¿Hay alguna manera de averiguar qué información nos pregunta el sitio web sobre nosotros? [cerrado]

3

¿Qué herramienta o software debo buscar para averiguar qué datos de "huellas digitales" un sitio web está siguiendo?

Me gusta, quiero saber, si el sitio web busca un caché y / o fuentes instaladas en el sistema, o Canval, métodos WebGL. Hubo un gran proyecto haciendo eso llamado "OpenWPM" escrito en Python, que se utiliza para rastrear todo eso con el controlador de Mozilla y almacenarlo en una base de datos SQL con una organización bastante ordenada de los datos.

Intenté buscar el Proxy ZAP de Red Attack de OWASP, pero es una herramienta para encontrar vulnerabilidades, no datos de lo que quiero. Hay muchos complementos para OWASP, pero no sé cuáles usar.

    
pregunta Anton 20.08.2018 - 17:14
fuente

1 respuesta

2

No, no hay. Si bien las huellas dactilares pueden se realizan proporcionando activamente al navegador un recurso que permita la toma de huellas dactilares, también es posible tomar las huellas dactilares de un cliente de forma totalmente pasiva. Por ejemplo, el orden específico en que se transmiten los encabezados de los clientes indica el cliente web que está utilizando. Incluso si falsifica varios encabezados, como aceptar la codificación y el agente de usuario, todavía está regalando el orden de los encabezados, lo que a su vez hace posible la huella pasiva del navegador. Otro ejemplo es analizar el comportamiento del cliente al obtener recursos. ¿En qué orden obtiene recursos? ¿Cuántos obtiene en paralelo? Todos estos datos se envían de forma rutinaria a cualquier servidor web al que se conecte, y no hay forma de que pueda saber si se está utilizando para fines de toma de huellas dactilares.

Es posible detectar si se realizan ciertos intentos explícitos y activos de toma de huellas dactilares, por ejemplo, la toma de huellas dactilares de AudioContext o, como proporcionó como ejemplo en su pregunta, huellas dactilares basadas en WebGL, pero detectando esto no le permite concluir que el sitio web no participa en la actividad de toma de huellas dactilares. Además, habrá muchas formas de recopilar de forma encubierta esta información de una manera que parece bastante inocente para la detección automática. En cuanto al software específico que puede hacer esto, las recomendaciones explícitas de software están fuera de tema (y no conozco ningún software específico que pueda detectar esto, de todos modos).

Es posible que desee consultar AmIUnique , un sitio web de prueba de concepto que utiliza una variedad de técnicas de toma de huellas digitales, tanto activas como pasivas. para identificar de forma única un sistema. Utiliza no solo técnicas primitivas, como las huellas dactilares UA, sino técnicas más avanzadas como las huellas dactilares de WebGL y AudioContext, enumeración de fuentes, dimensiones de la ventana del navegador, etc.

    
respondido por el forest 01.09.2018 - 01:31
fuente

Lea otras preguntas en las etiquetas