Browser lekt 10,5 bits aan identificeerbare informatie
Bij het bezoeken van een website lekken internetgebruikers via hun browser gemiddeld 10,5 bits aan identificeerbare informatie. Dat betekent dat 1 op de 1500 mensen dezelfde "User Agent" heeft. De User Agent bevat informatie over het gebruikte besturingssysteem en browser en verschilt per internetgebruiker. Burgerrechtenbeweging Electronic Frontier Foundation (EFF) deed onderzoek of deze informatie te gebruiken is om mensen te identificeren, als ze bijvoorbeeld hun cookies verwijderen. Op zichzelf is alleen de User Agent niet voldoende om een internetgebruiker te identificeren, maar in combinatie met andere details, zoals geolocatie, postcode of een bijzondere browser plugin, vormt de User Agent string een serieus privacyprobleem, aldus de EFF.
Als het gaat om de privacy van internetgebruikers kijkt men meestal naar user accounts, cookies en IP-adressen, omdat dit de standaard manier is om een gebruiker, computer of lokaal netwerk te identificeren. Standaard krijgen gebruikers dan ook het advies om cookies te blokkeren of te verwijderen en proxy servers te gebruiken. Volgens de EFF is het niet duidelijk dat de User Agent eigenlijk net zo gevaarlijk als een unieke tracking cookie is. "Cookies werden ontworpen om websites individuele browsers te laten herkennen, wat niet geldt voor User Agents." De User Agent bevat naast browser en besturingssysteem ook de ingestelde taal. Aan de hand van alle variaties in de User Agent, is het mogelijk om er mensen mee te monitoren.
Internet Explorer
De onderzoekers van het EFF verzamelden de geanonimiseerde User Agents van bezoekers van eff.org en dat leidde tot een interessante ontdekking. "Het is verbazingwekkend hoe identificeerbaar User Agent strings zijn. 10,5 bits is ongeveer een derde van de totale informatie die nodig is om een internetgebruiker te identificeren." Verder noemen de onderzoekers het verrassend dat platformen zoals Firefox en Ubuntu, die een kleiner marktaandeel hebben, vergelijkbaar en zelfs minder identificerend dan Windows en Internet Explorer zijn, dat een veel grotere groep gebruikers heeft en daardoor meer gebruikers kan verbergen.
Een groot gedeelte van de bezoekers van eff.org gebruikt een alternatief OS en browser, maar het laat ook zien dat IE een grote variatie in het aantal User Agent strings kent. Inmiddels is de burgerrechtenbeweging met een vervolgonderzoek begonnen, waarbij het gebruikers vraagt om panopticlick.eff.org te bezoeken. De website logt de geanonimiseerde versie van het besturingssysteem, browser en plugins en vergelijkt het met een database van vijf miljoen andere configuraties. Vervolgens geeft het een "unieke score", die laat zien hoe identificeerbaar je op het internet bent.
Mijn score = Currently, we estimate that your browser has a fingerprint that conveys 16.55 bits of identifying information.
Echter deze info wat "lekt" klopt lekker niet :-)
Wat heb ik gedaan:
1] Installeer Firefox als browser.
2] Installeer onderstaande 4 Add-ons, en configureer deze
3] Zet Javascript, en JAVA uit.
4] Zet cookies op : Cookies van websites accepten, maar altijd vragen!!
5] Vink cookies van derden accepteren uit.
User Agent Switcher
http://chrispederick.com/work/user-agent-switcher/
TrackMeNot
http://mrl.nyu.edu/%7Edhowe/TrackMeNot/
Ghostery
http://www.ghostery.com/?src=ff
BetterPrivacy
https://addons.mozilla.org/nl/firefox/addon/6623
QuickJava
https://addons.mozilla.org/nl/firefox/search?q=QuickJava
Bezoek nu http://panopticlick.eff.org/ en doe de test.
TrackMeNot is alleen handig als je ook google als zoekmachine gebruikt, met Scroogle SSL heb ik 'm lekker niet nodig :)
ik heb met chrome, FF, IE allemaal variabele resultaten, ok tot daar aan toe
Nu doe ik de test via mn virtual machines, verschillende OS's en hebben mn browser GEEN plugins geinstalleerd
en als nog vrijwel identieke resultaten ... hmmmm
Ok ok, kan ... dus over andere boeg want dit willen wij natuurlijk tot de bodem uitzoeken
Zelfde virtual machine Windows Seven Ultimate 32x IE8 en nu helemaal dicht getimmerd via de basic opties standaard in IE8
Same result
Eindresultaat ... screw this nonsense
Of moet ik nu ook al achter mn pc zitten zoals ik bij de pinautomaat sta met mn hand over mn scherm ;)
[/quote]
Of jij of ik heb niet goed gelezen ;-)
ik heb met chrome, FF, IE allemaal variabele resultaten, ok tot daar aan toe
Nu doe ik de test via mn virtual machines, verschillende OS's en hebben mn browser GEEN plugins geinstalleerd
en als nog vrijwel identieke resultaten ... hmmmm
Ok ok, kan ... dus over andere boeg want dit willen wij natuurlijk tot de bodem uitzoeken
Zelfde virtual machine Windows Seven Ultimate 32x IE8 en nu helemaal dicht getimmerd via de basic opties standaard in IE8
Same result
Eindresultaat ... screw this nonsense
Of moet ik nu ook al achter mn pc zitten zoals ik bij de pinautomaat sta met mn hand over mn scherm ;)
De vraag is dan ook: kloppen de resulaten ? Dus klopt je Browserinfo ?
Klopt de browserinfo, dan heb je niets niet goed gedaan.
Staat er andere info, dan ben je geslaagd, want het gaat zich om het voordoen van een andere browser.
Let op dat je de Add-onn "User Agent Switcher" even goed insteld.
Verder gebruik geen IE, of Chrome om te surfen, maar gebruik enkel Firefox, dan zet je de "User Agent Switcher" op bijv,
Ie 8.0. en je zult zien dat je de boel kunt omzeilen.
Vooral Javascript, en java uitzetten :-)
Die fonts enzo kunnen alleen worden achterhaald met javascript en dat heb ik met NoScript standaard uitstaan. Vandaar dat ik bij de eerste test daarop geen resultaten kreeg. Maar in hoeverre ben je dan niet juist te identificeren met een plugin als NoScript? Aangezien de meeste mensen standaard gewoon javascript aan hebben staan.
Toch maar eens gaan kijken naar die 'user agent switcher.' Maar is dat voldoende?
Verder gebruik geen IE, of Chrome om te surfen, maar gebruik enkel Firefox, dan zet je de "User Agent Switcher" op bijv,
Ie 8.0. en je zult zien dat je de boel kunt omzeilen.
Vooral Javascript, en java uitzetten :-)
Nee, de suggesties die je doet maken je juist eerder uniek. Een fake user agent is met een paar simpele javascript tests gemakkelijk te detecteren. IE zonder de standaard windows fonts is niet waarschijnlijk.
Als je iets wilt doen om dit te omzeilen zul je er voor moeten zorgen dat de informatie niet identificeerbaar is. De opties die je hebt zijn voor de meest voorkomende variant te gaan of ervoor te zorgen dat in elke sessie de informatie voldoende anders is dat het niet meer werkt. Geen van de huidige Firefox addons helpt je daarbij, omdat die niets doen om veel van de gebruikte gegevens te maskeren (geïnstalleerde fonts, plugins, taal, tijdzone, identificerende features / bugs in de browser, etc.)
Na diepgaand onderzoek blijken kortingbonnen voor winkels waarbij je alleen je postcode hoeft in te vullen net zo gevaarlijk.
Op zichzelf is alleen de postcode niet voldoende om een winkelklant te identificeren, maar in combinatie met andere details, zoals straatnaam, achternaam, huisnummer, bankrekeningnummer of bijzondere persoonskernmerken, vormt de postcode een serieus privacyprobleem.
Verder gebruik geen IE, of Chrome om te surfen, maar gebruik enkel Firefox, dan zet je de "User Agent Switcher" op bijv,
Ie 8.0. en je zult zien dat je de boel kunt omzeilen.
Vooral Javascript, en java uitzetten :-)
Maar dan natuurlijk niet klagen dat de helft van de websites het niet doet of er niet uitziet zoals je verwacht... ;-)
De vraag is dan ook: kloppen de resulaten ? Dus klopt je Browserinfo ?
Klopt de browserinfo, dan heb je niets niet goed gedaan.
Staat er andere info, dan ben je geslaagd, want het gaat zich om het voordoen van een andere browser.
Mijn score = Currently, we estimate that your browser has a fingerprint that conveys 16.55 bits of identifying information.
Echter deze info wat "lekt" klopt lekker niet :-)
Lekker boeiend dat deze informatie niet klopt, denk je dat iemand die jou probeert te volgen (lees: advertentiebedrijven) daarin geïnteresseerd zijn? Echt niet :P
Waar zijn ze wel in geïnteresseerd? Waar je vandaan komt, welke sites je bezoekt, wat je voorkeuren zijn, waar je wel en niet op klikt etc.
Met zoveel bits aan identificerende informatie kunnen ze je redelijk volgen als ze dat willen, ik schat dat 1 op de 180.000 internetters dezelfde informatie weggeeft als jij (hele natte vinger werk ahv eigen info op panopticlick). Dat betekent dus dat het advertentiebedrijf een kans van heeft 0,0000055 dat jij het niet bent als ze die informatie aantreffen. Als er zo weinig kans is dat ik de staatsloterij niet zou winnen, zou ik meteen loten kopen ;)
Maar deze browserinfo is natuurlijk maar een deel van het verhaal. Je hebt ook nog LSO/supercookies (cookies in flash-bestanden waarvoor geen toestemming gevraagd wordt, ook niet als je cookies uitschakelt), de kans dat de andere personen die dezelfde browserinfo versturen ook op dezelfde websites komen als jij etc. Want vergis je niet, als er op je startpagina of een webpagina die je vaak bezoekt al een tracking-dinges staat, ben je al fucked (zoals op security.nl).
De vraag is dan ook: kloppen de resulaten ? Dus klopt je Browserinfo ?
Klopt de browserinfo, dan heb je niets niet goed gedaan.
Staat er andere info, dan ben je geslaagd, want het gaat zich om het voordoen van een andere browser.
Mijn score = Currently, we estimate that your browser has a fingerprint that conveys 16.55 bits of identifying information.
Echter deze info wat "lekt" klopt lekker niet :-)
Lekker boeiend dat deze informatie niet klopt, denk je dat iemand die jou probeert te volgen (lees: advertentiebedrijven) daarin geïnteresseerd zijn? Echt niet :P
Waar zijn ze wel in geïnteresseerd? Waar je vandaan komt, welke sites je bezoekt, wat je voorkeuren zijn, waar je wel en niet op klikt etc.
Met zoveel bits aan identificerende informatie kunnen ze je redelijk volgen als ze dat willen, ik schat dat 1 op de 180.000 internetters dezelfde informatie weggeeft als jij (hele natte vinger werk ahv eigen info op panopticlick). Dat betekent dus dat het advertentiebedrijf een kans van heeft 0,0000055 dat jij het niet bent als ze die informatie aantreffen. Als er zo weinig kans is dat ik de staatsloterij niet zou winnen, zou ik meteen loten kopen ;)
Maar deze browserinfo is natuurlijk maar een deel van het verhaal. Je hebt ook nog LSO/supercookies (cookies in flash-bestanden waarvoor geen toestemming gevraagd wordt, ook niet als je cookies uitschakelt), de kans dat de andere personen die dezelfde browserinfo versturen ook op dezelfde websites komen als jij etc. Want vergis je niet, als er op je startpagina of een webpagina die je vaak bezoekt al een tracking-dinges staat, ben je al fucked (zoals op security.nl).
De dingen die ik eerder al aangaf zijn er maar een paar om browserinfo lekken te doen omzeilen.
In Firefox: Type about:config in de adresbalk. Klik op doorgaan bij de waarschuwing die dan verschijnt.
Vervolgens referer (niet referrer) in de filterbalk typen. Dan verschijnt dit: network.http.sendRefererHeader.
Erop dubbelklikken en de waarde veranderen naar 0. Dus met deze weet site B dan je niet van site A komt.
Met de Add-on "BetterPrivacy" kun je de andere cookies omzeilen, verder kun je ook nog browser cache uitzoeken
maar dat heeft op browserinfo lekken geen zin.
Je schreef verder dat advertentiebedrijven in mij c.q. anderen zijn geinterreseerd, maar dat valt best wel mee, want ik krijg nooit
pop-up's, reclame in mijn mailbox, rare telefoontjes, of anders. Zelf niet een met een andere -niet geconfigureerde browser-
Het zelfde verhaal gaat over Google dat deze mijn gegevens doorverkoopt, maar niemand heeft ooit zover ik heb
begrepen op de een of andere manier daar last van gehad. Wat de toekomst gaat brengen kan niemand verspellen,
maar sinds de OPTA nieuwe wetten heeft, en Neelie Smit Kroes ook het een ander gaat aanpakken valt het allemaal
wel mee, en dan vooral met die van jouw zogenaamde advertentiebedrijven.
Dus naar mijn idee valt er best een hoop te "omzeilen" kwa browserinfo.
Maar goed, in welke vorm heb jij dan last van die zogenaamde advertentiebedrijven?
Wat doet Google met mijn zogenaamde profiel, of surfgegevens, en in welke vorm heb je daar last van?
En nu geen Matrix, of NSA c.q. FBI, CIA, MIVD, BVD verhaaltje, maar gewone nuchter conclusies waarop advertentie
bedrijven ons ...........................................................?
De vraag is dan ook: kloppen de resulaten ? Dus klopt je Browserinfo ?
Klopt de browserinfo, dan heb je niets niet goed gedaan.
Staat er andere info, dan ben je geslaagd, want het gaat zich om het voordoen van een andere browser.
Mijn score = Currently, we estimate that your browser has a fingerprint that conveys 16.55 bits of identifying information.
Echter deze info wat "lekt" klopt lekker niet :-)
Lekker boeiend dat deze informatie niet klopt, denk je dat iemand die jou probeert te volgen (lees: advertentiebedrijven) daarin geïnteresseerd zijn? Echt niet :P
Waar zijn ze wel in geïnteresseerd? Waar je vandaan komt, welke sites je bezoekt, wat je voorkeuren zijn, waar je wel en niet op klikt etc.
Met zoveel bits aan identificerende informatie kunnen ze je redelijk volgen als ze dat willen, ik schat dat 1 op de 180.000 internetters dezelfde informatie weggeeft als jij (hele natte vinger werk ahv eigen info op panopticlick). Dat betekent dus dat het advertentiebedrijf een kans van heeft 0,0000055 dat jij het niet bent als ze die informatie aantreffen. Als er zo weinig kans is dat ik de staatsloterij niet zou winnen, zou ik meteen loten kopen ;)
Maar deze browserinfo is natuurlijk maar een deel van het verhaal. Je hebt ook nog LSO/supercookies (cookies in flash-bestanden waarvoor geen toestemming gevraagd wordt, ook niet als je cookies uitschakelt), de kans dat de andere personen die dezelfde browserinfo versturen ook op dezelfde websites komen als jij etc. Want vergis je niet, als er op je startpagina of een webpagina die je vaak bezoekt al een tracking-dinges staat, ben je al fucked (zoals op security.nl).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
