¿Cuánta información pueden obtener los sitios web sobre su navegador / PC?

41

Estoy tratando de determinar si la información que se muestra en www.whatsmyip.org es la cantidad máxima absoluta de información que un servidor web puede obtener de un visitante web. ¿Hay otros sitios que puedan obtener más información del usuario pasivamente como esta?

No estoy hablando de la detección de puertos o cualquier tipo de interacción del usuario, solo la información que un servidor puede obtener de una visita 'tonta'.

Esta pregunta fue una pregunta de superusuario de la semana .
Lea la entrada del blog para más detalles o contribuya al blog usted mismo

browser website internet-security Pickledegg
fuente

Respuestas:

34

Hay más: la Electronic Frontier Foundation (EFF) presentó una herramienta llamada Panopticlick que muestra principalmente la misma información, pero además escanea las fuentes instaladas.

Las fuentes instaladas son probablemente la información más identificable tan pronto como comience a agregar una o dos. Solo por la cantidad de fuentes que existen, es poco probable que tenga el mismo conjunto de fuentes en dos computadoras diferentes. (Siempre que sean utilizados por diferentes personas)

Editar (de los comentarios): una contramedida para esto es deshabilitar JavaScript (a través de un complemento como NoScript, por ejemplo) o deshabilitar los complementos de Java y Flash en el navegador, ya que se necesita al menos uno de ellos para extraer la información.

Baarn
fuente
2
Esto requiere Java para extraer parte de su información (y se vuelve muy poco si rechaza la solicitud para permitir Java en el sitio): el OP de prueba vinculado reúne mucho más utilizando medios pasivos.
PhonicUK
1
No requiere Java, requiere JavaScript. La mayoría de las personas no tienen un complemento como NoScript instalado en su navegador, por lo que en la mayoría de los casos se puede extraer toda la información. Los sitios que realizan este tipo de escaneos normalmente no le preguntarán al usuario si se les permite hacerlo.
Baarn
2
Si se hace uso de Java, tiene un applet de Java que realiza la verificación de la fuente. Chrome incluso le pregunta cuando visita la página si desea o no permitir que se ejecute el applet. Haga un elemento de inspección en la página y verá<applet codebase="java" code="fonts.class" id="javafontshelper" name="javafontshelper" mayscript="true" width="1" height="1"></applet>
PhonicUK
1
@Indrek Puedo confirmar esto, tan pronto como haya desactivado Java y Flash, no se pueden extraer fuentes.
Baarn
2
Si no puede hacerlo a través de Java, utiliza Flash en su lugar. Si deshabilita tanto Flash como Java, solo muestra "No se detectaron fuentes Flash o Java". No puede obtener la lista de fuentes simplemente usando Javascript. De acuerdo, es pasivo en la medida en que no requiere ninguna interacción del usuario, pero aún se requieren extras para hacerlo.
PhonicUK
9

¿Cómo lo consiguen?

La información identificable pasiva se recopila principalmente de los encabezados de los paquetes de comunicación.

Cuando un navegador solicita una URL, esta solicitud se somete a varias capas del modelo OSI y varios protocolos de red. Los protocolos de nivel superior como HTTP y TCP / IP probablemente brindan la mayor parte de la información que se muestra en ese sitio web. Esta información generalmente se almacena en un encabezado de paquete y se incrustó originalmente allí para ayudar a los servidores a comprender: cuál es la mejor representación de la información para su entorno.

Una lista fácil de usar de encabezados HTTP actuales está disponible en Wikipedia . Una referencia más técnica es RFC 2616 Header Field Definitions o RFC 2616 , consulte la sección 14.

¿Cómo proteger tu privacidad?

Otra técnica muy popular para rastrear a un usuario es a través de cookies específicas: así es como los proveedores de anuncios saben qué anuncio mostrarle (lo que me hace desconfiar). Consulte las respuestas a mi pregunta: Cómo eliminar las cookies de seguimiento . Las respuestas en realidad cubren muchas más defensas posibles contra otras técnicas de rastreo.

Quizás una forma más segura de permanecer en el anonimato en línea es utilizar algunos proyectos de seguridad dedicados, uno de los cuales es TOR .

oleksii
fuente
8

En términos de información que puede obtener pasivamente sin usar Java / Flash, eso es bastante exhaustivo.

Tal vez podría hacer cosas como estimar el rendimiento de la PC utilizando un punto de referencia de JavaScript, pero realmente está presionando en ese punto.

PhonicUK
fuente
7

Esa página realmente no muestra mucho si simplemente niega las indicaciones del navegador para ejecutar complementos, permite la detección de ubicación, etc.

El nombre de host, la dirección IP, etc. se pueden ocultar fácilmente a través de un proxy, y la información del navegador / SO se puede suplantar fácilmente a través de extensiones y demás.

Al final, a menos que instale y permita complementos de terceros, los sitios web no pueden recopilar mucha información porque los navegadores están diseñados específicamente para limitar la cantidad de acceso que tienen a un sistema. La herramienta más común que usan los sitios para recopilar datos son las cookies, pero también hay límites en cuanto a la cantidad de información que pueden reportar.

La única forma real de que un sitio obtenga acceso ilimitado a su sistema es tratar de explotar una vulnerabilidad en el navegador o en uno de sus complementos, pero puede mitigar incluso eso instalando lo menos posible y manteniéndolos actualizados .

Synetech
fuente
5

Hay algo extra que las respuestas anteriores no enumeran:

Un sitio web puede rastrear qué otros sitios web ha visitado (antes de la última vez que borró su historial de navegación).

Como se hace

Los colores de su navegador enlazan de manera diferente, en función de si los visitó antes o no. Un sitio web puede hacer una gran lista de muchos sitios web conocidos (de los cuales el sitio quiere saber si los visitó), y mostrar esa lista de una manera que el usuario no puede ver (oculta detrás de una imagen, con una fuente tamaño de 1 píxel, con el mismo color que el fondo, etc.) Ahora una secuencia de comandos escanea cómo el navegador "muestra" la lista y puede saber cuáles fueron visitadas.

vsz
fuente
1
Escuché sobre esto antes, pero creo que ya no es posible.
Baarn
En estos días (2012), cuando un navegador moderno lo permite, se trata como una vulnerabilidad de seguridad grave. Por ejemplo, una versión beta (?) De Firefox 16 se retiró recientemente cuando los desarrolladores se dieron cuenta de que eran vulnerables a esta vulnerabilidad. Esto se consideró lo suficientemente serio como para ser una noticia: bbc.co.uk/news/technology-19909106
user56reinstatemonica8
5

Acabo de encontrar este sitio, no lo vi mencionado anteriormente: http://browserspy.dk ¡ Muy interesante, por decir lo menos!

BrowserSpy.dk es el lugar donde puede ver cuánta información revela su navegador sobre usted y su sistema.

¿Sabía que todos los sitios web que visita pueden averiguar qué fuentes ha instalado?

También es posible averiguar si tiene una gama de programas instalados. Estos incluyen Adobe Reader, OpenOffice.org, Google Chrome y Microsoft Silverlight. ¡Quizás incluso los sitios que ha visitado últimamente pueden ser detectados!

Cuando navega por Internet, su navegador deja un rastro de huellas digitales. Los sitios web pueden usar estas huellas para verificar su sistema.

BrowserSpy.dk es un servicio donde puede verificar qué información es posible recopilar de su sistema, simplemente visitando un sitio web.

Karan
fuente