Már két hete volt a PET Portál által is támogatott új ujjlenyomat kísérlet sajtótájékoztató eseménye. Az új kísérlet elindítását az indokolta, hogy a korábbi kísérlet eredményeként csak azt a kérdést tudtuk megválaszolni, hogy a betűkészlet JavaScript-ből történő lekérdezése valóban elégséges információforrás a nyomkövetéshez, de azt nem, hogy ezt böngészőfüggetlen módon is meg lehet-e tenni. Mivel a kísérlettel a végső célunk nem a követési technikák népszerűsítése, hanem a védekezés hirdetése és a probléma ismertségének növelése, így egy proof-of-concept Firefox kiegészítőt is létrehoztunk, amely védelmet nyújt ilyen azonosítási technikákkal szemben (amit eddig majdnem ezer alkalommal töltöttek le).

A JavaScript alapú font detektálás fő technikája, hogy egy elembe (pl. DIV, SPAN) különböző font készlettel töltik be ugyanazt a szöveget, és amennyiben az alapértelmezetthez képest eltérő lesz az elem szélessége, vagy magassága, a font készlet feltételezhetően fent van a gépen. Éppen ebből fakadóan a FireGloves megoldása nem tökéletes, hiszen a detektálást ezen függvények kiiktatása mentén végzi. (A hibajelenség iránt érdeklődőknek javasoljuk, hogy nézzék meg például ezt az oldalt a FireGloves használata mellett.)

Van azonban lehetőség a további védekezésre. Például a Firefox lehetővé teszi, hogy az oldalak néhány általános betűkészlet kivételével ne tudjanak többet betölteni (Beállítások > Tartalom > Betűk és színek > Haladó > itt pipálható be ez az opció). Ez valóban védelmet ad, de a böngészési élmény jelentősen csökken, és például Flash-ből a betűkészletek ekkor is lekérdezhetőek lesznek. A TOR mérnökei ennél komolyabb megoldáson törik a fejüket, amely szerint a web oldalak ugyan bármely betűtípust használhatnának, azonban egy lap meglátogatásakor csak bizonyos számú fontot lehetne betölteni.

Ez jó megoldás lehet, de mivel újabb lapletöltéskor újabb teszteket tud a böngésző végrehajtani, így ennél többre van szükség, például egy font lista és web oldal összerendelésre. Ez esetén egy weboldal csak az első látogatáskor igényelt, korlátozott számú font készletet tudja használni (a többire a böngésző úgy reagál, mintha ott se lenne), és a későbbi lapletöltések esetén is csak ezek lennének elérhetőek. Ez esetén azonban célszerű lehetőséget adni a felhasználóknak, hogy a lista méretét növelhessék vagy csökkenthessék, illetve szükség esetén üríthessék, hogy az adott weboldal "tiszta lappal" induljon ismét.

(A fenti javaslatot Boda Károllyal folytatott beszélgetésünk során fogalmaztuk meg.)

Permalink: https://pet-portal.eu/blog/read/452/2012-04-18-Digitalis-ujjlenyomat-hogy-rejtsuk-el-a-web-elol-betu...

Vissza

Hozzászólások

Összesen 0 hozzászólás látható.

Nincsenek hozzászólások.

Új hozzászólás beküldése

Bárki hozzászólhat, nem regisztrált beküldő esetén egyik adat megadása sem kötelező - a hozzászólás akár névtelen is lehet.

Név:
E-mail:
Blog:
A BBCode egy egyszerű jelölő nyelv, amellyel a hozzászólásokat lehet formázni. Érvényes parancsok: bold: [b]Maecenas at nisl.[/b] italics: [i]Maecenas at nisl.[/i] underline: [u]Maecenas at nisl.[/u] url: [url]http://www.mysite.com[/url], [url=http://www.mysite.com]Maecenas at nisl.[/url] image: [img]http://www.mysite.com/mypic.png[/img] quote: [quote]Maecenas at nisl.[/quote] code: [code]Maecenas at nisl.[/code] size: [size=12]Maecenas at nisl.[/size] color: [color=#FF0000]Maecenas at nisl.[/color] Hozzászólok!