龙空技术网

无法停止的浏览器指纹监视

VMLogin中文版 136

前言:

此刻兄弟们对“javaplug”大概比较着重,看官们都想要了解一些“javaplug”的相关内容。那么小编也在网上收集了一些关于“javaplug””的相关内容,希望咱们能喜欢,看官们一起来学习一下吧!

通过搜索引擎搜索产品和服务现在已经成为司空见惯的事情了。如果您搜索了特定的产品或服务,那么您或许可能会注意到,您访问的网站上展示的广告会包含与您所寻找的产品相同的产品。

但是,网站如何知道您的兴趣是什么?或者需要向您展示什么广告的呢?

这些问题的答案是浏览器指纹识别。浏览器指纹识别是收集可通过浏览器获得的元数据以识别特定用户的过程。通过使用这些技术,网站可以跟踪您的在线浏览习惯和购买方式,以提供与您的兴趣相匹配的广告和促销活动。

网站采用浏览器指纹识别有多种原因,但主要推动力是数十亿美元的网络营销体系。网络营销已席卷全球,个性化广告是其成功的主要原因。

尽管cookie是网站跟踪用户行为的主要方式,但在过去的四年中,浏览器指纹识别在在网络销领域中日渐流行。由于许多原因,Cookie不如以前那样有效,因此浏览器指纹已成为跟踪和识别用户及其兴趣的新标准。

浏览器指纹技术已经变得如此有效,在包括大约100万用户的详细研究中,电子前沿基金会(EFF)发现,在83.6%的浏览器中可以识别独特的指纹。此外,94.2% 的启用了 Java 或 Flash 的浏览器也表现出独特的指纹,这甚至不包括 Cookie!

在本文中,我们将介绍最常见的浏览器指纹识别方法类型,并对它们的工作方式进行基本概述。当然,这不是指纹识别方法的完整列表。但是我们将介绍当今使用的主要和最有效的类型,以及我们认为在可预见的将来会涉及到的最重要的方法。

为什么浏览器指纹构成威胁?

个性化广告听起来可能不是一件可怕的事情,但从本质上讲,它确实会对在线隐私构成威胁。

如果大部分实施浏览器指纹识别的网站或者在对用户的浏览器进行指纹识别时不征求用户的同意,又或者以非常误导的方式这样做。您很可能根本无法回忆起曾经要求您允许跟踪信息的网站是哪些。如果有任何通知,它通常会埋在网站的服务条款中,并以您可能想象的最小字体写成,而且通常是这样描述的:

“通过使用我们的网站,您同意我们将保存您机器的数字签名。”

不用担心,如果您不了解这一点,并不单单表示只有能会是这样的情况。其实大多数用户都不知道这意味着什么,并且由于它并没有对可能的后果做出任何真实的解释,因此,少数看到它的人也并没有真正考虑它。

但是,同意这些条款可能会导致基于您所在位置的产品价格更高,黑客攻击导致大量信息泄露,以及消费者无法立即察觉的其他缺点等等。

浏览器指纹识别的类型

浏览器指纹识别方法千差万别,这也是它们如此难以对付的原因之一。新的指纹识别方法会定期开发,但也有新的解决方案来解决这些创新技术。正因为如此,可以说,打击浏览器指纹识别是一项需要反复迭代更新的。

下面您将找到最常见的浏览器指纹识别类型,以及他们如何从您的浏览器或设备读取信息的基础知识。

浏览器插件

浏览器插件通常与浏览器加载项混淆,但您必须记住的主要事情是,插件对您的在线隐私构成更大的威胁。它们之间的主要区别是插件会在浏览器之外以完全不同的过程执行。

浏览器无法控制插件拥有多少访问权限,相反,这是由当前登录到系统的用户定义的。在大多数情况下,用户都在管理员配置文件下工作,在收集数据时,插件可以更加自由的获得权限。

插件用于增强浏览器体验,以及访问 Flash 和其他整洁功能等资源。它们由第三方开发,最常见的包括,但不限于:

· Shockwave Flash

· QuickTime Plug-in 7.7.3

· Default Browser Helper

· Unity Player

· Google Earth Plug-in

· Silverlight Plug-In

· Java Applet Plug-in

· Adobe Acrobat NPAPI Plug-in, Version 11.0.02

· WacomTabletPlugin

每个插件都可用于跟踪有关计算机和浏览器指纹的唯一信息。以 Flash 为例。除了所有其他插件之外,Flash API 能够读取可用于识别计算机的信息,例如:

• 完整的字体列表

• 主板和其他硬件ID

• 真实MAC 地址

• 真实IP 地址,即使您使用的是代理连接

除了插件已经透露了很多信息之外,您的插件列表本身可以是一个指纹。插件枚举可帮助网站获取插件的完整列表,并且由于有这么多不同的插件和版本组合,仅此列表即可准确识别您的浏览器。

浏览器附加枚举

浏览器加载项枚举类似于上述插件枚举技术。加载项枚举的主要目标是获取您在浏览器上安装的加载项列表,最好是它们的名称和版本。

浏览器加载项枚举是一组称为"JS 行为测试"的更广泛方法的一部分,该方法还可以读取浏览器的确切版本和有关浏览器的其他独特信息。当一起收集时,组合足够独特,可以精确获得您的浏览器指纹。

系统字体枚举

可用于对浏览器进行指纹识别的另一组元素是计算机上安装的字体列表。网站可以使用 Flash 或 Java Applet 插件获取系统字体列表,然后通过 AJAX 静默传输到后台的服务器。

获取此列表的另一个有效方法是通过系统字体枚举,这要归功于 CSS 的内省。简而言之,此方法可以通过测量浏览器以特定字体生成的短语的宽度来推断您已安装在计算机上的字体。

例如,如果您写"你好世界"的大小 14 PX新罗马字体, 此元素应该有相同的宽度测量每个屏幕上的像素.如果浏览器上文本的宽度与大小 14 PX 新罗马相同,则意味着您已安装了该字体。

但是,如果元素宽度不匹配,则意味着浏览器已替换了新罗马字体,因为它并没有安装在您的电脑系统当中。通过循环浏览可能的字体和宽度列表,网站可以准确了解用户已安装哪些字体,从而获得精确的指纹识别。

User-Agent字符串

User-Agent字符串告诉网站正在使用哪些浏览器版本,以便根据用户的设备正确显示网站。每个浏览器都有一种独特的网站显示方式,因此 User-Agent 字符串对于良好的用户体验至关重要。

话虽如此,User-Agent 字符串同时也会向网站显示大量信息,包括系统和浏览器详细信息、平台信息等。每种组合都可以做到单一独立,以至于有时有时仅使用User-Agent字符串即可准确识别用户。

避免通过 User-Agent 轻松识别的最佳方式之一是使用不到 2 或 3 个月前发布的浏览器,因为它保证您将使用最常用的 User-Agent 字符串之一。

屏幕分辨率

当涉及到屏幕分辨率时,网站可以读取两个变量。第一个是浏览器报告的屏幕分辨率,第二个是可用于显示网页的大小。

浏览器报告的屏幕分辨率可以手动调整,以便轻松操作。例如,您可以故意调整的分辨率值,例如 10000×10000,您的浏览器仍将广播这些值。

另一方面,可以使用 Javascript 测量可用于网页显示的大小,它是浏览器窗口的上边框和底部或左右边框之间的距离。这完全取决于浏览器窗口大小。

考虑到您通常会最大化窗口以简化工作,因此可显示的大小与屏幕分辨率和浏览器版本的组合通常足以创建唯一的指纹。如果启用了Javascript,此方法非常有效,甚至可以跟踪受保护的浏览器(例如Tor)。

JS.Navigator参数

Javascript Navigator或JS.Navigator允许网站与您的浏览器进行通信,以便将它们以正确的格式显示在屏幕上。 JS.Navigator通常用于区分移动设备和非移动设备,采用适合屏幕特定分辨率的布局,并以您的区域性语言提供内容。

您可能已经猜到了,Javascript对JS.Navigator及其参数具有完全访问权限,因此它们也可以用于浏览器指纹识别。通过JS.Navigator,网站可以访问诸如时区,浏览器语言,内部版本ID,DoNotTrack变量,平台,AppVersion变量甚至CPU内核数之类的信息。

通过JS.Navigator可用的参数揭示了大量有关计算机的独特信息。尽管可以很容易地修改伪装这些参数,但在许多情况下也可以很容易地发现它们。例如,如果浏览器在页面加载时操纵这些参数,则网站可以轻松地检测到错误的参数并发现其真实值。

Supercookies

如今流行的" Supercookies"是指存储在非正常位置的所有 Cookie。嵌入浏览器中的常见清洁工具通常很难删除这些 Cookie,因此通常需要专门的工具或手动删除。

尽管术语" Supercookies"被看作是Flash Cookie 的同义词,但该术语现在用于描述任何难以删除或存储在不常见位置的 Cookie。它们通常通过 Flash、Java 和其他方式注入,但由于它们的永久存储和难以删除的特征,它们都归为同一类别。

Canvas, WebGL, and Audio Fingerprint

Canvas, WebGL, and Audio Fingerprint是不同的技术,但是它们有一个共同点:它们不是由一组预定值定义的,例如JS.Navigator。 相反,这些指纹识别机制读取有关您的特定设备通过与其他设备的比较来完成不同的任务。

这些指纹识别技术有时可以称为“设备指纹”,但是没有一个广泛接受的术语。 我们喜欢将它们称为“硬件指纹”,因为这三种方法都涉及比较不同计算机如何解决网站提供的独特任务。

最后。。。

浏览器指纹识别是令人难以置信的难以打击,因为它包了这么多不同的技术和元素。本文的目的是创建最常见的浏览器指纹识别方法及其操作方式的基础知识的完整列表。

话虽如此,我们省略了某些我们认为不重要的方法,因为没有迹象表明它们被用于除科学文章和概念验证解决方案之外的任何方法。

在开发 VMLOGIN中文版多账号防关联超级浏览器 时,我们发现了其他浏览器指纹识别方法。但是,因为我们从来没有见过它们在现实生活中使用,我们认为最好的方式是通过VMLOGIN中文版多账号防关联超级浏览器阻止他们,而不是在本文中介绍它们。

但是,您可以放心,每当我们发现任何迹象,这些方法正在积极用于指纹浏览器,我们将有我们的防指纹解决方案来确保我们产品用户的隐私!

如您喜欢我们的文章,请关注公众号:VMLogin中文版

标签: #javaplug