Cómo deshabilitar el permiso para leer 'Fuentes del sistema' y 'Detalles del complemento del navegador' en Chrome y Firefox

Al ir a http://panopticlick.eff.org/ puedo ver que Firefox y Chrome exponen más sobre 'Fuentes del sistema' y 'Detalles del complemento del navegador' de lo que prefiero.

¿Cómo se puede deshabilitar el permiso de una página web para acceder a esta configuración en Firefox y Chrome?

Hay dos preguntas, pero estoy respondiendo la pregunta de la lista de fuentes:

Es posible deshabilitar la enumeración de fuentes Flash utilizando el mms.cfgarchivo de configuración de todo el sistema. Este archivo debe ubicarse en el /etc/adobe/directorio si está utilizando Linux. Básicamente solo necesita poner la siguiente línea en el archivo:

DisableDeviceFontEnumeration = 1

Consulte la Guía de administración de Adobe Flash Player para obtener más detalles.

Con esta configuración, Panopticlick y otros sitios no pueden obtener su lista de fuentes a través de Flash.

Tenga en cuenta que la lista de fuentes todavía está disponible a través de Java si la tiene instalada. Es una buena idea deshacerse de Java de todos modos. Si usa un par de sitios que requieren Java, use una instancia de navegador diferente con un perfil de usuario diferente con Java habilitado solo para esos sitios.

La extensión gratuita de Chrome, RubberGlove, bloquea el complemento y la enumeración de tipo mime al encubrir las entradas de la matriz de la misma manera que Firefox e Internet Explorer pueden / lo hacen de forma nativa.

Aún debe configurar Chrome para los complementos "Hacer clic para reproducir" y deshabilitar las cookies de terceros en la configuración de privacidad de Chrome. Además, como se mencionó en el estudio, es probable que sigas apareciendo como único hasta que suficientes personas comiencen a usar complementos como este.

Divulgación completa: soy el autor.

Esta funcionalidad puede (o no) integrarse en la extensión Privacy Badger de Electronic Frontier Foundation en el futuro. Parecían interesados, de todos modos.

En Firefox 28:

Escribe about:configla barra de ubicación

Encontrar plugins.enumerable_names

Establecer la entrada a nada.

Visite https://panopticlick.eff.org/ para verificar que los complementos ya no estén en la lista.

Javascript tiene la capacidad de verificar qué complementos están instalados, esto generalmente se usa para dar un mensaje de "instalar complemento que falta" si es necesario. Si lo desea, puede deshabilitar los complementos en la configuración y deshabilitar Javascript usando un complemento como Javascript Blacklist para Chrome o Quick Java barra de estado para Firefox.

Absolutamente posible con Proxomitron .

Prox es como NoScript, HTTP LiveHeaders, RequestPolicy, CookieSafeguard, BetterPrivacy y todo lo demás, todo en un solo programa. No se desarrolla más, pero todavía me garantiza la privacidad que ninguna otra herramienta puede hacer.

El Proxomitron es un filtro web universal. Información de su sitio:

El programa

Para aquellos que aún no se han presentado, conozca el Proxomitron: un proxy HTTP de filtrado web local gratuito, altamente flexible, configurable por el usuario, pequeño pero muy potente. Para familiarizarse mejor, consulte nuestra versión en línea de los archivos de ayuda de Proxomitron para obtener una descripción más completa.

La versión actual (y última) de Proxomitron es Naoko 4.5, de la cual hubo dos lanzamientos, uno en mayo de 2003 seguido de uno en junio. Aunque muy similar, existen diferencias claras entre los dos que no se mencionan en la documentación de ninguno de los programas. Ambas versiones están disponibles en la sección Archivos. El enfoque de PI estará en la última versión: el lanzamiento de junio.

El autor

Scott R. Lemmon desarrolló originalmente el Proxomitron para su propio uso. Luego decidió lanzarlo al público y se puso a disposición de los usuarios por correo electrónico y en varios grupos de discusión de usuarios de Proxomitron. Su apoyo, como su programa, siempre fue gratuito.

Con el lanzamiento de Naoko 4.5, Scott suspendió todo el desarrollo y soporte de su programa y retiró la web oficial de Proxomitron de la Web. Respetamos su decisión de seguir adelante y le deseamos todo lo mejor, que es, después de todo, lo que constantemente nos dio.

Lamentablemente, un año después, Scott murió, pero su brillantez de mente y espíritu sigue vivo. En pocas palabras, Proxomitron es un reflejo de su creador: conocer el programa de Scott. . . es conocer a Scott Lemmon.

¡Echale un vistazo! Hay una comunidad (algo) activa.

A partir de Firefox 17, puede habilitar 'hacer clic para jugar' que detiene la carga de Java y Flash automáticamente. Esto a su vez impide que se descubra mucha (no toda) información. Por ejemplo, detener el complemento Flash evita que se descubran la mayoría de las fuentes.

Para habilitar 'click_to_play' en Firefox:

• llegó a 'about: config' en su barra de direcciones
• buscar 'click_to_play'
• haga doble clic en la entrada para alternar el valor de 'falso' a 'verdadero'
• cierra la pestaña
• la próxima vez que se requiera el complemento, recibirá un mensaje que le dará la opción de habilitarlo

La solución para los últimos navegadores Firefox es:

• Utilice el agente aleatorio Spoofer. Recientemente agregó opciones para desactivar la enumeración de complementos: https://github.com/dillbyrne/random-agent-spoofer/issues/283

• O use un script de usuario como se muestra en el comentario de Mechazawa en el enlace de arriba. Puede usar su script Greasemonkey o Tampermonkey (tanto Firefox como Chrome) para encargarse de esto sin ninguna extensión.

Puedo confirmar que esto muestra complementos como "indefinidos" en la prueba de panopticlick.

Las huellas digitales de fuentes son solo una pequeña parte de las huellas digitales del navegador. Bloquearlo totalmente es casi imposible de hacer si el propósito es dejar que el navegador siga funcionando. Se dice que la mejor protección general de huellas digitales se encuentra en el navegador Tor.

En pruebas prácticas se descubrió que intentar bloquear las huellas digitales de las fuentes en realidad aumenta la singularidad de la huella digital de la computadora, ya que la mayoría de los usuarios no lo hacen. La mejor manera de evitar las huellas digitales es no hacer nada especial y mezclarse con miles de otros usuarios.

El primer paso contra las huellas dactilares de la fuente es tener una prueba de la efectividad de cualquier medida defensiva que tome. Una buena herramienta aquí es https://browserleaks.com/fonts . Una buena herramienta para la singularidad de las huellas digitales generales es https://panopticlick.eff.org/ (mi propio navegador apareció como único entre los 199,984 probados en los últimos 45 días) o Am I Unique .

Para protección en Chrome , las medidas que puede tomar son:

• Instale en su lugar una construcción de cromo endurecida
• Use una extensión (no he probado su efectividad):
  • Lista blanca de privacidad de huellas digitales de glifo de fuente
    Permite detectar solo la lista predeterminada de fuentes que se instalaron con Windows.
  • Font Fingerprint Defender
    Agrega un pequeño ruido a la huella digital real y la "renueva" cada vez que visita un sitio web o vuelve a cargar una página.
  • Don't FingerPrint Me
    Agrega una pestaña a las herramientas de desarrollador de Chrome que muestra los intentos de huellas digitales del navegador.

Para protección en Firefox

Mozilla está trabajando actualmente en el proyecto Tor Uplift, cuyo objetivo es construir en Firefox el mismo nivel de resistencia a las huellas dactilares que en el navegador Tor. Este proyecto está en progreso y se describe en el artículo Seguridad / Huellas digitales .

Puede probar el script de endurecimiento de Firefox en Github ghacks-user.js , aunque según todos los informes puede ser demasiado y realmente dañar la navegación.

En cuanto a los complementos, hay una lista de complementos útiles y otros consejos mantenidos en la página firefox-tweaks .

Por el momento, las medidas que conozco específicamente para Font Fingerprinting se refieren a : configuración de configuración :

• Haga clic con el botón derecho y seleccione Nuevo> Cadena , creando el nuevo parámetro font.system.whitelist, que enumerará las fuentes que verá JavaScript. Un valor válido de ejemplo es Helvetica, Courier, Verdana. El cambio hace efecto inmediatamente.
  En mi caso, esto ha reducido mi propia huella digital de fuentes de 266 fuentes y 238 métricas únicas encontradas en una lista de 512 fuentes, a "solo" 28 fuentes y 9 métricas únicas. (No tengo idea de cómo esto afectaría la navegación).

• privacy.resistFingerprinting=truees un cambio general para habilitar medidas de privacidad del proyecto Tor Uplift a medida que se implementan. Permite distribuir una lista de fuentes uniforme. Mozilla no recomienda habilitarlo ya que romperá algunos sitios web.

• Desactivando las opciones de "Permitir que los sitios web utilicen sus propias fuentes" y la API de carga de fuentes CSS cambiando estos valores:

  browser.display.use_document_fonts = 0
  layout.css.font-loading-api.enabled = false
  font.blacklist.underline_offset = (empty string)
  gfx.downloadable_fonts.enabled = true
  gfx.font_rendering.opentype_svg.enabled = false
  gfx.font_rendering.graphite.enabled = false
  

  (Esto probablemente degradará la navegación).

Solo para comentar que he visto métodos discutidos para obtener huellas digitales y dibujos sofisticados de fuentes que incluso podrían identificar la tarjeta gráfica y el controlador gráfico.

Mi opinión: es imposible evitar las huellas digitales: las fuentes no lo son todo. Incluso si tú:

• Usa una VPN
• Navega desde una máquina virtual Windows de vainilla
• No instale fuentes u otro software
• Instale el navegador más utilizado: Chrome, sin extensiones
• Navegue en modo incógnito que deshabilita todas las cookies y extensiones

entonces lo más probable es que estos métodos de protección únicos, junto con elementos de hardware aún detectables en la máquina virtual, sigan creando una huella digital única o casi única. Sin mencionar que este entorno será bastante difícil de usar.

Para discusiones sobre algunos métodos de huellas dactilares conocidos, vea los siguientes artículos:

• Huellas digitales del navegador - Explicación y soluciones (a partir de 2019)
  Contiene más información y hacks de los que he enumerado anteriormente.

• Nuevas técnicas de huellas digitales (desde 2017)

• Seguridad del navegador web - BrowserLeaks.com

Aunque esta es una pregunta anterior, a partir de 2017 todavía estamos muy preocupados por toda la información filtrada por el navegador, ya que se utilizan para tomar huellas digitales. Encuentro que el Agente aleatorio Spoofer ( https://github.com/dillbyrne/random-agent-spoofer ) mencionado por Spectraljump golpea el clavo justo en la cabeza.

Según lo solicitado, protegerá contra:

• enumeración de complementos
• no expondrá las fuentes instaladas en sus máquinas (que es una alternativa más eficiente a las herramientas de cambio de fuente, como FluxFonts)

Además, proporcionará opciones para protegerlo de:

• la mayoría de las otras herramientas de huellas digitales
• le permitirá deshabilitar webRTC, webGL, caché local y más.

Si agrega un aleatorizador de huellas digitales de lienzo (como Canvas Defender ), se encontrará protegido contra casi todo lo detectable en browserleaks.com y Panopticlick.

Finalmente, asegúrese de usar una VPN con protección de fuga de DNS para cerrar el ciclo.

Una solución alternativa, aunque menos conveniente, es utilizar una máquina virtual genérica (sistema operativo más común, sin nada personalizado instalado) para todas las actividades de navegación y restablecerla después de cada sesión.