image

Browser lekt 10,5 bits aan identificeerbare informatie

vrijdag 29 januari 2010, 12:31 door Redactie, 14 reacties

Bij het bezoeken van een website lekken internetgebruikers via hun browser gemiddeld 10,5 bits aan identificeerbare informatie. Dat betekent dat 1 op de 1500 mensen dezelfde "User Agent" heeft. De User Agent bevat informatie over het gebruikte besturingssysteem en browser en verschilt per internetgebruiker. Burgerrechtenbeweging Electronic Frontier Foundation (EFF) deed onderzoek of deze informatie te gebruiken is om mensen te identificeren, als ze bijvoorbeeld hun cookies verwijderen. Op zichzelf is alleen de User Agent niet voldoende om een internetgebruiker te identificeren, maar in combinatie met andere details, zoals geolocatie, postcode of een bijzondere browser plugin, vormt de User Agent string een serieus privacyprobleem, aldus de EFF.

Als het gaat om de privacy van internetgebruikers kijkt men meestal naar user accounts, cookies en IP-adressen, omdat dit de standaard manier is om een gebruiker, computer of lokaal netwerk te identificeren. Standaard krijgen gebruikers dan ook het advies om cookies te blokkeren of te verwijderen en proxy servers te gebruiken. Volgens de EFF is het niet duidelijk dat de User Agent eigenlijk net zo gevaarlijk als een unieke tracking cookie is. "Cookies werden ontworpen om websites individuele browsers te laten herkennen, wat niet geldt voor User Agents." De User Agent bevat naast browser en besturingssysteem ook de ingestelde taal. Aan de hand van alle variaties in de User Agent, is het mogelijk om er mensen mee te monitoren.

Internet Explorer
De onderzoekers van het EFF verzamelden de geanonimiseerde User Agents van bezoekers van eff.org en dat leidde tot een interessante ontdekking. "Het is verbazingwekkend hoe identificeerbaar User Agent strings zijn. 10,5 bits is ongeveer een derde van de totale informatie die nodig is om een internetgebruiker te identificeren." Verder noemen de onderzoekers het verrassend dat platformen zoals Firefox en Ubuntu, die een kleiner marktaandeel hebben, vergelijkbaar en zelfs minder identificerend dan Windows en Internet Explorer zijn, dat een veel grotere groep gebruikers heeft en daardoor meer gebruikers kan verbergen.

Een groot gedeelte van de bezoekers van eff.org gebruikt een alternatief OS en browser, maar het laat ook zien dat IE een grote variatie in het aantal User Agent strings kent. Inmiddels is de burgerrechtenbeweging met een vervolgonderzoek begonnen, waarbij het gebruikers vraagt om panopticlick.eff.org te bezoeken. De website logt de geanonimiseerde versie van het besturingssysteem, browser en plugins en vergelijkt het met een database van vijf miljoen andere configuraties. Vervolgens geeft het een "unieke score", die laat zien hoe identificeerbaar je op het internet bent.

Reacties (14)
29-01-2010, 12:59 door Anoniem
Mijn webbrowser geeft meer informaite prijs, meerdan 17.52+ Dat komt ik veel lettertype, en silverlight, verschillende versie van .NET Framework geinstalleerd, deze informatie kwam mij bekent voor en heb ik al eens eerder gezien www.spyderweb.eu
29-01-2010, 13:07 door Anoniem
Dus als je privacy belangrijk is kun je beter IE gebruiken dan een andere browser.
29-01-2010, 14:52 door Anoniem
Leuke test.


Mijn score = Currently, we estimate that your browser has a fingerprint that conveys 16.55 bits of identifying information.


Echter deze info wat "lekt" klopt lekker niet :-)


Wat heb ik gedaan:


1] Installeer Firefox als browser.

2] Installeer onderstaande 4 Add-ons, en configureer deze


3] Zet Javascript, en JAVA uit.

4] Zet cookies op : Cookies van websites accepten, maar altijd vragen!!

5] Vink cookies van derden accepteren uit.


User Agent Switcher

http://chrispederick.com/work/user-agent-switcher/


TrackMeNot

http://mrl.nyu.edu/%7Edhowe/TrackMeNot/


Ghostery

http://www.ghostery.com/?src=ff


BetterPrivacy

https://addons.mozilla.org/nl/firefox/addon/6623


QuickJava

https://addons.mozilla.org/nl/firefox/search?q=QuickJava


Bezoek nu http://panopticlick.eff.org/ en doe de test.
29-01-2010, 15:13 door Anoniem
@anoniem 14:52
TrackMeNot is alleen handig als je ook google als zoekmachine gebruikt, met Scroogle SSL heb ik 'm lekker niet nodig :)
29-01-2010, 16:23 door Anoniem
sowieso zijn de resultaten twijfelbaar
ik heb met chrome, FF, IE allemaal variabele resultaten, ok tot daar aan toe
Nu doe ik de test via mn virtual machines, verschillende OS's en hebben mn browser GEEN plugins geinstalleerd
en als nog vrijwel identieke resultaten ... hmmmm

Ok ok, kan ... dus over andere boeg want dit willen wij natuurlijk tot de bodem uitzoeken

Zelfde virtual machine Windows Seven Ultimate 32x IE8 en nu helemaal dicht getimmerd via de basic opties standaard in IE8
Same result

Eindresultaat ... screw this nonsense
Of moet ik nu ook al achter mn pc zitten zoals ik bij de pinautomaat sta met mn hand over mn scherm ;)
29-01-2010, 16:36 door quikfit
quote]Door Anoniem: Dus als je privacy belangrijk is kun je beter IE gebruiken dan een andere browser.
[/quote]

Of jij of ik heb niet goed gelezen ;-)
29-01-2010, 16:42 door Anoniem
Door Anoniem: sowieso zijn de resultaten twijfelbaar
ik heb met chrome, FF, IE allemaal variabele resultaten, ok tot daar aan toe
Nu doe ik de test via mn virtual machines, verschillende OS's en hebben mn browser GEEN plugins geinstalleerd
en als nog vrijwel identieke resultaten ... hmmmm

Ok ok, kan ... dus over andere boeg want dit willen wij natuurlijk tot de bodem uitzoeken

Zelfde virtual machine Windows Seven Ultimate 32x IE8 en nu helemaal dicht getimmerd via de basic opties standaard in IE8
Same result

Eindresultaat ... screw this nonsense
Of moet ik nu ook al achter mn pc zitten zoals ik bij de pinautomaat sta met mn hand over mn scherm ;)

De vraag is dan ook: kloppen de resulaten ? Dus klopt je Browserinfo ?
Klopt de browserinfo, dan heb je niets niet goed gedaan.
Staat er andere info, dan ben je geslaagd, want het gaat zich om het voordoen van een andere browser.
Let op dat je de Add-onn "User Agent Switcher" even goed insteld.

Verder gebruik geen IE, of Chrome om te surfen, maar gebruik enkel Firefox, dan zet je de "User Agent Switcher" op bijv,
Ie 8.0. en je zult zien dat je de boel kunt omzeilen.

Vooral Javascript, en java uitzetten :-)
29-01-2010, 19:00 door Anoniem
Ik heb wel eens vaker gedacht aan de mate waarin je een bezoeker aan de hand van de user agent kunt identificeren. Maar ik ging dan altijd uit van alleen die regel die je ook in de access logs ziet (taal, OS en browser), maar ik had niet gedacht aan de resolutie van je scherm tot zelfs de fonts!

Die fonts enzo kunnen alleen worden achterhaald met javascript en dat heb ik met NoScript standaard uitstaan. Vandaar dat ik bij de eerste test daarop geen resultaten kreeg. Maar in hoeverre ben je dan niet juist te identificeren met een plugin als NoScript? Aangezien de meeste mensen standaard gewoon javascript aan hebben staan.

Toch maar eens gaan kijken naar die 'user agent switcher.' Maar is dat voldoende?
29-01-2010, 19:48 door Anoniem
Door Anoniem:
Door Anoniem: sowieso zijn de resultaten twijfelbaar

Verder gebruik geen IE, of Chrome om te surfen, maar gebruik enkel Firefox, dan zet je de "User Agent Switcher" op bijv,
Ie 8.0. en je zult zien dat je de boel kunt omzeilen.

Vooral Javascript, en java uitzetten :-)

Nee, de suggesties die je doet maken je juist eerder uniek. Een fake user agent is met een paar simpele javascript tests gemakkelijk te detecteren. IE zonder de standaard windows fonts is niet waarschijnlijk.

Als je iets wilt doen om dit te omzeilen zul je er voor moeten zorgen dat de informatie niet identificeerbaar is. De opties die je hebt zijn voor de meest voorkomende variant te gaan of ervoor te zorgen dat in elke sessie de informatie voldoende anders is dat het niet meer werkt. Geen van de huidige Firefox addons helpt je daarbij, omdat die niets doen om veel van de gebruikte gegevens te maskeren (geïnstalleerde fonts, plugins, taal, tijdzone, identificerende features / bugs in de browser, etc.)
29-01-2010, 20:08 door Anoniem
Oei, schokkend nieuws...

Na diepgaand onderzoek blijken kortingbonnen voor winkels waarbij je alleen je postcode hoeft in te vullen net zo gevaarlijk.

Op zichzelf is alleen de postcode niet voldoende om een winkelklant te identificeren, maar in combinatie met andere details, zoals straatnaam, achternaam, huisnummer, bankrekeningnummer of bijzondere persoonskernmerken, vormt de postcode een serieus privacyprobleem.
29-01-2010, 20:11 door Anoniem


Verder gebruik geen IE, of Chrome om te surfen, maar gebruik enkel Firefox, dan zet je de "User Agent Switcher" op bijv,
Ie 8.0. en je zult zien dat je de boel kunt omzeilen.

Vooral Javascript, en java uitzetten :-)

Maar dan natuurlijk niet klagen dat de helft van de websites het niet doet of er niet uitziet zoals je verwacht... ;-)
30-01-2010, 11:37 door wizzkizz
Door Anoniem:
De vraag is dan ook: kloppen de resulaten ? Dus klopt je Browserinfo ?
Klopt de browserinfo, dan heb je niets niet goed gedaan.
Staat er andere info, dan ben je geslaagd, want het gaat zich om het voordoen van een andere browser.

Door Anoniem: Leuke test.


Mijn score = Currently, we estimate that your browser has a fingerprint that conveys 16.55 bits of identifying information.


Echter deze info wat "lekt" klopt lekker niet :-)

Lekker boeiend dat deze informatie niet klopt, denk je dat iemand die jou probeert te volgen (lees: advertentiebedrijven) daarin geïnteresseerd zijn? Echt niet :P
Waar zijn ze wel in geïnteresseerd? Waar je vandaan komt, welke sites je bezoekt, wat je voorkeuren zijn, waar je wel en niet op klikt etc.

Met zoveel bits aan identificerende informatie kunnen ze je redelijk volgen als ze dat willen, ik schat dat 1 op de 180.000 internetters dezelfde informatie weggeeft als jij (hele natte vinger werk ahv eigen info op panopticlick). Dat betekent dus dat het advertentiebedrijf een kans van heeft 0,0000055 dat jij het niet bent als ze die informatie aantreffen. Als er zo weinig kans is dat ik de staatsloterij niet zou winnen, zou ik meteen loten kopen ;)

Maar deze browserinfo is natuurlijk maar een deel van het verhaal. Je hebt ook nog LSO/supercookies (cookies in flash-bestanden waarvoor geen toestemming gevraagd wordt, ook niet als je cookies uitschakelt), de kans dat de andere personen die dezelfde browserinfo versturen ook op dezelfde websites komen als jij etc. Want vergis je niet, als er op je startpagina of een webpagina die je vaak bezoekt al een tracking-dinges staat, ben je al fucked (zoals op security.nl).
30-01-2010, 17:13 door Anoniem
Door wizzkizz:
Door Anoniem:
De vraag is dan ook: kloppen de resulaten ? Dus klopt je Browserinfo ?
Klopt de browserinfo, dan heb je niets niet goed gedaan.
Staat er andere info, dan ben je geslaagd, want het gaat zich om het voordoen van een andere browser.

Door Anoniem: Leuke test.


Mijn score = Currently, we estimate that your browser has a fingerprint that conveys 16.55 bits of identifying information.


Echter deze info wat "lekt" klopt lekker niet :-)

Lekker boeiend dat deze informatie niet klopt, denk je dat iemand die jou probeert te volgen (lees: advertentiebedrijven) daarin geïnteresseerd zijn? Echt niet :P
Waar zijn ze wel in geïnteresseerd? Waar je vandaan komt, welke sites je bezoekt, wat je voorkeuren zijn, waar je wel en niet op klikt etc.

Met zoveel bits aan identificerende informatie kunnen ze je redelijk volgen als ze dat willen, ik schat dat 1 op de 180.000 internetters dezelfde informatie weggeeft als jij (hele natte vinger werk ahv eigen info op panopticlick). Dat betekent dus dat het advertentiebedrijf een kans van heeft 0,0000055 dat jij het niet bent als ze die informatie aantreffen. Als er zo weinig kans is dat ik de staatsloterij niet zou winnen, zou ik meteen loten kopen ;)

Maar deze browserinfo is natuurlijk maar een deel van het verhaal. Je hebt ook nog LSO/supercookies (cookies in flash-bestanden waarvoor geen toestemming gevraagd wordt, ook niet als je cookies uitschakelt), de kans dat de andere personen die dezelfde browserinfo versturen ook op dezelfde websites komen als jij etc. Want vergis je niet, als er op je startpagina of een webpagina die je vaak bezoekt al een tracking-dinges staat, ben je al fucked (zoals op security.nl).

De dingen die ik eerder al aangaf zijn er maar een paar om browserinfo lekken te doen omzeilen.
In Firefox: Type about:config in de adresbalk. Klik op doorgaan bij de waarschuwing die dan verschijnt.
Vervolgens referer (niet referrer) in de filterbalk typen. Dan verschijnt dit: network.http.sendRefererHeader.
Erop dubbelklikken en de waarde veranderen naar 0. Dus met deze weet site B dan je niet van site A komt.

Met de Add-on "BetterPrivacy" kun je de andere cookies omzeilen, verder kun je ook nog browser cache uitzoeken
maar dat heeft op browserinfo lekken geen zin.

Je schreef verder dat advertentiebedrijven in mij c.q. anderen zijn geinterreseerd, maar dat valt best wel mee, want ik krijg nooit
pop-up's, reclame in mijn mailbox, rare telefoontjes, of anders. Zelf niet een met een andere -niet geconfigureerde browser-

Het zelfde verhaal gaat over Google dat deze mijn gegevens doorverkoopt, maar niemand heeft ooit zover ik heb
begrepen op de een of andere manier daar last van gehad. Wat de toekomst gaat brengen kan niemand verspellen,
maar sinds de OPTA nieuwe wetten heeft, en Neelie Smit Kroes ook het een ander gaat aanpakken valt het allemaal
wel mee, en dan vooral met die van jouw zogenaamde advertentiebedrijven.

Dus naar mijn idee valt er best een hoop te "omzeilen" kwa browserinfo.

Maar goed, in welke vorm heb jij dan last van die zogenaamde advertentiebedrijven?
Wat doet Google met mijn zogenaamde profiel, of surfgegevens, en in welke vorm heb je daar last van?

En nu geen Matrix, of NSA c.q. FBI, CIA, MIVD, BVD verhaaltje, maar gewone nuchter conclusies waarop advertentie
bedrijven ons ...........................................................?
31-01-2010, 09:14 door Anoniem
Door wizzkizz:
Door Anoniem:
De vraag is dan ook: kloppen de resulaten ? Dus klopt je Browserinfo ?
Klopt de browserinfo, dan heb je niets niet goed gedaan.
Staat er andere info, dan ben je geslaagd, want het gaat zich om het voordoen van een andere browser.

Door Anoniem: Leuke test.


Mijn score = Currently, we estimate that your browser has a fingerprint that conveys 16.55 bits of identifying information.


Echter deze info wat "lekt" klopt lekker niet :-)

Lekker boeiend dat deze informatie niet klopt, denk je dat iemand die jou probeert te volgen (lees: advertentiebedrijven) daarin geïnteresseerd zijn? Echt niet :P
Waar zijn ze wel in geïnteresseerd? Waar je vandaan komt, welke sites je bezoekt, wat je voorkeuren zijn, waar je wel en niet op klikt etc.

Met zoveel bits aan identificerende informatie kunnen ze je redelijk volgen als ze dat willen, ik schat dat 1 op de 180.000 internetters dezelfde informatie weggeeft als jij (hele natte vinger werk ahv eigen info op panopticlick). Dat betekent dus dat het advertentiebedrijf een kans van heeft 0,0000055 dat jij het niet bent als ze die informatie aantreffen. Als er zo weinig kans is dat ik de staatsloterij niet zou winnen, zou ik meteen loten kopen ;)

Maar deze browserinfo is natuurlijk maar een deel van het verhaal. Je hebt ook nog LSO/supercookies (cookies in flash-bestanden waarvoor geen toestemming gevraagd wordt, ook niet als je cookies uitschakelt), de kans dat de andere personen die dezelfde browserinfo versturen ook op dezelfde websites komen als jij etc. Want vergis je niet, als er op je startpagina of een webpagina die je vaak bezoekt al een tracking-dinges staat, ben je al fucked (zoals op security.nl).
En WIE zijn daar dan in geïnteresseerd? Ik heb een piepklein vermoeden dat dat Google is. Dus schop Google van je systeem. En kijk niet raar op als je die eikels op allerlei plaatsen op je computer tegenkomt. Daarom heb ik Google nou helemaal geband. Probleem opgelost.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.