¿Qué tan bien protege Tor contra las huellas dactilares?

4

No quiero que ciertos sitios web me rastreen, pero no funcionan sin js. Encontré algunos complementos que requieren "leer y cambiar todos los datos en todos los sitios web", por lo que necesitaba algo más. Estaba pensando en codificar un pequeño navegador de Python u otro basado en el proyecto Chromium, y simplemente configurarlo para que no pase tanta información (agentes de usuario vacíos, etc.). Además, la segunda opción hubiera sido encontrar las 10 mejores huellas digitales en la web y usarlas al azar. El inconveniente es que tuve que obtener una nueva IP para que cada cambio de huella dactilar pareciera que las solicitudes provenían de diferentes dispositivos. Y la forma más fácil de lograrlo es usando Tor. Pero luego todavía tengo mi huella digital única y vuelvo al problema original, ¿verdad? ¿La red Tor hace algo al respecto?

    
pregunta Rápli András 03.04.2016 - 22:03
fuente

3 respuestas

8

Cuando no cambia nada, el navegador Tor es ya está configurado de manera que la huella dactilar sea idéntica a todos los demás navegadores Tor (y esté cerca de la huella dactilar más común en la web). Recomiendo confiar en esto en lugar de perder el tiempo con usted mismo, ya que hay muchas posibilidades para crear una huella digital. Echa un vistazo a los temas abiertos y cerrados de Tor track track bug tracker y tratar de entender los problemas.

También puede usar Tails a través de un medio en vivo de solo lectura para obtener una gran cantidad de anonimato con un esfuerzo razonable.

    
respondido por el Noir 03.04.2016 - 23:29
fuente
3

La toma de huellas dactilares que podría usarse para identificar un navegador depende de las funciones disponibles. Si está ejecutando un navegador básico con todo lo deshabilitado, hay muy pocos datos de los que extraer las huellas digitales. Por otra parte, la falta de datos excesivos también haría que su tráfico sea más único. Sin embargo, al final, te estarás abriendo mucho teniendo activado Javascript.

Cloné este proyecto de huellas digitales desde github ( enlace ) en uno de mis servidores web. Si accedí a él con un navegador Tor, recibí una notificación del navegador que dice:

  

"Este sitio web intentó extraer datos de imagen de lienzo HTML5, que pueden   ser utilizado para identificar de forma única su computadora. Si Tor Browser lo permite   ¿Este sitio web para extraer datos de imagen de lienzo HTML5? "

Además, cada vez que renové mi identidad y visité la URL de huellas dactilares, me dio una resolución de pantalla única basada en huellas dactilares, por lo que Tor también parece tener huellas dactilares.

Aquí hay una buena reseña sobre este tema:

enlace

FTA,

  

Javascript puede revelar mucha información de huellas digitales. Proporciona   Objetos DOM como window.screen y window.navigator para extraer   Información sobre el agente de usuario. Además, se puede utilizar Javascript para consultar.   la zona horaria del usuario a través del objeto Date (), WebGL puede revelar   información sobre la tarjeta de video en uso y sincronización de alta precisión   la información se puede utilizar para tomar una huella digital de la CPU y la velocidad del intérprete   En el futuro, las nuevas funciones de JavaScript como Resource Timing pueden   filtrar una cantidad desconocida de información relacionada con la sincronización de la red.

Si está realmente preocupado por el seguimiento, le aconsejaría lo siguiente:

  • Crea una máquina virtual y ejecuta el Navegador Tor desde ahí
  • establecer la zona horaria incorrecta
  • usar un nombre de cuenta de usuario aleatorio
  • use un teclado virtual (esto debería evitar que las huellas dactilares de estilo de escritura / tiempo).
  • configura todo el tráfico saliente para que se bloquee, excepto el navegador Tor y solo en los puertos 80/443 y cualquier cosa que Tor necesite para conectarse.
  • establecer la configuración de seguridad en alto
  • solo habilite JS para páginas que lo necesiten explícitamente (a través de NoScript)
  • cambia las identidades con frecuencia.

Es probable que desee realizar un script de cambios regulares en los posibles identificadores del sistema operativo, como la hora exacta, la distribución del teclado, la dirección MAC.

Siempre actualice con frecuencia y nunca ejecute flash.

ACTUALIZACIÓN Hay una nueva versión del javascript de huellas digitales disponible: enlace

Este parece hacer un mejor trabajo y configurar una nueva identidad no hace NADA.

Aquí hay una lista de las fuentes que utiliza para la toma de huellas dactilares:

  1. UserAgent
  2. idioma
  3. Profundidad de color
  4. Resolución de pantalla
  5. Zona horaria
  6. Tiene almacenamiento de sesión o no
  7. Tiene almacenamiento local o no
  8. ha indexado DB
  9. Tiene 'AddBehavior' específico de IE
  10. Tiene DB abierto
  11. clase de CPU
  12. Plataforma
  13. DoNotTrack o no
  14. Lista completa de fuentes instaladas (manteniendo su orden, lo que aumenta la entropía), implementada con Flash.
  15. Una lista de las fuentes instaladas, detectadas con JS / CSS (técnica de canal lateral): puede detectar hasta 500 fuentes instaladas sin flash
  16. huellas dactilares de lona
  17. huellas dactilares de WebGL
  18. Complementos (IE incluido)
  19. ¿AdBlock está instalado o no?
  20. El usuario ha manipulado sus idiomas 1
  21. ¿Ha manipulado el usuario su resolución de pantalla 1?
  22. ¿Ha manipulado el usuario su sistema operativo 1?
  23. El usuario ha manipulado su navegador 1
  24. Detección de pantalla táctil y capacidades
respondido por el nyxgeek 03.04.2016 - 23:46
fuente
-1

Recomendaría echar un vistazo a esta herramienta de prueba de concepto:

enlace

Puede tomar huellas digitales de Tor, Tails y si el usuario está ejecutando el Navegador Tor en macOS.

    
respondido por el jonasl 28.06.2017 - 21:19
fuente

Lea otras preguntas en las etiquetas