Wie viele Informationen können Websites über Ihren Browser / PC erhalten?

41

Ich versuche festzustellen, ob die auf www.whatsmyip.org angezeigten Informationen die absolute Höchstmenge an Informationen darstellen, die ein Webserver von einem Webbesucher erhalten kann. Gibt es andere Websites, die in der Lage sind, passiv weitere Informationen vom Benutzer zu erhalten?

Ich spreche nicht von Port-Sniffing oder irgendeiner Art von Interaktion durch den Benutzer, sondern nur von den Informationen, die ein Server von einem "dummen" Besuch erhalten kann.

Diese Frage war eine Super User Frage der Woche .
Lesen Sie den Blog - Eintrag , um weitere Informationen oder tragen zu dem Blog selbst

browser website internet-security Pickledegg
quelle

Antworten:

34

Es gibt noch mehr: Die Electronic Frontier Foundation (EFF) hat ein Tool namens Panopticlick herausgebracht, das zumeist die gleichen Informationen anzeigt, aber zusätzlich Ihre installierten Schriften scannt.

Installierte Schriftarten sind wahrscheinlich die identifizierendsten Informationen, sobald Sie mit dem Hinzufügen von einer oder zwei beginnen. Nur aufgrund der Anzahl der verfügbaren Schriftarten ist es unwahrscheinlich, dass auf zwei verschiedenen Computern derselbe Satz von Schriftarten vorhanden ist. (Solange sie von verschiedenen Personen benutzt werden)

Bearbeiten (aus Kommentaren): Eine Gegenmaßnahme ist das Deaktivieren von JavaScript (z. B. durch ein Addon wie NoScript) oder das Deaktivieren von Java- und Flash-Plugins im Browser, da mindestens eines dieser Plugins zum Extrahieren der Informationen erforderlich ist.

Baarn
quelle
2
Dies erfordert Java, um einige seiner Informationen zu extrahieren (und es wird sehr wenig, wenn Sie die Aufforderung ablehnen, Java auf der Site zuzulassen).
PhonicUK
1
Es benötigt kein Java, es benötigt JavaScript. Die meisten Leute haben kein Addon wie NoScript in ihrem Browser installiert, daher können in den meisten Fällen alle Informationen extrahiert werden. Die Sites, die diese Art von Scans durchführen, werden den Benutzer normalerweise nicht fragen, ob sie dazu berechtigt sind.
Baarn
2
Ja, es wird Java verwendet. Es verfügt über ein Java-Applet, das die Schriftartprüfung durchführt. Chrome fordert Sie sogar auf, beim Aufrufen der Seite anzugeben, ob das Applet ausgeführt werden soll oder nicht. Machen Sie ein <applet codebase="java" code="fonts.class" id="javafontshelper" name="javafontshelper" mayscript="true" width="1" height="1"></applet>
Inspect-
1
@Indrek Ich kann dies bestätigen, sobald Sie Java und Flash deaktiviert haben, können keine Zeichensätze extrahiert werden.
Baarn
2
Wenn dies nicht über Java möglich ist, wird stattdessen Flash verwendet. Wenn Sie sowohl Flash als auch Java deaktivieren, wird nur "Keine Flash- oder Java-Schriftarten erkannt" angezeigt. Sie können die Liste der Schriftarten nicht nur mit Javascript abrufen. Zugegeben, es ist insofern passiv, als es keine Interaktion seitens des Benutzers erfordert, aber dafür noch Extras erforderlich sind.
PhonicUK
9

Wie bekommen sie es?

Passive identifizierbare Informationen werden meist aus Headern der Kommunikationspakete gesammelt.

Wenn ein Browser eine URL anfordert, durchläuft diese Anforderung mehrere Schichten des OSI-Modells und mehrere Netzwerkprotokolle. Die Protokolle der höheren Ebene wie HTTP und TCP / IP stellen wahrscheinlich die meisten Informationen bereit, die auf dieser Website angezeigt werden. Diese Informationen werden normalerweise in einem Paket-Header gespeichert und ursprünglich dort eingebettet, um Servern das Verständnis zu erleichtern: Welche Informationen sind für Ihre Umgebung am besten geeignet?

Eine benutzerfreundliche Liste der aktuellen HTTP-Header finden Sie bei Wikipedia . Eine technischere Referenz ist RFC 2616 Header Field Definitions oder RFC 2616 selbst, siehe Abschnitt 14.

Wie schützen Sie Ihre Privatsphäre?

Eine andere sehr beliebte Technik, um einen Nutzer zu verfolgen, ist die Verwendung eines bestimmten Cookies. Auf diese Weise wissen Anzeigenanbieter, welche Anzeige Sie anzeigen sollen (was mich sehr vorsichtig macht). Siehe Antworten zu meiner Frage: So entfernen Sie Tracking-Cookies . Die Antworten decken viel mehr mögliche Abwehrmechanismen gegen andere Tracking-Techniken ab.

Eine sicherere Möglichkeit, anonym online zu bleiben, ist die Verwendung einiger dedizierter Sicherheitsprojekte, darunter TOR .

oleksii
quelle
8

Bezüglich der Informationen können Sie ohne Java / Flash passiv zugreifen - das ist ziemlich vollständig.

Sie könnten vielleicht die PC-Leistung mithilfe eines JavaScript-Benchmarks schätzen, aber Sie sind an diesem Punkt wirklich auf dem Vormarsch.

PhonicUK
quelle
7

Diese Seite zeigt nicht wirklich viel, wenn Sie einfach die Browser-Eingabeaufforderungen zum Ausführen von Plugins verweigern , die Standorterkennung zulassen usw.

Der Hostname, die IP-Adresse usw. können problemlos über einen Proxy ausgeblendet werden, und Browser- / Betriebssysteminformationen können problemlos über Erweiterungen und dergleichen gefälscht werden.

Letztendlich können Websites nur dann viele Informationen erfassen, wenn Sie Plugins von Drittanbietern installieren und zulassen, da die Browser speziell darauf ausgelegt sind, den Zugriff auf ein System einzuschränken. Das gebräuchlichste Tool, mit dem Websites Daten sammeln, sind Cookies. Sie können jedoch auch nur in begrenztem Umfang Daten melden.

Die einzige Möglichkeit für eine Site, uneingeschränkten Zugriff auf Ihr System zu erhalten, besteht darin, eine Sicherheitsanfälligkeit im Browser oder in einem seiner Plug-ins auszunutzen. Sie können dies jedoch abmildern, indem Sie so wenig wie möglich installieren und auf dem neuesten Stand halten .

Synetech
quelle
5

Es gibt noch etwas, was in den vorherigen Antworten nicht aufgeführt ist:

Eine Website kann nachverfolgen, welche anderen Websites Sie besucht haben (vor dem letzten Löschen Ihres Browserverlaufs).

Wie wird es gemacht?

Ihr Browser färbt Links unterschiedlich ein, je nachdem, ob Sie sie zuvor besucht haben oder nicht. Eine Website kann eine große Liste mit vielen bekannten Websites erstellen (von denen die Website wissen möchte, ob Sie sie besucht haben) und diese Liste so anzeigen, dass der Benutzer sie nicht sehen kann (versteckt hinter einem Bild, mit einer Schriftart) Größe von 1 Pixel, mit der gleichen Farbe wie der Hintergrund usw.) Nun scannt ein Skript, wie die Liste vom Browser "angezeigt" wird, und kann wissen, welche von ihnen besucht wurden.

vsz
quelle
1
Ich habe schon davon gehört, aber ich denke, es ist nicht mehr möglich.
Baarn,
In diesen Tagen (2012) wird dies, wenn ein moderner Browser dies zulässt, als schwerwiegende Sicherheitslücke behandelt. Beispielsweise wurde kürzlich eine Beta-Version (?) Von Firefox 16 veröffentlicht, als die Entwickler erkannten, dass sie für diesen Exploit anfällig waren. Dies wurde als ernst genug angesehen, um eine Nachricht zu sein: bbc.co.uk/news/technology-19909106
user56reinstatemonica8
5

Ich habe diese Seite gerade gefunden, habe sie oben nicht gesehen: http://browserspy.dk Sehr interessant, um es gelinde auszudrücken!

In BrowserSpy.dk können Sie sehen, wie viele Informationen Ihr Browser über Sie und Ihr System enthält.

Wussten Sie, dass alle Websites, die Sie besuchen, herausfinden können, welche Schriftarten Sie installiert haben?

Es ist auch möglich herauszufinden, ob Sie eine Reihe von Programmen installiert haben. Dazu gehören Adobe Reader, OpenOffice.org, Google Chrome und Microsoft Silverlight. Vielleicht können Sie sogar feststellen, welche Websites Sie in letzter Zeit besucht haben!

Wenn Sie im Internet surfen, hinterlässt Ihr Browser eine Spur digitaler Spuren. Websites können diese Footprints verwenden, um Ihr System zu überprüfen.

BrowserSpy.dk ist ein Dienst, mit dem Sie überprüfen können, welche Informationen von Ihrem System erfasst werden können, indem Sie eine Website besuchen.

Karan
quelle