Como desativar a permissão para ler 'Fontes do sistema' e 'Detalhes do plug-in do navegador' no Chrome e Firefox

47

Indo para http://panopticlick.eff.org/ Posso ver que o Firefox e o Chrome expõem mais sobre 'Fontes do sistema' e 'Detalhes do plug-in do navegador' do que eu prefiro.

Como a permissão de uma página da web para acessar essas configurações pode ser desativada no Firefox e Chrome?

firefox google-chrome privacy

— eaubin
fonte

1

Para fontes do sistema, você precisa desativar o Flash. Ainda procurando por plugins.

— Pkario

1

Na verdade, desativar o Flash não é suficiente; ainda pode enumerá-los de outra maneira.

— Synetech 13/03/16

Caso alguém esteja aqui porque está preocupado com a privacidade ... seu endereço IP é suficiente para identificar sua família. Quantos usuários em sua casa têm a mesma resolução de tela, sistema operacional e navegador? Já são únicos :) para que você possa parar de se preocupar sobre Font-listas e plugins ...

— xtrahelp.com

22

Existem duas perguntas, mas estou respondendo à pergunta da lista de fontes:

É possível desativar a enumeração de fontes Flash usando mms.cfgo arquivo de configuração em todo o sistema. Este arquivo deve estar localizado no /etc/adobe/diretório se você estiver usando Linux. Basicamente, você só precisa colocar a seguinte linha no arquivo:

DisableDeviceFontEnumeration = 1

Consulte o Guia de administração do Adobe Flash Player para obter mais detalhes.

Com essa configuração, o Panopticlick e outros sites não podem obter sua lista de fontes via Flash.

Observe que a lista de fontes ainda está disponível no Java, se você a tiver instalada. É uma boa idéia se livrar do Java de qualquer maneira. Se você usar alguns sites que exigem Java, use uma instância diferente do navegador com um perfil de usuário diferente, com o Java ativado apenas para esses sites.

— estalar
fonte

2

Na minha máquina Windows 7, o arquivo está localizado em C: \ Windows \ SysWOW64 \ Macromed \ Flash \ mms.cfg

— MikeFHay

Você pode simplesmente desativar o Java e o Flash nas extensões do seu navegador. Isso funcionou para mim.

— Waqar Lim

1

Muito obrigado! Isso funciona no meu PC (Windows XP). O Panopiclick ainda me reconhece como um visitante único. através da minha lista de plug-ins ...

— Cerberus

Também funciona para mim no XP. FWIW, o local do arquivo era C:\WINDOWS\system32\Macromed\Flash\mms.cfg.

— 27613 martineau

2

Não funcionou no Chrome no OS X. Acontece que o Chrome usa seu próprio plug-in Flash, que possui um arquivo de configuração separado. Seu caminho é ~/Library/Application Support/Google/Chrome/Default/Pepper Data/Shockwave Flash/System/mms.cfg(crie System/mms.cfgse ele não existir.) #

— 295

6

A extensão gratuita do Chrome RubberGlove bloqueia o plug-in e a enumeração do tipo MIME, ocultando as entradas da matriz da mesma maneira que o Firefox e o Internet Explorer podem / fazem de forma nativa.

Você ainda precisa definir o chrome como plug-in "Clique para reproduzir" e desativar os cookies de terceiros nas configurações de privacidade do Chrome. Além disso, como mencionado no estudo, você provavelmente ainda aparecerá como único até que um número suficiente de pessoas comece a usar plug-ins como este.

Divulgação completa: sou o autor.

Essa funcionalidade pode (ou não) ser integrada à extensão Privacy Badger da Electronic Frontier Foundation no futuro. Eles pareciam interessados, de qualquer maneira.

— Jason S. Clary
fonte

Jason, existe alguma chance de você adicionar o recurso de lista de permissões ao RubberGlove? É incrível, mas quebra vários sites. Habilitar e desabilitar a extensão o dia inteiro é um pouco chato. Há solicitação para isso no site de complementos do google chrome e na página de desenvolvimento do github.

— Costin Gușă

5

No Firefox 28:

Digite about:configa barra de localização

Encontrar plugins.enumerable_names

Defina a entrada para nada.

Visite https://panopticlick.eff.org/ para verificar se os plug-ins não estão mais listados.

— mlibby
fonte

1

Para lista branca Use este formato plugins.enumerable_names: Java, QuickTime, Shockwave

— Tilo

Para reverter esse método, altere a entrada novamente para *

— matt.

3

Não vejo essa configuração no FireFox 41. Alguém sabe onde está agora?

— Kelly Thomas

Parece ter sumido por enquanto. Encontrei isto: bugzilla.mozilla.org/show_bug.cgi?id=757726

— neo post modern

3

O Javascript tem a capacidade de verificar quais plug-ins estão instalados; isso geralmente é usado para fornecer a mensagem "instalar plug-in ausente", se necessário. Se desejar, desative os plugins nas configurações e desative o Javascript usando um complemento como Javascript Blacklist for Chrome ou Quick Java statusbar para Firefox.

— NoBugs
fonte

Onde você pode desativar os plugins nas configurações?

— 27613 martineau

no menu Ferramentas-Complementos.

— NoBugs # 28/13

3

Absolutamente possível com Proxomitron .

O proxy é como NoScript, HTTP LiveHeaders, RequestPolicy, CookieSafeguard, BetterPrivacy e outros enfeites, todos colocados em um programa. Não foi desenvolvido mais, mas ainda me garante privacidade que nenhuma outra ferramenta pode fazer.

O Proxomitron é um filtro universal da web. Informações do site:

O programa

Para aqueles que ainda não foram apresentados, conheça o Proxomitron: um proxy HTTP de filtragem da Web local gratuito, altamente flexível, configurável pelo usuário, pequeno mas muito poderoso. Para se familiarizar melhor, consulte nossa versão online dos arquivos de Ajuda do Proxomitron para obter uma visão geral mais abrangente.

A versão atual (e última) do Proxomitron é o Naoko 4.5, dos quais houve dois lançamentos, um em maio de 2003 e outro em junho. Embora muito semelhantes, existem diferenças distintas entre as duas que não são mencionadas na documentação de nenhum dos programas. Ambas as versões estão disponíveis na seção Arquivos. O foco do PI estará na versão mais recente - o lançamento em junho.

O autor

Scott R. Lemmon originalmente desenvolveu o Proxomitron para seu próprio uso. Ele então decidiu divulgá-lo ao público e disponibilizou-se aos usuários por e-mail e em vários grupos de discussão de usuários do Proxomitron. Seu apoio, como seu programa, sempre foi gratuito.

Com o lançamento do Naoko 4.5, Scott interrompeu todo o desenvolvimento e suporte de seu programa e retirou a Web da sede oficial do Proxomitron. Nós respeitamos sua decisão de seguir em frente e desejamos o melhor para ele - que é, afinal, o que ele sempre nos deu.

Infelizmente, um ano depois, Scott morreu - mas seu brilho de mente e espírito continua vivo. Simplificando, o Proxomitron é um reflexo de seu criador: conhecer o programa de Scott. . . é conhecer Scott Lemmon.

Confira! Existe uma comunidade (um pouco) ativa.

— copa
fonte

Uau, as pessoas ainda estão usando Proxomitron, mesmo com Windows 7, Chrome etc. ಠ_๏, Acho que Scott realmente fez um ótimo trabalho com ele. Eu não uso há muito tempo; Eu acho que eu deveria tirá-lo. ☺

— Synetech

2

No Firefox 17, você pode ativar o 'clique para reproduzir', o que interrompe o carregamento do Java e do Flash automaticamente. Por sua vez, isso impede que muitas informações (nem todas) sejam descobertas. Por exemplo, interromper o plug-in do Flash impede que a maioria das fontes seja descoberta.

Para habilitar 'click_to_play' no Firefox:

chegou a 'about: config' na sua barra de endereço
pesquise 'click_to_play'
clique duas vezes na entrada para alternar o valor de 'false' para 'true'
feche a guia
da próxima vez que o plug-in for necessário, você receberá uma solicitação, dando a opção de ativá-lo

— IanB
fonte

Não é isso essencialmente o que o complemento Flashblock realiza em muitas outras versões do Firefox?

— martineau

Isto não funcionou para mim.

— usar o seguinte comando

2

A solução para os navegadores Firefox mais recentes é:

Use o Random Agent Spoofer. Recentemente, foram adicionadas opções para desativar a enumeração de plug-ins: https://github.com/dillbyrne/random-agent-spoofer/issues/283
Ou use um script de usuário, como mostrado no comentário de Mechazawa no link acima. Você pode usar o script Greasemonkey ou Tampermonkey (firefox e chrome) para cuidar disso sem nenhuma extensão.

Posso confirmar que isso mostra os plugins como "indefinidos" no teste de panopticlick.

— Spectraljump
fonte

2

A impressão digital da fonte é apenas uma pequena parte da impressão digital do navegador. Bloquear totalmente é quase impossível se o objetivo é deixar o navegador ainda funcional. A melhor proteção geral para impressões digitais é encontrada no Navegador Tor.

Em testes práticos, verificou-se que tentar bloquear as impressões digitais das fontes aumenta realmente a exclusividade das impressões digitais dos computadores, já que a maioria dos usuários não faz isso. A melhor maneira de evitar impressões digitais é não fazer nada de especial e se misturar com milhares de outros usuários.

O primeiro passo contra a impressão digital de fontes é fazer um teste para verificar a eficácia de qualquer medida defensiva que você tomar. Uma boa ferramenta aqui é https://browserleaks.com/fonts . Uma boa ferramenta para a exclusividade das impressões digitais em geral é https://panopticlick.eff.org/ (meu próprio navegador surgiu como único entre os 199.984 testados nos últimos 45 dias) ou Am I Unique .

Para proteção no Chrome , as medidas que você pode tomar são:

Instale, em vez disso, uma versão reforçada do Chromium
Use uma extensão (não testei sua eficácia):
- Lista de permissões de privacidade de impressão digital de glifo de fonte
  Permite detectar apenas a lista padrão de fontes que foram instaladas com o Windows.
- Font Fingerprint Defender
  Ele adiciona um pequeno ruído à impressão digital real e a "renova" toda vez que você visita um site ou recarrega uma página.
- Don't FingerPrint Me
  Adiciona uma guia às ferramentas de desenvolvedor do Chrome, que mostra as tentativas de impressão digital do navegador.

Para proteção no Firefox

A Mozilla está atualmente trabalhando no projeto Tor Uplift, cujo objetivo é criar no Firefox o mesmo nível de resistência às impressões digitais que no Navegador Tor. Este projeto está em andamento e descrito no artigo Segurança / Impressão digital .

Você pode tentar o script de proteção do Firefox no Github ghacks-user.js , embora, segundo todos os relatórios, ele possa ser demais e prejudicar a navegação.

Quanto aos complementos, há uma lista de complementos úteis e outros conselhos mantidos na página firefox-tweaks .

No momento, as medidas que conheço especificamente para a impressão digital de fontes estão em : config settings :

Clique com o botão direito do mouse e selecione Novo> String , criando o novo parâmetro font.system.whitelist, que listará as fontes que o JavaScript verá. Um exemplo de valor válido é Helvetica, Courier, Verdana. A alteração entra em vigor imediatamente.
No meu caso, isso reduziu minha própria impressão digital de fontes de 266 fontes e 238 métricas exclusivas encontradas em uma lista de 512 fontes, para "apenas" 28 fontes e 9 métricas exclusivas. (Não faço ideia de como isso afetaria a navegação.)
privacy.resistFingerprinting=trueé uma opção geral para permitir medidas de privacidade do projeto Tor Uplift à medida que são implementadas. Permite distribuir uma lista de fontes uniforme. A Mozilla não recomenda habilitá-lo, pois quebrará alguns sites.

Desabilitando as opções de "Permitir que os sites usem suas próprias fontes" e a API de carregamento de fontes CSS alterando estes valores:

browser.display.use_document_fonts = 0
layout.css.font-loading-api.enabled = false
font.blacklist.underline_offset = (empty string)
gfx.downloadable_fonts.enabled = true
gfx.font_rendering.opentype_svg.enabled = false
gfx.font_rendering.graphite.enabled = false

(Isso provavelmente degradará a navegação.)

Apenas para observar que vi métodos discutidos para sofisticadas impressões digitais e desenhos de fontes que até identificavam a placa de vídeo e o driver gráfico.

Minha opinião: é impossível evitar impressões digitais - as fontes não são tudo. Mesmo se você:

Use uma VPN
Faça a navegação em uma máquina virtual Windows baunilha
Não instale fontes ou outro software
Instale o navegador mais usado - Chrome, sem extensões
Navegue no modo de navegação anônima que desativa todos os cookies e extensões

provavelmente esses métodos de proteção exclusivos, juntamente com os elementos de hardware ainda detectáveis na máquina virtual, ainda criarão uma impressão digital única ou quase única. Sem mencionar que esse ambiente será bastante difícil de usar.

Para discussões sobre alguns métodos conhecidos de impressão digital, consulte os seguintes artigos:

Impressão digital no navegador - Explicação e soluções (a partir de 2019)
Contém mais informações e hacks do que os listados acima.
Novas técnicas de impressão digital (a partir de 2017)
Segurança do navegador da Web - BrowserLeaks.com

— harrymc
fonte

1

Embora essa seja uma pergunta antiga, a partir de 2017 ainda estamos muito preocupados com todas as informações vazadas pelo navegador enquanto são usadas para impressões digitais. Acho que o Random Agent Spoofer ( https://github.com/dillbyrne/random-agent-spoofer ) mencionado por Spectraljump bate na unha bem na cabeça.

Conforme solicitado, ele protegerá contra:

enumeração de plugins
não exporá as fontes instaladas em suas máquinas (que é uma alternativa mais eficiente às ferramentas de mudança de fonte, como o FluxFonts)

Além disso, fornecerá opções para protegê-lo de:

a maioria das outras ferramentas de impressão digital
permitirá desativar o webRTC, webGL, cache local e muito mais.

Se você usar um randomizador de impressão digital em tela (como o Canvas Defender ), ficará protegido contra praticamente tudo o que é detectável no browserleaks.com e no Panopticlick.

Por fim, certifique-se de usar uma VPN com proteção contra vazamento de DNS para fechar o loop.

Uma solução alternativa, embora menos conveniente, é usar uma VM genérica de baunilha (sistema operacional mais comum, sem nada personalizado instalado) para todas as atividades de navegação e redefini-la após cada sessão.

— DrSplange
fonte