Deaktivieren der Berechtigung zum Lesen von "Systemschriftarten" und "Browser-Plug-in-Details" in Chrome und Firefox

47

Unter http://panopticlick.eff.org/ kann ich feststellen, dass Firefox und Chrome mehr Informationen zu "Systemschriftarten" und "Browser-Plug-in-Details" enthalten, als ich vorziehen.

Wie kann die Berechtigung einer Webseite zum Zugriff auf diese Einstellungen in Firefox und Chrome deaktiviert werden?

firefox google-chrome privacy eaubin
quelle
1
Für Systemschriftarten müssen Sie Flash deaktivieren. Ich suche immer noch nach Plugins.
pkario
1
Wenn Sie Flash deaktivieren, wird das Problem nicht behoben. es kann sie immer noch anders aufzählen.
Synetech
Falls jemand hier ist, weil er sich Sorgen um die Privatsphäre macht ... Ihre IP-Adresse reicht aus, um Ihren Haushalt zu identifizieren. Wie viele Benutzer in Ihrem Haushalt haben dieselbe Bildschirmauflösung, dasselbe Betriebssystem und denselben Browser? Sie sind bereits einzigartig :), so dass Sie aufhören können, sich Gedanken über Schriftenlisten und Plugins zu machen ...
xtrahelp.com

Antworten:

22

Es gibt zwei Fragen, aber ich beantworte die Frage zur Schriftartenliste:

Es ist möglich, die Aufzählung von Flash-Schriftarten mithilfe einer mms.cfgsystemweiten Konfigurationsdatei zu deaktivieren . Diese Datei sollte sich in einem /etc/adobe/Verzeichnis befinden, wenn Sie Linux verwenden. Grundsätzlich müssen Sie nur die folgende Zeile in die Datei einfügen:

DisableDeviceFontEnumeration = 1

Weitere Informationen finden Sie im Adobe Flash Player-Administrationshandbuch .

Mit dieser Einstellung können Panopticlick und andere Websites Ihre Schriftenliste nicht über Flash abrufen.

Beachten Sie, dass die Schriftartenliste über Java weiterhin verfügbar ist, wenn Sie diese installiert haben. Es ist eine gute Idee, Java sowieso loszuwerden. Wenn Sie mehrere Sites verwenden, für die Java erforderlich ist, verwenden Sie eine andere Browserinstanz mit einem anderen Benutzerprofil, für die Java nur für diese Sites aktiviert ist.

schnappen
quelle
2
Auf meinem Windows 7-Computer befindet sich die Datei unter C: \ Windows \ SysWOW64 \ Macromed \ Flash \ mms.cfg
MikeFHay
Sie können einfach Java und Flash in Ihren Browser-Erweiterungen deaktivieren. Das hat bei mir funktioniert.
Waqar Lim
1
Ich danke dir sehr! Dies funktioniert auf meinem PC (Windows XP). Panopiclick erkennt mich jedoch immer noch als einen einzigartigen Besucher. durch meine Liste der Plug-Ins ...
Cerberus
Funktioniert auch unter XP. FWIW war der Dateispeicherort C:\WINDOWS\system32\Macromed\Flash\mms.cfg.
Martineau
2
Funktionierte unter OS X nicht für Chrome. Es stellte sich heraus, dass Chrome ein eigenes Flash-Plugin verwendet, das eine separate Konfigurationsdatei enthält. Sein Pfad ist ~/Library/Application Support/Google/Chrome/Default/Pepper Data/Shockwave Flash/System/mms.cfg(erstellen, System/mms.cfgwenn es nicht existiert.)
Dan
6

Die kostenlose Chrome-Erweiterung RubberGlove blockiert Plug-In- und MIME -Enumeration, indem die Array-Einträge in etwa auf dieselbe Weise getarnt werden, wie dies Firefox und Internet Explorer nativ tun können.

Sie müssen Chrome weiterhin auf "Click to Play" -Plugins einstellen und Cookies von Drittanbietern in den Datenschutzeinstellungen von Chrome selbst deaktivieren. Wie bereits in der Studie erwähnt, werden Sie wahrscheinlich immer noch als einzigartig angezeigt, bis genügend Leute anfangen, solche Plugins zu verwenden.

Vollständige Offenlegung: Ich bin der Autor.

Diese Funktionalität kann (oder kann nicht) zukünftig in die Privacy Badger- Erweiterung der Electronic Frontier Foundation integriert werden. Sie schienen sowieso interessiert zu sein.

Jason S. Clary
quelle
Jason, gibt es eine Möglichkeit, RubberGlove um eine Whitelisting-Funktion zu erweitern? Es ist erstaunlich, aber bricht mehrere Websites. Das Aktivieren und Deaktivieren der Erweiterung über den ganzen Tag ist etwas ärgerlich. Dies wird sowohl auf der Google Chrome Addon-Website als auch auf der Github-Entwicklungsseite angefordert.
Costin Gușă
5

In Firefox 28:

Geben Sie about:configdie Adressleiste ein

Finden plugins.enumerable_names

Setzen Sie den Eintrag auf nichts.

Besuchen Sie https://panopticlick.eff.org/ , um zu überprüfen, ob Plugins nicht mehr aufgeführt sind.

mlibby
quelle
1
Verwenden Sie zur Erstellung einer Whitelist das folgende Format: plugins.enumerable_names: Java, QuickTime, Shockwave
Tilo
Um diese Methode zurückzusetzen, ändern Sie den Eintrag wieder in *
matt.
3
Ich sehe diese Einstellung in FireFox 41 nicht. Weiß jemand, wo sie jetzt ist?
Kelly Thomas
Es scheint vorerst weg zu sein. Gefunden: bugzilla.mozilla.org/show_bug.cgi?id=757726
neo post modern
3

Javascript kann überprüfen, welche Plugins installiert sind. In der Regel wird dies verwendet, um bei Bedarf die Meldung "Install missing plugin" (fehlendes Plugin installieren) anzuzeigen. Wenn Sie möchten, können Sie Plugins in den Einstellungen deaktivieren und Javascript mithilfe eines Addons wie Javascript Blacklist für Chrome oder Quick Java-Statusleiste für Firefox deaktivieren.

NoBugs
quelle
Wo kann man Plugins in den Einstellungen deaktivieren?
Martineau
aus dem Tools-Addons-Menü.
NoBugs
3

Absolut möglich mit Proxomitron .

Prox ist wie NoScript, HTTP LiveHeaders, RequestPolicy, CookieSafeguard, BetterPrivacy und so weiter in einem Programm zusammengefasst. Es ist nicht weiterentwickelt, garantiert mir aber trotzdem Datenschutz, den kein anderes Tool leisten kann.

Der Proxomitron ist ein universeller Webfilter. Infos von ihrer Seite:

Das Programm

Für diejenigen, die noch nicht vorgestellt wurden, bietet sich Proxomitron an: ein kostenloser, hochflexibler, benutzerkonfigurierbarer, kleiner, aber sehr leistungsfähiger lokaler HTTP-Webfilter-Proxy. Eine ausführlichere Übersicht finden Sie in unserer Online-Version der Proxomitron-Hilfedateien.

Die aktuelle (und letzte) Version von Proxomitron ist Naoko 4.5, von denen es zwei Veröffentlichungen gab, eine im Mai 2003 und eine im Juni. Obwohl sehr ähnlich, gibt es deutliche Unterschiede zwischen den beiden, die in den Dokumentationen der beiden Programme nicht erwähnt werden. Beide Versionen sind im Abschnitt "Dateien" verfügbar. PI wird sich auf die neueste Version konzentrieren - das Release vom Juni.

Der Autor

Scott R. Lemmon entwickelte ursprünglich das Proxomitron für seinen eigenen Gebrauch. Anschließend entschloss er sich, es der Öffentlichkeit zugänglich zu machen und stellte es den Benutzern per E-Mail und in mehreren Proxomitron-Benutzerdiskussionsgruppen zur Verfügung. Seine Unterstützung war wie sein Programm immer kostenlos.

Mit der Veröffentlichung von Naoko 4.5 stellte Scott die Weiterentwicklung und den Support seines Programms ein und zog die offizielle Homepage von Proxomitron aus dem Internet. Wir respektierten seine Entscheidung, weiterzumachen, und wünschten ihm alles Gute - was er uns schließlich konsequent schenkte.

Leider starb Scott ein Jahr später - aber seine Brillanz von Geist und Seele lebt weiter. Einfach ausgedrückt, ist Proxomitron ein Spiegelbild seines Schöpfers: Um Scotts Programm zu kennen. . . ist Scott Lemmon zu kennen.

Hör zu! Es gibt eine (etwas) aktive Community.

Baldachin
quelle
Wow, die Leute verwenden immer noch Proxomitron, sogar mit Windows 7, Chrome usw. ಠ_๏Ich denke, Scott hat wirklich gute Arbeit geleistet. Ich habe es lange nicht mehr benutzt. Ich denke, ich sollte es rausholen.
Synetech
2

Ab Firefox 17 können Sie "Click to Play" aktivieren, wodurch das Laden von Java und Flash automatisch gestoppt wird. Dies wiederum verhindert, dass viele (nicht alle) Informationen entdeckt werden. Wenn Sie beispielsweise das Flash-Plug-in stoppen, werden die meisten Schriftarten nicht erkannt.

So aktivieren Sie "click_to_play" in Firefox:

  • in deiner Adressleiste muss 'about: config' stehen
  • suche nach 'click_to_play'
  • Doppelklicken Sie auf den Eintrag, um den Wert von "false" auf "true" umzuschalten.
  • schließe die Lasche
  • Wenn das Plugin das nächste Mal benötigt wird, werden Sie aufgefordert, es zu aktivieren
IanB
quelle
Ist das nicht im Wesentlichen das, was das Flashblock- Add-On in vielen anderen Versionen von Firefox leistet ?
Martineau
Das hat bei mir nicht geklappt.
mlibby
2

Die Lösung für die neuesten Firefox-Browser ist:

  • Verwenden Sie Random Agent Spoofer. Kürzlich wurden Optionen zum Deaktivieren der Plugin-Aufzählung hinzugefügt: https://github.com/dillbyrne/random-agent-spoofer/issues/283

  • Oder verwenden Sie ein Benutzerskript, wie in Mechazawas Kommentar im obigen Link gezeigt. Sie können sein Greasemonkey- oder Tampermonkey-Skript (sowohl Firefox als auch Chrome) verwenden, um dies ohne Erweiterung zu erledigen.

Ich kann bestätigen, dass dies Plugins im panopticlick Test als "undefiniert" anzeigt.

Spektralsprung
quelle
2

Der Fingerabdruck von Schriftarten ist nur ein kleiner Teil des Browser-Fingerabdrucks. Das vollständige Blockieren ist fast unmöglich, wenn der Browser funktionsfähig bleiben soll. Der beste allgemeine Fingerabdruckschutz soll im Tor-Browser zu finden sein.

In praktischen Tests wurde festgestellt, dass das Blockieren des Fingerabdrucks von Schriftarten die Eindeutigkeit des Computerfingerabdrucks erhöht, da die meisten Benutzer dies nicht tun. Der beste Weg, um Fingerabdrücke zu vermeiden, besteht darin, nichts Besonderes zu tun und sich mit Tausenden anderer Benutzer zu vermischen.

Der erste Schritt gegen den Fingerabdruck von Schriftarten besteht darin, die Wirksamkeit aller von Ihnen ergriffenen Abwehrmaßnahmen zu testen. Ein gutes Tool hierfür ist https://browserleaks.com/fonts . Ein gutes Tool für die Eindeutigkeit des allgemeinen Fingerabdrucks ist https://panopticlick.eff.org/ (mein eigener Browser hat sich unter den 199.984 Browsern, die in den letzten 45 Tagen getestet wurden, als einzigartig erwiesen) oder Am I Unique .

Zum Schutz in Chrome können Sie folgende Maßnahmen ergreifen:

  • Installieren Sie stattdessen einen gehärteten Chromium-Build
  • Verwenden Sie eine Erweiterung (ich habe ihre Wirksamkeit nicht getestet):
    • Whitelist zum
      Schutz der Vertraulichkeit von Schriftzeichen- Glyphen-Fingerabdrücken Ermöglicht die Erkennung nur der Standardliste der mit Windows installierten Schriftarten.
    • Font Fingerprint Defender
      Fügt dem tatsächlichen Fingerabdruck ein leises Geräusch hinzu und "erneuert" ihn jedes Mal, wenn Sie eine Website besuchen oder eine Seite neu laden.
    • Don't FingerPrint Me
      Fügt den Entwicklertools von Chrome einen Tab hinzu, in dem die Fingerabdruckversuche des Browsers angezeigt werden.

Zum Schutz in Firefox

Mozilla arbeitet derzeit am Tor Uplift-Projekt, dessen Ziel es ist, in Firefox die gleiche Beständigkeit gegen Fingerabdrücke wie im Tor-Browser zu erreichen. Dieses Projekt ist in Bearbeitung und wird im Artikel Sicherheit / Fingerabdruck beschrieben .

Sie können das Firefox- Hardening- Skript in Github ghacks-user.js ausprobieren , obwohl es nach allen Berichten zu viel sein und das Surfen tatsächlich beeinträchtigen kann.

Was Add-Ons anbelangt, gibt es eine Liste nützlicher Add-Ons und anderer Ratschläge, die auf der Seite Firefox-Tweaks gepflegt werden .

Momentan sind die Maßnahmen, die ich speziell für Font Fingerprinting kenne, in etwa: config settings :

  • Klicken Sie mit der rechten Maustaste und wählen Sie " Neu"> "Zeichenfolge" , um den neuen Parameter zu erstellen font.system.whitelist, in dem die Schriftarten aufgelistet werden, die JavaScript sehen wird. Ein Beispiel für einen gültigen Wert ist Helvetica, Courier, Verdana. Die Änderung wird sofort wirksam.
    In meinem Fall hat dies mein eigenes Font Fingerprinting von 266 Fonts und 238 eindeutigen Metriken in einer Liste von 512 Fonts auf "nur" 28 Fonts und 9 eindeutige Metriken reduziert . (Ich habe keine Ahnung, wie sich dies auf das Surfen auswirken würde.)

  • privacy.resistFingerprinting=trueist ein allgemeiner Schalter, um Datenschutzmaßnahmen aus dem Tor Uplift-Projekt zu aktivieren, wenn sie implementiert werden. Es ermöglicht die Verteilung einer einheitlichen Schriftartenliste. Mozilla rät davon ab, es zu aktivieren, da einige Websites beschädigt werden.

  • Deaktivieren Sie die Optionen von "Websites erlauben, ihre eigenen Schriftarten zu verwenden" und die CSS-API zum Laden von Schriftarten, indem Sie die folgenden Werte ändern:

    browser.display.use_document_fonts = 0
layout.css.font-loading-api.enabled = false
font.blacklist.underline_offset = (empty string)
gfx.downloadable_fonts.enabled = true
gfx.font_rendering.opentype_svg.enabled = false
gfx.font_rendering.graphite.enabled = false

    (Dies wird höchstwahrscheinlich das Surfen beeinträchtigen.)

Ich möchte nur darauf hinweisen, dass ich Methoden für anspruchsvolles Fingerprinting und Zeichnen von Schriftarten kennengelernt habe, mit denen sich sogar die Grafikkarte und der Grafiktreiber identifizieren lassen.

Meine Meinung: Fingerabdrücke lassen sich nicht vermeiden - Schriften sind nicht alles. Auch wenn Du:

  • Verwenden Sie ein VPN
  • Führen Sie das Browsen von einer virtuellen Vanilla Windows-Maschine aus
  • Installieren Sie keine Schriftarten oder andere Software
  • Installieren Sie den am häufigsten verwendeten Browser - Chrome, ohne Erweiterungen
  • Surfen Sie im Inkognito-Modus, in dem alle Cookies und Erweiterungen deaktiviert sind

Dann werden diese einzigartigen Schutzmethoden zusammen mit Hardwareelementen, die in der virtuellen Maschine noch erkennbar sind, höchstwahrscheinlich immer noch zu einem einzigartigen oder fast einzigartigen Fingerabdruck führen. Ganz zu schweigen davon, dass diese Umgebung ziemlich schwer zu bedienen sein wird.

Erläuterungen zu einigen bekannten Fingerabdruckmethoden finden Sie in den folgenden Artikeln:

Harrymc
quelle
1

Auch wenn dies eine ältere Frage ist, sind wir ab 2017 immer noch sehr besorgt über alle Informationen, die vom Browser durchgesickert sind, da sie für Fingerabdrücke verwendet werden. Ich finde, dass der von Spectraljump erwähnte Random Agent Spoofer ( https://github.com/dillbyrne/random-agent-spoofer ) den Nagel direkt auf den Kopf trifft.

Wie gewünscht schützt es vor:

  • Plugin-Aufzählung
  • macht die auf Ihrem Computer installierten Schriftarten nicht verfügbar (eine effizientere Alternative zu Werkzeugen zum Ändern von Schriftarten wie FluxFonts)

Außerdem bietet es Optionen zum Schutz vor:

  • die meisten anderen Fingerabdruck-Tools
  • Damit können Sie webRTC, webGL, lokalen Cache und mehr deaktivieren.

Wenn Sie einen Canvas-Zufallsgenerator für Fingerabdrücke (wie Canvas Defender ) verwenden, sind Sie gegen so ziemlich alles geschützt, was auf browserleaks.com und Panopticlick erkennbar ist.

Stellen Sie schließlich sicher, dass Sie ein VPN mit DNS-Auslaufschutz verwenden , um die Schleife zu schließen.

Eine alternative, wenn auch weniger bequeme Lösung besteht darin, für alle Browsing-Aktivitäten eine allgemeine Vanille-VM (das am häufigsten verwendete Betriebssystem ohne benutzerdefinierte Installation) zu verwenden und diese nach jeder Sitzung zurückzusetzen.

DrSplange
quelle