[Linux-bruxelles] Si vous pensiez surfer anonymement...

Kenny kenny at bruxxel.org
Mar 18 Mai 23:41:44 CEST 2010 

Manuel Schulte wrote:
> Si javascript n'est pas supporté ou entièrement désactivé), tu es
> sauvé, car c'est via des requêtes AJAX qu'ils obtiennent ces infos de
> la part de nos browsers.
Du tout :)
Rien qu'avec le user-agent tu as énormément de chance d'être unique ou 
quasi..
C'est le cas pour moi sur le test.
D'autant plus si tu es sous linux, qui est plus rare donc plus 
facilement unique.

Comme ils le disent dans la conclusion du rapport 
(https://panopticlick.eff.org/browser-uniqueness.pdf):
"browsers reveal so much version and configuration information that they 
remain overwhelmingly trackable"

Et toutes les solutions pour modifier le user-agent sont pires car là tu 
deviens vraiment unique. Tu facilites la tâche en fait. Même le flash 
blocker leur facilite la tâche.
Point 3.1 page 4:
"More subtly, browsers with a Flash blocking add-on in-
stalled show Flash in the plugins list, but fail to obtain a list of 
system fonts
via Flash, thereby creating a distinctive fingerprint, even though 
neither mea-
surement (plugins, fonts) explicitly detects the Flash blocker. 
Similarly many
browsers with forged User Agent strings are distinguished because the other
measurements do not comport with the User Agent.3"


Et ils peuvent, si cela ne leur suffit pas, appliqué d'autres recherches.
Le point 1 page 5:
"We were unaware of the measurement, or lacked the time to implement it
correctly — including the full use of Microsoft’s ActiveX and 
Silverlight APIs
to collect fingerprintable measures (which include CPU type and many other
details); detection of more plugins in Internet Explorer; tests for 
other kinds
of supercookies; detection of system fonts by CSS introspection, even when
Flash and Java are absent [13]; the order in which browsers send HTTP head-
ers; variation in HTTP Accept headers across requests for different content
types; clock skew measurements; TCP stack fingerprinting [14]; and a wide
range of subtle JavaScript behavioural tests that may indicate both browser
add-ons and true browser versions [15]."


>>>
>>> Exactement la même chose, vu qu'en fin de course le paquet sort avec
>>> les mêmes entêtes... Là où il y aura par contre un effet c'est que Tor
>>> recommande Privoxy (du moins le paquet Debian le fait), qui vient
>>> notamment avec une directive "hide-user-agent".
>>>
>>>       
>> Pas rassurant tout ça ; mais bon à savoir (au sujet de Privoxy).
>>     
Point 6.1, par rapport à Privoxy:
"Examples of measures that might be intended to improve privacy but which
appear to be ineffective or even potentially counterproductive in the 
face of
fingerprinting include Flash blocking (the mean surprisal of browsers 
with Flash
blockers is 18.7), and User Agent alteration (see note 3). A small group 
of users
had “Privoxy” in their User Agent strings; those User Agents alone 
averaged 15.5
bits of surprisal. All 7 users of the purportedly privacy-enhancing 
“Browzar”
browser were unique in our dataset.

There are some commendable exceptions to this paradox. TorButton has
evolved to give considerable thought to fingerprint resistance [19] and 
may be
receiving the levels of scrutiny necessary to succeed in that project 
[15]. NoScript
is a useful privacy enhancing technology that seems to reduce 
fingerprintability."

Cela me semblait intéressant à montrer, bien que je ne connaisse pas 
privoxy et que ma réponse soit peut-être à côté de la plaque (désolé 
dans ce cas).

Gildas Cotomale wrote:
>> ps: à vrai dire, il faudrait tanner les développeurs de FF (et autres)
>> pour que leurs browsers ne soient pas de vraies passoires à infos!
>>     
>
> voilà où est le vrai problème (et la réponse à l'une de mes
> interrogation) : des navigateurs qui en disent trop (bien plus que
> nécessaire)
>
>   
Je pense aussi que c'est la première chose à faire. Et elle n'est pas 
difficile à mettre en place.
Point 6.3 page 15:
"The obvious solution to this problem would be to make the version numbers
less precise. Why report Java 1.6.0 17 rather than just Java 1.6, or 
DivX Web
Player 1.4.0.233 rather than just DivX Web Player 1.4?"

Faire ça pour les plugins et pour le user-agent.
Aussi empêcher l'énumération des polices, ce que IE semble déjà faire 
(c'est le seul.. mais surtout cela montre que ce n'est pas primordial 
d'avoir cette fonctionnalité là).

Rien que ça + un ch'tit noscript devrait déjà changer la donne.

Sauf qu'il reste encore ces techniques énoncées dans le rapport et dont 
je n'ai pas vraiment idée de ce qu'elles sont et si elles suffisent pour 
obtenir un fingerprint unique:
clock skew measurements
TCP stack fingerprinting

Et pour finir:
Point 7: page 19
"We identified only three groups of browser with comparatively good resis-
tance to fingerprinting: those that block JavaScript, those that use 
TorButton,
and certain types of smartphone. It is possible that other such 
categories exist
in our data. Cloned machines behind firewalls are fairly resistant to 
our algo-
rithm, but would not be resistant to fingerprints that measure clock skew or
other hardware characteristics."


Et pour ceux qui ont eu le courage de me lire jusqu'ici, voici un petit 
site qui m'a bien fait tripé:
http://www.whattheinternetknowsaboutyou.com/


anonymement votre,
Kenny

Plus d'informations sur la liste de diffusion Linux-bruxelles