволяет. Мы делали фингерпринт — ставили на сайт, затем просто обрезали «типовые конфигурации», по которым набегало сильно больше чем 1 пользователь. Остальных уже мониторили — ловили дублирующие аккаунты. Человек всегда на чем-то, но «прокалывался».
Хотя цифра 99.24 % крайне сомнительна — интересно было б погонять полноценное решение)Sayonji
14.01.2017 18:35Хотя цифра 99.24 % крайне сомнительна
О чём мы тогда рассуждаем? Я именно про эту цифру спрашивал. Я верю, что с некоторой вероятностью можно поймать кого-то. Но в статье утверждается, что можно всегда (99% это можно считать всегда).
AlexLeeB
15.01.2017 12:37являюсь по совместительству ISA2006 админом — всё, что прошло ч/з мну учтено в логах… но таки да ловят именно 99,9 тем более по наводке(типа надо его вальнуть)
zim32
14.01.2017 18:21Толк в том что если вы не использовали все хитрости указанные выше в коментах, то ваша модель компьютера с большой вероятностью уже сопоставлена с вашим номером паспортом. Я говорю про страны где это имплементировано.
Sayonji
14.01.2017 18:28Моя комбинация видеокарта+процессор встречается всюду. Как происходит шаг к номеру паспорта, вот что я не пойму. Давайте выкинем из статьи все альфа/каналы и скорости рендеринга, заменив на предполагаемое точное знание начинки компьютера. Останутся плагины/шрифты/разрешение экрана. Эта четверка с точностью 99%+ определяет пользователя? Чушь же.
volk0001
14.01.2017 21:24Могу предположить, что скорость рендеринга и прочие параметры уникальны для конкретного экземпляра камня/видеокарты. Но там речь идет о величинах чуть ли не в пикосекунды, как они их фиксируют по сети, учитывая нестабильный пинг, для меня загадка.
Raytheon
14.01.2017 22:04Так ищут не конкретный камень/карту, а их комбинацию плюс некоторые настройки браузера. Охотно верю, что при таком раскладе можно выделить один компьютер из сотни. Извращенцы с виртуалками и чистыми ноутами тоже бывают, но их слишком мало, чтобы повлиять на статистику.
iig
15.01.2017 12:37Установил я Whonix (2 виртуальные машины и TOR внутри), из под него зарегистрировался на 4pda — и модераторы опознали мультиаккаунт. Причем правильно опознали. Так что это работает.
sumanai
15.01.2017 15:09А вы не думаете, что на 4pda просто напросто всех пользователей TOR банят, превентивно так сказать?
iig
15.01.2017 16:25Вряд ли. Название основного аккаунта они угадали. А из той виртуалки я его не использовал.
bano-notit
15.01.2017 17:41Был я модератором. Есть такая практика, по речи узнавать. По всяким там привычкам. Даже если человек осознаёт, что по этим привычкам он может быть узнан и специально их подавляет, то он начинает создавать новую сущность, которую к следующей сессии может забыть. Короче говоря, всякие там клоны можно узнать либо по тому, что они сильно похожи на других людей. Либо они ооочень сильно не похожи ни на кого, да и вообще на людей (либо слишком хорошая память, либо слишком плохая).
Короче, пока что автоматических систем для определения клонов не придумали. Точнее придумали, но они не сравняться с реальными людьми, которые начинают "думать как приступник".iig
15.01.2017 19:50На втором же сообщении. Коротком. Вряд ли этого достаточно, чтобы 100% сопоставить новый аккаунт старому, замолчавшему месяц назад. (Забыл пароль, регистрировал на временную почту, которую тоже не помню).
Проще предположить, что, действительно, какие-то характеристики железа доступны из виртуалки и по ним возможен трекинг.bano-notit
15.01.2017 20:27Тут уж содержание сообщений. Смотря как выпендриться.)
iig
15.01.2017 22:58Чтобы следили на форуме с сотнями активных участников персонально за тобой — это надо очень активно выпендриваться ;)
ggrnd0
15.01.2017 18:52Есть много техник.
Например распознание стиля печатания.
Если ты не одеваешь специальные перчатки, которые мешают печатать, тебя вычислят)
Достаточно 1000 знаков в идеальных условиях.
P.S. захочешь скрыться и начать с чистого листа, первым делом сломай себе несколько пальцев.
Только в больницу при этом не обращайся, они УЖЕ знают о таком способе ;-)
sumanai
14.01.2017 22:07+1Правда, и у него есть небольшой грешок: он тоже оставляет пару параметров открытыми, в том числе ширину экрана
Последние версии запускаются в окне стандартного размера и ругаются, когда его размер изменяют. Так что статья в этой части устарела.
qw1
14.01.2017 23:24Сложность не в получении супер-уникального хеша, а в стабильности факторов. Если детектор ошибётся хотя бы в одной фиче, получится другой хеш и пользователь не будет распознан.
Согласно таблице в статье, фактор со 100% стабильностью — TimeZone. Скорее всего, он включен в хеш. Просто на втором браузере настраиваем рандомизацию при старте и всё)))
Другой весьма стабильный фактор — это Platform. Если я на одном Firefox настрою User-Agent Windows, а на другом — Linux, это гарантировано даст два разных пользователя.
Кроме того, математически некорректно считать параметры GPU независимыми и суммировать их энтропию.
Разные тесты, например Texture и Light, скорее всего либо одновременно дадут одинаковый результат у разных пользователей, либо одновременно разный. Поэтому, вместо внушительного списка в 100500 тестов GPU достаточного одного, наиболее показательного. Но ведь так не получится сделать внушительный список)))
stanislav-belichenko
15.01.2017 08:06+1Принцип ооочень не нов и например используется в компьютерных онлайн-играх для определения игроков, ведущих несколько аккаунтов. Ради интереса и еще пары вещей как-то был администратором игровых серверов, там, по крайней мере, на тот момент таких хитростей в плане обработки 3d и прочего не было, но тоже кое-что сравнить можно было. В итоге, когда многие параметры совпадали, а какие-то например были наоборот строго противоположны, точность тоже была неплохой, на мой взгляд.
Alter2
15.01.2017 10:43Старая статья Анонимности нет, смиритесь! в своё время заставила неслабо напрячься и поискать способы анонимизации. Но теперь прихожу к выводу что название статьи было правильным: к сожалению, не нашёл способа продуктивно работать в сети поддерживая должный уровень анонимности. Слишком много неудобств это создаёт и слишком много усилий требует. Готового бесплатного решения нет. В итоге действительно смирился: искать приходится через Гугл, залогинившись в свой профиль, рабочую переписку вести через gmail, дать доступ к контактам различным программам. В облако пока фотографии и личные документы не выгружаю, но похоже и с этим придется смирится, уж слишком это удобно.
dartraiden
16.01.2017 01:11Я тоже раньше «упарывался по анонимизации», но, в итоге, пришёл к следующим выводам:
— доводить свой «повседневный» браузер до полной анонимности — не вариант. Во-первых, его придётся обвешать массой дополнений, тюнинговать тонкие настройки… всё это, во-первых, превращает повседневный сёрфинг в лютый тормознутый и неудобный геморрой, а во-вторых, при обновлении до следующей версии браузера какие-то «тонкие настройки» переименуют, что-то добавят, так что это постоянная трата времени на борьбу с ветряными мельницами. И всё ради того, чтобы сайты не составляли мой рекламный профиль? Да ну, проще рекламу зарезать.
— если же анонимность нужна для дел, за которые может неиллюзорно прилететь реальный срок и реальные проблемы — эти дела нужно делать со специально заточенных под такое решений, например, того же Tor Browser, где даже при попытке изменить размер окна браузера вылезает совет этого не делать. И, конечно, создать «вторую личность», которая ничем не будет связана с той личностью, под которой производится ежедневный обычный сёрфинг в сети (вспоминаем тут, как вышли на Росса Ульбрихта).
LazyTalent
15.01.2017 12:32Считаю, что опрос не совсем корректен. Например, я использую несколько браузеров, но это никак не связано с безопасностью. Так, для обычного серфа — vivaldi, для снятия скриншотов — FF итд итп
vangelfeld
15.01.2017 12:32а что такое "вечные" куки?
ValdikSS
15.01.2017 13:03Скрипты, которые устанавливают уникальный идентификатор во все, куда можно загрузить какие-либо данные, и восстанавливают этот идентификатор из всего, откуда он был удален.
Пожалуй, самый известный из подобных: evercookie.
Oplkill
15.01.2017 12:32Как скоро сделают технологию распознавания личности по его движению мышки, кликам в различных областях, кручение колёсика в определенных местах страницы, CPI мышки.
Читал статью давно на гике/хабе о том, что по мышке можно с большой точностью идентифицировать человека.taumag
15.01.2017 23:32По скролу разве что. Раньше тестил — onmousemove не давал нужной точности при движении мышкой. А по наличию ускорения/торможения только ботов определять.
YemSalat
15.01.2017 12:32А как быть, например, с пользователями маков?
У них по идее у всех одинаковое железо в рамках одной модели, то есть по сути такой фингерпринтинг как описано в статье будет показывать одинаковые значения сразу для большого числа пользователей?bano-notit
15.01.2017 17:44-1Софт у людей разный. Кто-то любит обоину покрасивее, кто-то любит экран потемнее. Это всё сказывается на миллисекундах работы всего компа.
YemSalat
15.01.2017 20:17Каким образом «красивость» обоев и уж тем более подсветка экрана может на производительности сказываться?
Даже если допустить что текущие запущенные программы могут как-то сказаться на этих тестах, они же не постоянно работают. Вот закрыл я какую-то программу — получается у меня «отпечаток» поменялся?bano-notit
15.01.2017 20:31Получается что поменялся) Вообще у меня есть вопрос, как сделать реальный фингерпринт компа не через браузер. Ибо браузер сильно урезан. А вот в обычной программе можно получить и mac адрес, и всякие там id железяк. Вот это будет реально хороший, "железный" отпечаток.
f14shm4n
15.01.2017 12:32Вся эта борода должна исполняться на клиенте, полагаю что, тот кто сильно хочет быть аноном не допустит этого. В плане трекинга пользователей для показа рекламы да, годное средство, но как средство слежения, увы штука бесполезная.
trantor1
15.01.2017 12:32+1В немецком журнале Ct, есть рубрика про процессоры и. т.д.
Так вот в последнем выпуске пишут, что например в intel процессорах последних поколений
разница в скорости вычислений до +-5%. На идентичных моделях.
Т.е. есть как-бы «ленивые» и «трудолюбивые» камни.
Выяснилось это на больших вычислительных кластерах укомплектованных идентичными серверами.
Вроде как одной из причин называют speedstep/turboboost с его большим количеством шагов и индивидуальностью систем охлаждения.
А если сюда добавить GPU и RAM то вполне может быть разница даже в 2 одинаковых устройствах только что из коробки.qw1
15.01.2017 15:03+1Вопрос снова в стабильности. speedstep/turboboost подстраивают частоту процессора под нагрузку и температуру. Открыл в соседней вкладке видео, и показатели поплыли. Открыл в комнате окно или включил кондиционер — аналогично.
dartraiden
16.01.2017 01:16А на новых камнях АMD это ещё сложнее будет сделать. Там обещают порядка 100 датчиков, встроенных в процессор, которые будут в реальном времени «тюнинговать» его работу, выжимая из процессора все соки.
President_of_Mars
15.01.2017 14:41+1Она подразумевает создание уникального «отпечатка» пользовательского компьютера с учётом всех открытых параметров
А поддельные «отпечатки» скармливать — никак?
Stalker_RED
16.01.2017 00:57Отреверсить те тесты которые собирают отпечаток и послать ответ на сервер. Но их могут обфусцировать и модифицировать довольно часто.
Или сэмулировать нужную реакцию ОС и железа. Правда для этого нужно сперва раздобыть образец, который вы собрались подделывать, а затем вооружиться заведомо более мощным и функциональным «железом».
Но если не нужно подделывать чьи-то конкретные отпечатки, то проще «затеряться в толпе» используя тор браузер и whonix, какой-нибудь.
Tertium
15.01.2017 14:51+1что-то не понял, только у меня одного одни и те же вычислительные задачи, равно как и задачи рендеринга, запущенные много раз, каждый раз дают разное время с небольшим разбросом? или есть какой-то эксклюзивный режим, полностью останавливающий все и вся ради идентификационного рендера? да даже и так получить одни и те же миллисекуды нереально. странно все это
lola_term
15.01.2017 19:30Это все(шрифты/канвасы/разрешение/количество ядер и тд) давно уже эмулируется Random Agent Spoofer. В связке с Ublock(Desconnect) +PrivacySettings убирает почти все следы идентификации из браузера, остальные стучалки руками надо выключать.
taumag
15.01.2017 23:46Это всё конечно интересно, но если ты на сервере единственный юзер, у которого это всё отключено, то ты заметен как белая ворона. И даже если вас таких несколько, по оставшимся параметрам вы всё равно рискуете спалится.
ЗЫ: Random Agent Spoofer — по большей части не эмулирует, а отключает всё подряд.
dartraiden
16.01.2017 01:19И, в итоге, сёрфинг превращается в медленный геморрой с долгими попытками понять, какие же куки и скрипты нужно разрешить вот этому очередному сайту, а какие можно не разрешать.
Если уж вам нужно делать что-то, за что могут наступить реально неприятные последствия, то разумнее воспользоваться специализированными инструментами (Tor Browser тот же, где и доступ сайтов к canvas контролируется, и попытки пользователя изменить размер окна браузера пресекаются, и многое другое запатчено), чем пытаться изобрести велосипед, делая приватный браузер из браузера для «повседневного использования».
Fagot63
А чем плох режим инкогнито в браузерах?
userneu
Для каких задач?
darthmaul
Тем, что как бы говорит всем желающим «я делаю что то тайное, проследи за мной». Единственный вариант для анонимности — TOR, открытый в виртуалке, поключённый через VPN. В большинсве случаев ТОР не обязателен, если VPS надёжный и анонимный (оплата бинткоинами).
riot26
Как VPS будет анонимным, если в последствии нужно подключаться к нему напрямую?
darthmaul
Я имел в виду VPN, опечатался. Шифрованное подключение с виртуалки к VPN даст довольно мало инормации тем, кто попытается Вас отследить. Конечно, спецслужбы справятся, я не говорил о криминале, но для торрентов в некоторых странах, где они запрещены сойдёт.
dobergroup
Спецслужбы какой страны? Той, откуда гражданин-нарушитель? Той, где физически находится ферма VPN? Той, где зарегистрирована компания, оказывающая услуги?
darthmaul
Любой, которая заинтересуется*.
* — при условии, что нарушитель находится на территории того же государства что и спецслужба, или союзного с ним.
DrZlodberg
А вот как на счёт того, что любой скрипт вполне по правилам может обратиться к любому сайту передав ему любую известную ему информацию? Ну передаст он ему особенности не реальной машины, а виртуалки, которую обслуживает реальная машина, и всё. Погрешность будет больше, но в целом корреляции всё равно будут. При отключённых-же скриптах все эти техники ничего не стоят.
Тут уже не раз был спор на эту тему, однако вернусь к ней. Для работы подавляющего большинства сайтов скрипты на самом деле не нужны. Совсем. Они используются лишь для создания красивой мигающей хрени и (судя по всему в большей части) для показа рекламы и тракинга юзеров. К сожалению любителей «красивой мигающей хрени» всё больше, и скоро, видимо, сайты без скриптов станут не работоспособны совсем. Увы.
profesor08
Только благодаря скриптам вы написали свой комментарий. Отключите их и посмотрите во что превратится интернет.
DrZlodberg
Комментарий я написал благодаря мозгу, рукам и клавиатуре. Для того, чтобы его отправить на сервер скрипты тоже не нужны. Открою страшную тайну: интернет долгое время прекрасно обходился без них.
Конкретно тут единственный смысл скриптов — отправить набранное на сервер не перезагружая страницу. Только за время написания комментария их количество сильно увеличивается. Собственно приписку «я буду обновлять перед отправкой» тут можно увидеть весьма часто. Так что функция совершенно бесполезная. Это всё равно приходится делать.
Лично у меня скрипты включены на 2х сайтах. youtube и shadertoy. И то первый из них во флешовые времена мог обойтись без них. Гугл, кстати, обходится прекрасно до сих пор (в отличие от яндекса, у которого даже кнопка «отправить» скриптовая зачем-то). Весь остальной тоже вполне нормально себя чувствует без них (ну, кроме самых упоротых). А с появлением возможности делать менюхи и анимацию с помощью CSS вообще большую часть визуальной скриптовой хрени можно выкинуть.
Beyondtheclouds
так а если на хабре у вас скрипты не включены как выглядит процесс написания коментария для вас лично ?:)
DrZlodberg
Очень странно выглядит. По непонятной причине из основного браузера (firefox) мне вообще не удаётся залогинится сюда. При чём даже со включённым всем-всем-всем и отключенными проксями и резалками. И хз почему. При логине получаю ответ — не введена почта или пароль, при том, что сетевой монитор показывает их отправку.
Так что написание начинается с запуска специально для этого поставленной Оперы со всеми разрешениями :(
Раньше, когда такой фигни не было — включал если нужно было написать (в noScript делается одним кликом). Собственно для меня это ресурс больше для чтения (я R&C, так что писать могу сравнительно недавно и делаю это не часто). А читать можно и без них.
Так что да, формально тут они тоже включены. Реально — очень редко и на выделенном браузере. Остальные сайты с которыми я имею дело до сих пор либо работают по старинке либо теряют только функции ввода тегов по клику (что пофиг, написать их не сильно медленнее, чем целиться в кнопку)
sumanai
Запрет сторонних кук виноват скорее всего.
DrZlodberg
Нет. Всё разрешал. Вообще всё. Очень долго с этим мучался пока не забил.
На всякий случай сейчас проверил — та же фигня.
«Нечего проверять»
На самом деле тут вообще мутная история. Сначала я пробовал зомбреру. Тот вообще отвалился ещё на https handshake, даже на сайт зайти не смог. Опера тоже не сразу смогла. Причём и в обычном, и в турбо режиме. Больше нигде такого не наблюдал.
Aingis
Рефёрер передаётся? Хабр/ГТ настолько «прямо» написаны, что без него не работают никак. (А?это необязательное поле по стандарту.)
Проблема может быть ещё в капче. (Особенно, если вы её не видите.)
DrZlodberg
Вот же блин! Нахрена тут реферер? В жизни бы не догадался сам, особенно если учесть столь «информативное» сообщение. Тут уже не столько хабр, сколько сайт, через который идёт логин. Он ничего не говорит ДО ввода. Только бессмысленное сообщение после.
Спасибо, пол-года спустя заработал.
edd_k
Красивой мигающей хрени? Т.е. если мне нужно подсчитывать сумму чисел в таблице и выводить ее по мере вбивания этих чисел, то это красивая мигающая хрень? Если мне нужны таймеры и динамическое обновление по таймеру — это тоже мигающая хрень? А тру-юзеры будут в восторге не иметь удобного UI с неограниченной функциональностью? Может еще к фреймам с жирными разделяющими бордюрчиками вернемся? Было весело и самобытно, не спорю. Что-то сродни воспоминаниям о Рэмбо и Терминаторе на пожеванных видеокассетах =)
DrZlodberg
Если вы чуть внимательнее посмотрите — я не отрицаю скриптов как таковых. Проблема в том, что их пихают не только там, где они нужны, но везде вообще. Вот возьмём яндекс. Был обычный поиск, но теперь при нажатии на кнопку поиска клик обрабатывается скриптом вместо стандартной отправки на сервер. И это при том, что прекрасно можно было повесить скрипт и на стандартный элемент и всё бы работало (ок, поиск бы работал) независимо от наличия скриптов… Нахрена? Вот что, без этого нельзя обойтись? А до этого 20 лет он как работал? И табличку с результатом он без скрипта отобразить не может ну никак? Гугл вот может, а яндекс не осилил. И так потихоньку становится везде.
Таблица — ок. Таймеры и динамическое обновление? А не для мигания ли лампочкой? ;)
Неограниченная функциональность требует неограниченных ресурсов. Боюсь мой скромный бук не потянет. Не надо впихивать хотя бы тут неограниченную функциональность. Уже давно мода лепить из любого простого и эффективного инструмента мегакомбайн делающий всё, что угодно, и ещё кучу всего такого, смысла чего не знают даже его создатели. И требующего для своей работы маленький сервер. Это проходили уже сотни раз и ни одного удачного из них я не припомню. Таким образом угробили много хороших программ.
При чём тут фреймы? Против CSS вообще не слова не сказал. Как раз наоборот, он сейчас в состоянии заменить большую часть бессмысленных скриптов. По факту, конечно, он сам уже стал скриптом и грузит машину ощутимо анимацией и прочей хренью, но пока не может жить своей собственной жизнью, как скрипты и прочий код. А ширина бордюрчиков, кстати, вполне настраивалась уже тогда :)
edd_k
Вы написали: " Для работы подавляющего большинства сайтов скрипты на самом деле не нужны. Совсем. "
Как мне кажется, это заявление без лишних раздумий можно назвать перегибом.
Но вы еще и добавили: "Они используются лишь для создания красивой мигающей хрени"
А так то, конечно, вы скриптов не отрицаете. Только это еще надо понять между строк.
Не стоит перекладывать с больной головы на здоровую. Инструменты для описания алгоритмов нужны повсеместно. Независимо от того, с какой частотой их используют для доставления неудобств — они нужны. Я вот гугло-экселем стараюсь не пользоваться. Более тормозящего браузерного отстоя я еще не видел. Так мне за это на скрипты дуться или на гугль?
DrZlodberg
Аргументируйте. Под «красивой мигающей хренью» я имел ввиду отнюдь не положительный пример. Динамическе меню (и прочее подобное) сейчас можно делать и на CSS. Это уже не говоря о том, что в большинстве случаев смысла в них тоже не много. А если нужен большой список — лучше уже делать отдельный список разделов (но это уже вкусовщина, согласен).
Я вообще не предлагаю ни на кого дуться. Ещё раз. Речь не о скриптах, а об их бессмысленном и беспощадном использовании. Когда сайт, который может (а часто и работает) без них кроме 10кб странички грузит ещё 300+кб скриптов, которые непонятно что делают и жрут на это проц — это перебор. Гугль, кстати, отличный пример обратного. И поиск, и почта у них прекрасно себя чувствует и без скриптов. Гугл доки и ютуб без них жить по очевидным причинам не могут и это тоже отрицать бесполезно. А уже использовать или не использовать эти сайты личное дело каждого.
Ради интереса посмотрел гиктаймс (вот конкретно эту страницу). Без малого мегабайт скриптов на 0.5 метра собственно документа. Зачем!? Реально для ответа на комментарий нужен это мегабайт?
edd_k
Что аргументировать? Сначала вы отрицаете необходимость скриптов. Потом утверждаете, что ничего не отрицали. Может просто не стоит начинать разговоры с резких не вполне корректных формулировок?
>> Реально для ответа на комментарий нужен это мегабайт?
Вы опять трансформировали вопрос «нужны ли скрипты» в вопрос «почему этот скрипт такой большой». Скрипты тут нужны. А почему именно этот такой — ну напишите в саппорт, поинтересуйтесь. Может просто потому, что библиотеки сторонние используются, а не с нуля все написано?
DrZlodberg
Я не отрицаю. Если уж разбирать подробно:
Формулировка как минимум намекает на наличие меньшинства, которому они всё-таки нужны.Скрипты тут не являются необходимостью. Даже для написания комментариев. Собственно если бы не блокировали предварительно кнопку отправки — комментировать саму статью можно было бы без них и так.
Специально пытался найти, где они используются ещё и не сумел. Ну, кроме кучи тракеров, аналитики и рекламы. Извините, но их я необходимыми тем более не считаю.
andreymal
«подсчитывать сумму чисел в таблице», «таймеры и динамическое обновление по таймеру» — это явно не относится к большинству сайтов ;)
К утверждению «Для работы подавляющего большинства сайтов скрипты на самом деле не нужны. Совсем.» присоединяюсь. Тот же хабр вполне реально сделать работающим без скриптов.
Хорошие, годные сайты делают так, чтобы они и без скриптов прекрасно работали, а скрипты лишь добавляли опциональных плюшек. Тогда обычные люди могут наслаждаться этим вашим удобным UI и сидеть на сайте, а параноики могут отключить скрипты и всё ещё сидеть на сайте)
edd_k
>> Тот же хабр вполне реально сделать работающим без скриптов.
Зачем?
Он не будет иметь всю имеющуюся сейчас функциональность. Он станет обрубком, которым тем не менее можно отправить сообщение. Как псевдо-автомобиль на деревянных колесах, именуемый обычно телегой. Так зачем? Что бы повыделываться и в последствии ставить убогий сайт в противопоставление другому нормальному, юзающему стандартных библиотек на метр весу? Т.е. потратить уйму времени на цель, не стоящую и ломанной копейки? И так всю жизнь. А потом по итогам будем плакаться в Фидо, как за 100 лет ничего не изменилось и никакого прогресса, хотя сами оказываемся противниками развития и сторонниками забивания гвоздей отверткой.
P.S.: А параноики что вообще забыли в социальных онлайн-сервисах?
andreymal
Это лучше, чем без средства передвижения и без ног вообще ;)
Если из хабра сделать обрубок, то может и незачем. Но, повторюсь, хорошие, годные сайты делают так, чтобы они и без скриптов прекрасно работали (именно что прекрасно), и на хабре это совершенно не проблема: не станет он обрубком.
С хорошей, годной архитектурой хорошего, годного сайта никакой уймы времени не будет.
Веб — совершенно не то место, где нужен прогресс, но это тема для отдельного поста.
А параноикам ничего не мешает находиться в них анонимно (кроме фингерпринтинга, хех)
edd_k
Развернутые мысли не бывают анонимными. Параноикам лучше просто почитывать.
>> Но, повторюсь, хорошие, годные сайты
>> С хорошей, годной архитектурой хорошего, годного сайта никакой уймы времени не будет.
Где засилие этих крутых безскриптовых порталов, если это просто, быстро и удобно?
>> Веб — совершенно не то место, где нужен прогресс
Тогда извиняюсь за излишнюю беседу. Я не знал об этом.
sumanai
Почему это? Нет никаких проблем сделать сайт работающим без скриптов, но при их загрузке чтобы были все удобства. Кому скрипты не нужны, пусть ставят носкрипт, остальные будут наслаждаться скриптовой функциональностью.
slavius
Когда меню на скриптах, и при отключенных скриптах нельзя перейти по меню — это немного не вычисление очень нужных полей в таблице.
Filippok
Да. Для редактирования таблиц есть специализированный софт. Браузер — он для просмотра информации, а не для обсчета всякой херни.
edd_k
Пора покидать землянки. Война еще в 45-ом кончилась.
andreymal
хм, del
sumanai
Может ещё программу для написания комментариев на Хабрахабр написать? А то ведь браузер только для просмотра информации, а не для написания комментариев на Хабрахабр. Заодно и программу для написания статей, программу для настроек в личном разделе. Ведь браузер только для просмотра, отправлять запросы на изменения грех, теги form и прочие нужно запретить, а POST резать на файрволах!
andreymal
Ну, в общем-то такая программа давно есть и лежит в Google Play :D Пишу этот комментарий через неё))
qw1
А можно ли доверять этому приложению? Если написать свой браузер, в котором ты на 100% знаешь, что куда отправляется, можно и скрипты включить, зная, что они ничего лишнего сделать не могут.
andreymal
Песочницы уже есть в любой современной ОС, в пределах неё пусть хоть rm -rf /* делают
sumanai
На ХР не ставится, требует аккаунта в каком-то гугле. Низачот!
Alexeyslav
Эта программа… в основе своей внезапно — браузер!
andreymal
Если судить по внешнему виду, браузер там только для рисования заранее подготовленного форматированного текста, а не для выполнения всей подряд бизнес-логики, как это делают в модных нынче SPA. А для подобного подойдут даже движки IE5 или NetSurf)
vlivyur
Собственно половина GPlay забита программами для просмотра только одного веб-сайта, с возможностью поиска по этому сайту и комментированию его (а в некоторых и того нет).
MotttoR
а использование тора и впс не говорит?
тогда уж лучше брать б\у ноут и идти искать не закрытые точки. плюсом накупить вайфай свистков.
borstok
Единственный вариант анонимности — не сидеть в интернете и не передавать через него никакую информацию. Всё остальное от лукавого. Странно читать о какой-либо защите, гарантирующей анонимность.
plartem
Разве там есть хоть один тест на куки/историю?
bano-notit
Да даже долбаный etag в инкогнито такой же как в обычном. Так что инкогнито только для пользователя, чтобы он у себя на компе не оставлял следов. А на серверах всегда оставит.
0x131315
Именно так. Инкогнито даже так позиционируется — не анонимность, а отсутствие следов в истории.
Как и несколько браузеров.
У меня один тяжелый, повседневный, заточенный на серфинг, а один — легкий, для быстрого запуска и поиска, при работе в тяжелых программах, где дороги ресурсы и время.
bano-notit
У меня для этого дела 2 профиля в хроме есть. Один для разработки (всякие дополнения удобные), а другой для серфинга (тут и темы все тёмные и переключатели удобные для я.музыки). В общем, профилирование — вообще хорошая штука. Удобная.
SagePtr
Этот режим никакого отношения к анонимности не имеет. Всё, что он делает — это создаёт при запуске временный пустой набор куки, кеш (а также localStorage, флешевых Shared Objects и прочих альтернатив кукам) и не ведёт историю. И всё, больше он ничего не делает, даже IP-адрес не меняет. По сути, это быстрая альтернатива созданию пустого профиля в браузере, который при закрытии всех окон инкогнито удаляется из памяти.
sumanai
Вот в этом не уверен, так как флеш во многих браузерах- отдельная сущность. Впрочем, ничего утверждать не буду, так как забыл, как он вообще выглядит.
bano-notit
Ну и слава богу)
Хром вообще бодался вроде с флешем за безопасность. Да и сам флеш не дурак, ну не такой, во всяком случае, чтобы не уметь определять, инкогнито или не инкогнито.