[Linux-bruxelles] Si vous pensiez surfer anonymement...

[Manuel Schulte]

Ok, je modifie la diretive Squid pour produire un "fake" user-agent
pour qu'il renvoie désormais celle de IE7... et na!
Je ne suis plus fingeprintable car l'un des centaines de millions de
pignoufs qui utilisent cette daube pour surfer...
Pour le reste, j'utilise NoScript...
A++
Manu

On 18 May 2010 23:41, Kenny <kenny at bruxxel.org> wrote:
> Manuel Schulte wrote:
>> Si javascript n'est pas supporté ou entièrement désactivé), tu es
>> sauvé, car c'est via des requêtes AJAX qu'ils obtiennent ces infos de
>> la part de nos browsers.
> Du tout :)
> Rien qu'avec le user-agent tu as énormément de chance d'être unique ou
> quasi..
> C'est le cas pour moi sur le test.
> D'autant plus si tu es sous linux, qui est plus rare donc plus
> facilement unique.
>
> Comme ils le disent dans la conclusion du rapport
> (https://panopticlick.eff.org/browser-uniqueness.pdf):
> "browsers reveal so much version and configuration information that they
> remain overwhelmingly trackable"
>
> Et toutes les solutions pour modifier le user-agent sont pires car là tu
> deviens vraiment unique. Tu facilites la tâche en fait. Même le flash
> blocker leur facilite la tâche.
> Point 3.1 page 4:
> "More subtly, browsers with a Flash blocking add-on in-
> stalled show Flash in the plugins list, but fail to obtain a list of
> system fonts
> via Flash, thereby creating a distinctive fingerprint, even though
> neither mea-
> surement (plugins, fonts) explicitly detects the Flash blocker.
> Similarly many
> browsers with forged User Agent strings are distinguished because the other
> measurements do not comport with the User Agent.3"
>
>
> Et ils peuvent, si cela ne leur suffit pas, appliqué d'autres recherches.
> Le point 1 page 5:
> "We were unaware of the measurement, or lacked the time to implement it
> correctly — including the full use of Microsoft’s ActiveX and
> Silverlight APIs
> to collect fingerprintable measures (which include CPU type and many other
> details); detection of more plugins in Internet Explorer; tests for
> other kinds
> of supercookies; detection of system fonts by CSS introspection, even when
> Flash and Java are absent [13]; the order in which browsers send HTTP head-
> ers; variation in HTTP Accept headers across requests for different content
> types; clock skew measurements; TCP stack fingerprinting [14]; and a wide
> range of subtle JavaScript behavioural tests that may indicate both browser
> add-ons and true browser versions [15]."
>
>
>>>>
>>>> Exactement la même chose, vu qu'en fin de course le paquet sort avec
>>>> les mêmes entêtes... Là où il y aura par contre un effet c'est que Tor
>>>> recommande Privoxy (du moins le paquet Debian le fait), qui vient
>>>> notamment avec une directive "hide-user-agent".
>>>>
>>>>
>>> Pas rassurant tout ça ; mais bon à savoir (au sujet de Privoxy).
>>>
> Point 6.1, par rapport à Privoxy:
> "Examples of measures that might be intended to improve privacy but which
> appear to be ineffective or even potentially counterproductive in the
> face of
> fingerprinting include Flash blocking (the mean surprisal of browsers
> with Flash
> blockers is 18.7), and User Agent alteration (see note 3). A small group
> of users
> had “Privoxy” in their User Agent strings; those User Agents alone
> averaged 15.5
> bits of surprisal. All 7 users of the purportedly privacy-enhancing
> “Browzar”
> browser were unique in our dataset.
>
> There are some commendable exceptions to this paradox. TorButton has
> evolved to give considerable thought to fingerprint resistance [19] and
> may be
> receiving the levels of scrutiny necessary to succeed in that project
> [15]. NoScript
> is a useful privacy enhancing technology that seems to reduce
> fingerprintability."
>
> Cela me semblait intéressant à montrer, bien que je ne connaisse pas
> privoxy et que ma réponse soit peut-être à côté de la plaque (désolé
> dans ce cas).
>
> Gildas Cotomale wrote:
>>> ps: à vrai dire, il faudrait tanner les développeurs de FF (et autres)
>>> pour que leurs browsers ne soient pas de vraies passoires à infos!
>>>
>>
>> voilà où est le vrai problème (et la réponse à l'une de mes
>> interrogation) : des navigateurs qui en disent trop (bien plus que
>> nécessaire)
>>
>>
> Je pense aussi que c'est la première chose à faire. Et elle n'est pas
> difficile à mettre en place.
> Point 6.3 page 15:
> "The obvious solution to this problem would be to make the version numbers
> less precise. Why report Java 1.6.0 17 rather than just Java 1.6, or
> DivX Web
> Player 1.4.0.233 rather than just DivX Web Player 1.4?"
>
> Faire ça pour les plugins et pour le user-agent.
> Aussi empêcher l'énumération des polices, ce que IE semble déjà faire
> (c'est le seul.. mais surtout cela montre que ce n'est pas primordial
> d'avoir cette fonctionnalité là).
>
> Rien que ça + un ch'tit noscript devrait déjà changer la donne.
>
> Sauf qu'il reste encore ces techniques énoncées dans le rapport et dont
> je n'ai pas vraiment idée de ce qu'elles sont et si elles suffisent pour
> obtenir un fingerprint unique:
> clock skew measurements
> TCP stack fingerprinting
>
> Et pour finir:
> Point 7: page 19
> "We identified only three groups of browser with comparatively good resis-
> tance to fingerprinting: those that block JavaScript, those that use
> TorButton,
> and certain types of smartphone. It is possible that other such
> categories exist
> in our data. Cloned machines behind firewalls are fairly resistant to
> our algo-
> rithm, but would not be resistant to fingerprints that measure clock skew or
> other hardware characteristics."
>
>
> Et pour ceux qui ont eu le courage de me lire jusqu'ici, voici un petit
> site qui m'a bien fait tripé:
> http://www.whattheinternetknowsaboutyou.com/
>
>
> anonymement votre,
> Kenny
>
> --
> Linux-bruxelles mailing list
> Linux-bruxelles at lists.bxlug.be
> http://lists.bxlug.be/mailman/listinfo/linux-bruxelles
>