Privacy - Wat niemand over je mag weten

Fingerprint

23-12-2014, 16:04 door Anoniem, 9 reacties
https://panopticlick.eff.org

Hi sommige mensen gaan aan de haal in Firefox om hun browser
zoveel mogelijk te tweaken om een nog uniekere fingerprint te
krijgen. Dit kan door onder about:config verschillende waardes
aan te passen, en door nog wat meer privacy Add-ons te installeren.
Je krijgt inderdaad een uniekere browser fingerprint.
Hoe meer je aanpast hoe unieker je gaat worden op het web.

Op het digtale forensies gebied in geval van een opsporingsdienst
lijkt me het eigenlijk wel niet heel slim, want hoe unieker je bent
hoe beter het spoor en in een eventuele rechtzaak je voor de bijl
gaat toch? In het geval iemand iets doms doet, te denken aan bedreiging
enz.

Steel 1000 mensen hebben dezelfde (normalere) browerfingerprint, en jij
zou een totaal unieke fingerprint kunnen crieren, dan val je dus veel meer
op, en bent ook makkelijker van de rest te onderscheiden.

Naar mijn idee kun je veel beter juist geen unieker profiel hebben en firefox
niet te veel aanpassen, maar enkel de Add-ons installeren zoals de meeste mensen
dit doen.

Je kunt dus veel beter schuil gaan tussen die 1000 of 100.000 anderen.

Laten we even uitgaan dat je je IP prima kan afschermen, en JavaScript
uit hebt staan.

Of zie ik iets over het hoofd?
Reacties (9)
23-12-2014, 17:05 door Anoniem
Door Anoniem: https://panopticlick.eff.org

Hi sommige mensen gaan aan de haal in Firefox om hun browser
zoveel mogelijk te tweaken om een nog uniekere fingerprint te
krijgen. Dit kan door onder about:config verschillende waardes
aan te passen, en door nog wat meer privacy Add-ons te installeren.
Je krijgt inderdaad een uniekere browser fingerprint.
Hoe meer je aanpast hoe unieker je gaat worden op het web.
Welke mensen? Of ga je hier van uit omdat de tool bestaat?

Door Anoniem:
Op het digtale forensies gebied in geval van een opsporingsdienst
lijkt me het eigenlijk wel niet heel slim, want hoe unieker je bent
hoe beter het spoor en in een eventuele rechtzaak je voor de bijl
gaat toch? In het geval iemand iets doms doet, te denken aan bedreiging
enz.

Steel 1000 mensen hebben dezelfde (normalere) browerfingerprint, en jij
zou een totaal unieke fingerprint kunnen crieren, dan val je dus veel meer
op, en bent ook makkelijker van de rest te onderscheiden.

Naar mijn idee kun je veel beter juist geen unieker profiel hebben en firefox
niet te veel aanpassen, maar enkel de Add-ons installeren zoals de meeste mensen
dit doen.

Je kunt dus veel beter schuil gaan tussen die 1000 of 100.000 anderen.

Laten we even uitgaan dat je je IP prima kan afschermen, en JavaScript
uit hebt staan.

Of zie ik iets over het hoofd?
Wat je denk ik over het hoofd ziet is dat de bedoeling van deze tool juist is om je browser fingerprint algemener te maken (nou ja, om te testen of je je browser fingerprint algemener gemaakt hebt)

Je roept "Maar een unieke fingerprint is helemaal niet zo goed!" terwijl niemand dat suggereert, er wordt nergens een kwalitatief oordeel uitgesproken over het hebben van een unieke browser fingerprint.
24-12-2014, 02:23 door Anoniem
Of ga je hier van uit omdat de tool bestaat?
Lijkt mij allerminst bizar om dat te doen dus.

Je roept "Maar een unieke fingerprint is helemaal niet zo goed!" terwijl niemand dat suggereert, er wordt nergens een kwalitatief oordeel uitgesproken over het hebben van een unieke browser fingerprint.
Roepen is stemverheffing; doorgaans een teken van onmacht.
Ik zeg hetzelfde als de OP, het hebben van een unieke fingerprint is Kwalitatief Uitermate Terleurstellend. Erger dan cookies voor de buhne.
24-12-2014, 09:39 door Anoniem
Door Anoniem:
Lijkt mij allerminst bizar om dat te doen dus.
Lijkt mij wel, aangezien het idee achter de tool is mensen op de hoogte te stellen dát de fingerprint uniek is, niet als hulpmiddel om hem unieker te maken. De website spreekt hier geen kwalitatief oordeel over uit, maar dat is m.i. zo omdat de doelgroep zich al beseft wat een unieke fingerprint betekent en dat ze hier beter wat aan kunnen doen.

Door Anoniem:
Roepen is stemverheffing; doorgaans een teken van onmacht.
Ik zeg hetzelfde als de OP, het hebben van een unieke fingerprint is Kwalitatief Uitermate Terleurstellend. Erger dan cookies voor de buhne.
Ben ik het ook mee eens, volgens mij beseft iedereen die zich enigzins bezighoud met tracking/privacy/security dit. Alleen vraag ik me af waar het idee/de aanname dat mensen bezig zijn deze fingerprint uniek te maken vandaan komt.
24-12-2014, 15:37 door Anoniem
Het werkelijke dilemma


(ahum mag ik even,.. )

Het dilemma is het volgende :

Hoe meer maatregelen je in je browser neemt om je privacy te beschermen met addons en aanpassingen in de browservoorkeuren als onder de about config, hoe groter de kans dat dat een meer unieke browserfingerprint oplevert waardoor je browserprofiel feitelijk de plaats van het unieke cookie kan innemen.

Cookies kan je wissen.
Je browserprofiel verander je niet zo vaak, zeg maar niet of nauwelijks.
Een heel interessante optie dus om daar op te tracken.


• EFF Fingerprint
Je fingerprint is over het algemeen niet direct uniek maar het kan wel als je binnen de waarden die EFF test een uitzondering bent.

Welke mogelijke combinaties van about:config waarden en addons dat kunnen zijn ga ik hier niet vertellen, dat mag je zelf in alle stilte testen.
Heb je die ontdekt, probeer dat wat dingen te veranderen zodat de uniciteit weer wat minder wordt.

Als gezegd, EFF test maar op een aantal waarden.
Er zijn heel veel meer waarden waarop je kan testen en waarvoor je dus een script kan schrijven en op een site kan embedden.


Diverse sites om te testen als daar zijn :


• Browserleaks
Om een wat inzichtelijker idee daarvan te krijgen kan je de site https://www.browserleaks.com/ bezoeken en kijken welke informatie jouw browser aan die website geeft.

Bijvoorbeeld : IP Address, JavaScript, Flash Player, Silverlight, Java Applet, WebGL, WebRTC, System Fonts, Content Filters, Geolocation API, Do Not Track, Canvas Fingerprint, Modernizr Helper

Met name de lijst aan html5 en css3 waarden onder de tab Modernizr Helper geeft aan hoe uitgebreid er ge-detect kan worden.


• Browserspy
Dat is nog niet alles, hebben we nog de al wat langer bestaande site http://browserspy.dk/ die ook een hele uitgebreide lijst aan informatie geeft die je browser standaard weggeeft.

Zoals : Accepted Filetypes, ActiveX, Adobe Reader, Ajax Support, Bandwidth, Browser, Capabilities, Colors, Components, Connections, Cookies, CPU, CSS, CSS Exploit, Cursors, Date and Time, DirectX, Document, Do No Track, .NET Framework, Email Verification, Flash, Fonts via Flash, Fonts via Java, Gears, Gecko, Geolocation, Google Chrome, Google Apps, GZip Support, HTTP Headers, HTTP, Images, IP Address, Java, JavaScript, Languages, Mathematical, MathML Support, MIME Types, Mobile, Network, Objects, Object Browser, Online / Offline, OpenDNS, OpenOffice.org, Opera Browser, Operating System, Google PageRank, Ping, Plugins, Plugs, Prefetch, Proxy, Personal Security Manager, QuickTime Player, RealPlayer, Resolution, Screen, Security, Shockwave, Silverlight, Sound Card, SVG, Text Formatting, File Upload, UserAgent, VBScript, WAP Device, WebKit, Web Server, Window, Windows Media Player


• Jondonym
Jondonym heeft ook nog een interessante test om te doen, te vinden onder http://ip-check.info/?lang=en START TEST!
Please click here to start the full anonymity test and see all results.


Onder andere : Your IP, Your location, Your net provider, Reverse DNS, Cookies, , Authentication, HTTP session, Referer, Signature, User-Agent, SSL_session_id, Language, Content types, Encoding, Do-Not-Track, JavaScript, Browser window, Fonts

Deze test is eveneens erg hulpvol om te zien na allerlei aanpassingen onder je about:Webkitconfig wat je misschien nog aan privacy maatregelen vergeten was.


Wat is wijsheid?

Tja, daar ga ik niet over, kan hooguit een aanbeveling doen

Werk eerst aan je privacy maatregelen door een browser te kiezen die je ligt.
Dan maatregelen te nemen die de browser standaard voor handen heeft, de voorkeurinstellingen.
Vervolgens te kijken naar gangbare veelgebruikte extensies om die privacy of veiligheid nog wat te verbeteren.
En daarnaast, daarvoor of tegelijkertijd te kijken wat er onder de motorkap van je browser nog valt bij te stellen.

Firefox biedt daarvoor op een eenvoudiger en ruimere wijze toegang toe dan Webkit browsers bijvoorbeeld.

Als je daar mee klaar bent kan het grote test circus beginnen, bij bovengenoemde site en bij EFF's Panopticlick https://panopticlick.eff.org om te zien welke maatregelen welke effecten hebben op je uniciteit.

Let op, slechts één enkele addon, of nog sterker, één veranderde about:config waarde kan je browser uniek maken bij panoptic.
Heb je die ontdekt, mag je desgewenst weer teleurgesteld afstand daarvan doen of naar een andere privacy security combinatie zoeken.


• Dol Doller Dolst

Nog leuker om te doen, browser profielen lenen en of combineren. 1, 2 of zelfs 3 browserprofielen...
Zet je ze goed gesorteerd naast/onder elkaar in een spreadsheet en ga je waarde voor waarde bekijken, vergelijken, bepalen en afstrepen of overnemen.

Easy way is een heel profiel overnemen maar dan zou je misschien wat kunnen missen.

Aaargh,..?!
Best kans dat dat schitterende doe-het-zelf-profiel buitengewoon uniek is. Geruststellende gedachte is weer dat het niet hoeft te betekenen dat sites ook precies op die veranderde waarden scannen.
Let er dus op dat de waarden waarop de EFF site scant onveranderd blijven, dan ben je volgens die test niet uniek.
Of dat zin heeft is wat anders, het is namelijk maar een indicatie en geen garantie dat anderen op dezelfde waarden testen.

Wat dan? Misschien niet al te druk maken over dat profiel alleen, want...


• Hot!

HTML5 Canvas tracking.
Dat is erg in en wordt steeds meer op allerlei sites toegepast!
De focus op profielprint tracking ligt dus meer en meer op andere waarden binnen je browserprofiel.

Maatregelen nemen naast de resultaten die Panoptic geeft is misschien wel veel belangrijker omdat het gebruik van die techniek in volle gang is.

- Verbied webGL !
- Neem NoScript of iets wat erop lijkt
- Neem Adblock Plus / Adblock Edge met het juiste abbo
- Neem Ghostery of iets wat erop lijkt

Een about config setting die me nu zo te binnen schiet daarbij is om het nieuw geïntroduceerde WebRTC ook uit te schakelen
media.peerconnection.enabled;false

Je audio hardware van je computer kan hiermee worden vastgesteld, een behoorlijk vaste waarde zullen we maar zeggen.


• Bedenk als geruststelling dat tussen zwart en wit een hele brede laag grijs zit.
Grijs, het moet je liggen, in dit geval geen gek idee.

!! Zolang je javascripts niet toestaat werken verre weg de meeste detectiescripts helemaal niet! Javascripts zoveel als mogelijk niet toestaan tijdens het browsen.
Werkt niet bij hele commerciële sites vol trackers toeters en bellen, misschien had je daar als privacy liefhebber eigenlijk beter toch al niets te zoeken?


Tot zover 'even',
Succes met het vinden van de security, privacy uniciteitsbalans

;)
25-12-2014, 22:38 door Anoniem
Gebruik gewoon de Tor browser (zonder ietst aan te passen).

Hierdoor hebben alle Tor gebruikers dezelfde fingerprint.

Hoe meer mensen de Tor browser gebruiken, hoe lastiger het is om mensen op te sporen.

Supersimpel wat wil je nog meer? Over dit alles is alang nagedacht door de mensen achter Tor :-)

Leuk om eens zelf te testen, maar niet echt meer nodig.

Het is veel leuker om andere mensen ook te attenderen op de Tor browser.

Waarom zou je nog iedere keer Firefox updaten of installeren als je ook Tor kunt updaten of installeren?
Ik gebruik Tor al een jaartje, en dat gaat me prima af.

Zo heel af en toe gebruik ik nog Firefox voor te bankieren of iets anders, maar daar blijft het dan ook bij.

Veel mensen vinden die 3 of 5 seconden die Tor gebruik om te verbinden weer net te langzaam alsof ze met
de trein meemoeten. Wat een onzin, denk eens beter na over de voordelen van Tor zou ik dan zeggen,

Weg met de afluisterstaat, en gebruik dat Tor dan ook eens.

Mijn privacy is me iets meer waard dan snelheid, echter dat kwartje is bij veel mensen nog steeds niet gevallen.

Jammer dat ze hun breinmassa niet iets meer gebruiken.

Maar domme schaapjes schijnen er steeds meer te zijn.
26-12-2014, 00:03 door regenpijp
Ter aanvulling: misschien dat iemand hier ooit van EverCookie gehoord heeft.
Dit project wordt omschreven als: "evercookie is a javascript API available that produces extremely persistent cookies in a browser. Its goal is to identify a client even after they've removed standard cookies, Flash cookies (Local Shared Objects or LSOs), and others."

Is misschien weleens de moeite waard om naar te kijken: http://samy.pl/evercookie/
26-12-2014, 01:29 door Anoniem
Door regenpijp: Ter aanvulling: misschien dat iemand hier ooit van EverCookie gehoord heeft.

Ter aanvulling ...?
Zeg 'schoenmaker'..., jij bent toch van deze machines ? http://www.collectorsweekly.com/office/typewriters
( Ben je zelf al voorzien inmiddels en spreek je uit ervaring? Zat jouw merk-model ook tussen dit fraaie collectors aanbod?)

Wat betreft LSO / Flashcookies, probeer deze setting in Ghostery (op de computer) eens, helpt 'w.s. al een stuk' :

[x] Delete Flash and Silverlight cookies on exit

;-
26-12-2014, 17:55 door Anoniem
Wat betreft LSO / Flashcookies, probeer deze setting in Ghostery (op de computer) eens, helpt 'w.s. al een stuk' :

[x] Delete Flash and Silverlight cookies on exit
------------------------------------------------------------------------------------------------------------------------------------------------------------------

Cookies deleten helpt helmaal geen moet!
Het beschermd je enkel tegen iemand die jouw cookies van jouw machine kan stelen, en dan misbruikt van jouw kan maken.

Stel jij logt bij Gmail of andere dienst in, dan weet die dienst precies op welke datum, en tijdstip jij hebt aangelogd, deze gegevens slaan ze zelfs op. (Je kunt dit ook zelf bij Gmail controleren waarneer je voor het laatst hebt ingelogd)
Dan delete je al je cookies, en vervolgens log je weer in. Nu krijg je weer een nieuw cookies, maar Gmail slaat ook weer al
je gegevens op, los van de cookies die je steeds wist.

Dus cookies deleten heeft helemaal geen zin.

Misschien voor je vriendin of andere famllieleden, of als je je gegevens niet steeds opnieuw wilt invoeren.
Cookies maken je het dus een stuk makkelijker, terwijl sommige mensen denken zo onder de radar uit te komen wat dus niet zo is.

Voor Flash en Silverlight geld hetzelfde, zijn kijken gewoon naar jouw IP, en wanneer je voor het laatst naar iets hebt gekeken met Flash of Silverlight.

Bij alle diensten op het Net waar je echt staat geregisteerd met naam, adres, woonplaats, IP-adres zal cookies verwijderen
dan ook helmaal niks uithalen.

Bij een VPN of Tor ligt het anders (zolang je nergens met een account aanlogt dan te verstaan)
26-12-2014, 22:59 door Anoniem
Door 17:55 Anoniem:
..
[streep] 'Cookies deleten helpt helmaal geen moet!' [/streep]
<knipknip, knipperdeknip>

[streep]Dus cookies deleten heeft helemaal geen zin.[/streep]
<knipknip, knipperdeknip>

Bij alle diensten op het Net waar je echt staat geregisteerd met naam, adres, woonplaats, IP-adres zal cookies verwijderen
dan ook helmaal niks uithalen.

?!?

Gegeven voorbeeld is in dit geval een overbodige uitzondering
Niemand die het tegengestelde hier heeft beweerd en je (vermoedelijk) op dat punt ongelijk geeft.
Je haalt daarmee een volstrekt overbodig gelijk.
Het leidt bovendien nogal af van de inhoud en kern(en) van de privacy-fingerprint discussie hier.

Daarnaast haal je diverse tracking methoden door elkaar, dat maakt het onnodig onhelder.
Ip gegevens tellen wat betreft tracking niet op deze wijze voor mobiele apparaten als laptops, tablets en smartphones. Onder andere cookies zijn dan juist van belang.


Tracking aan de hand van jouw voorbeeld verder uitgelegd

Het hele punt van Tracking is juist dat buiten directe koppeling aan N.a.w. gegevens jij toch bent te volgen of er indirect toch weer een koppeling van jouw pseudo anonieme gegevens kan plaatsvinden die je uiteindelijk weer minder tot niet anoniem maakt.
Cookies zijn daarbij een simpele (ouderwetse) mogelijkheid die nog steeds veel gebruikt worden (cookie vervaldata tot 2022 tot 2042 komen regelmatig voor en dat is niet voor niets).

Voorbeeld
Je bent bijvoorbeeld een keer ingelogd geweest bij je gmail-account op naam, tijdens die sessie zijn er cookies geplaatst door Google.
Nu ga je een week later weer naar die Gmail pagina maar je logt nog niet in.
Dan heb je je naam nog niet ingevoerd en toch weet Google al dat jij jij bent?
Rara hoe kan dat?
.. .. ..
Op basis van de cookies van de vorige inlog-sessie op je Gmail met naam en toenaam, cookies van een sessie die jij niet gewist had.
Voor deze pagina geeft dat (misschien voor dat moment) 'niks', je was waarschijnlijk toch al van plan om te gaan inloggen met je account 'naam'.

Echter & interessanter; het zou kunnen dat,..
Nu is het zo dat Google niet alleen Gmail bezit maar veel meer diensten met verschillende webpagina's en het zou dus kunnen zijn dat Google die niet gewiste Gmail cookies ook kan uitlezen op de YouTube pagina.
Dan weet Google dus dat ondanks dat jij helemaal niet bent ingelogd met je Google account, Google op dat moment toch precies jouw identiteit weet terwijl je allerlei filmpjes op Youtube kijkt.

Dat is ook wat, je kijkt dan niet anoniem filmpjes op Youtube terwijl jij misschien denkt dat dat wel het geval is omdat je niet bent ingelogd!
Op dat filmische moment wordt door Google jouw interesseprofiel dat ze van je hebben gewoon verder aangevuld om er via advertenties weer meer aan te kunnen verdienen (bedrijfsmodel).

Had je (privacy-bewust als je was) die gewone Google cookies en die Flash-cookies wel gewist na die vorige inlog-sessie op je Gmail account, dan was het in principe zo dat je bij terugkeer op de Google pagina's in eerste instantie wel anoniem was geweest!
Google had je namelijk niet kunnen herkennen; je had immers je naam (nog) niet opgegeven en er waren ook geen (oude) cookies aanwezig die het verband konden leggen met je vorige inlog-sessie op naam.

Nou maakt Google vast nog wel van meer tracking technieken gebruik om jouw identiteit te kunnen herleiden/vast te stellen maar die laat ik voor dit cookie voorbeeld even buiten beschouwing.

Cookies wissen helpt dus wel degelijk bij het bewaken van je privacy!
Tenzij,..... je zoals je zelf stelt, al inlogt op een account die aan je naam is verbonden, een open deur van jewelste.

Een open deur die voor sommige mensen nog een verassing zou kunnen zijn en daarom niet gek om toch maar te noemen.
Met betrekking tot de opmerking over het wissen van persistente Flash-cookies zaai je onnodig verwarring en gooi je op onterechte wijze eerder gegeven nuttige tips weg. Jammer.

Cookies wissen heeft zeker weten veel waarde en is in veel (maar niet alle) gevallen buitengewoon essentieel bij het bewaren van je privacy.

Privacy must : alle Cookies (+ desgewenst cache & historie) standaard wissen na elke internet-sessie

Cookies wissen óók bij VPN, wissen van cookies en caches doet de Tor(browser) van zichzelf al
(mits je wel je browser afsluit of onder de Torbutton je identiteit vernieuwt)
(eventueel account-inlog-cookies van een web account bewaren, net zoals je password al vind ik dat geen aanrader omdat het minder veilig is!)


Mvg
Anoniem (15:37 & 01:29)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.