image

Firefox krijgt bescherming tegen font fingerprinting

vrijdag 30 december 2016, 09:36 door Redactie, 6 reacties

Internetgebruikers zijn op allerlei manieren te volgen, van hun ip-adres en cookies tot de fonts die ze geïnstalleerd hebben. Aanleiding voor Mozilla om in een nieuwe Firefox-versie bescherming tegen 'font fingerprinting' toe te voegen, maar gebruikers moeten die wel zelf inschakelen.

Onderzoekers lieten vorig jaar al zien (pdf) dat internetgebruikers aan de hand van hun fonts zijn te volgen. Iets wat ook via een website als Panopticlick wordt gedemonstreerd. De browser geeft deze informatie namelijk door en maakt het mogelijk voor websites en trackers om een unieke "vingerafdruk" te ontwikkelen. Vanwege het risico besloten de ontwikkelaars van Tor Browser, dat op Firefox is gebaseerd, vorig jaar al bescherming tegen font fingerprinting toe te voegen. In Tor Browser staat deze maatregel standaard ingeschakeld.

In januari vorig jaar werd het privacyrisico van font fingerprinting ook al bij Mozilla aangekaart. Het heeft even geduurd, maar ook Firefox zal een dergelijke beschermingsmaatregel krijgen. Gebruikers krijgen straks de optie om zelf te bepalen welke fonts aan een website of tracker bekend worden gemaakt. Vanaf Firefox 52, gepland voor maart 2017, zal de optie aanwezig zijn. Gebruikers moeten die nog wel zelf inschakelen, zo ontdekte blogger Soeren Hentzschel.

Reacties (6)
30-12-2016, 11:10 door Anoniem
Ok, vrij vertaald staat er : Via about:config kun je een string met de naam font.system.whitelist maken, die een comma separated list met fonts bevat bijvoorbeeld: "Helvetica,Verdana“. Het idee is (dat staat er niet maar dat maak ik er van) dat als ongeveer de hele planeet en z'n moeder ongeveer dezelfde waardes gebruikt het fingerprinten dan niet meer werkt. Er staat ook nog iets over plugins zoals Adobe Flash waar het niet mee werkt, maar ja, wie nog Flash gebruikt staat aan grotere bedreigingen plaats dan font fingerprinting...
30-12-2016, 15:11 door Anoniem
Je hebt nog wat leeswerk te doen op het gebied van identificatie en tracking vrees ik. Maar voor wat betreft de 'Preference Name' 'font.system.whitelist', het zou Mozilla sieren als ze een standaard set fonts in de 'Preference Name Value' opgeven en je vanuit de GUI de optie geven de instelling uit of in te schakelen. Standaard inschakelen lijkt me in deze geen slechte optie.
Via About:config kun je dan altijd nog kiezen de fonts aan te passen je weer uniek te maken ;-)

Standaard 'Preference Name Value' voor 'font.system.whitelist' in TOR is overigens:
Arial, Batang, ??, Cambria Math, Courier New, Euphemia, Gautami, Georgia, Gulim, ??, GulimChe, ???, Iskoola Pota, Kalinga, Kartika, Latha, Lucida Console, MS Gothic, ?? ????, MS Mincho, ?? ??, MS PGothic, ?? ?????, MS PMincho, ?? ???, MV Boli, Malgun Gothic, Mangal, Meiryo, Meiryo UI, Microsoft Himalaya, Microsoft JhengHei, Microsoft JengHei UI, Microsoft YaHei, ????, Microsoft YaHei UI, MingLiU, ???, Noto Sans Buginese, Noto Sans Khmer, Noto Sans Lao, Noto Sans Myanmar, Noto Sans Yi, Nyala, PMingLiU, ????, Plantagenet Cherokee, Raavi, Segoe UI, Shruti, SimSun, ??, Sylfaen, Tahoma, Times New Roman, Tunga, Verdana, Vrinda, Yu Gothic UI
30-12-2016, 22:38 door Anoniem
Wat is eigenlijk de reden dat al je fonts doorgegeven worden? Zijn er website bouwers die daar iets mee doen?
31-12-2016, 14:52 door Anoniem
Door Anoniem: Je hebt nog wat leeswerk te doen op het gebied van identificatie en tracking vrees ik.

Standaard 'Preference Name Value' voor 'font.system.whitelist' in TOR is overigens:
Arial, Batang, ??, Cambria Math, Courier New, Euphemia, Gautami, Georgia, Gulim, ??, GulimChe, ???, Iskoola Pota, Kalinga, Kartika, Latha, Lucida Console, MS Gothic, ?? ????, MS Mincho, ?? ??, MS PGothic, ?? ?????, MS PMincho, ?? ???, MV Boli, Malgun Gothic, Mangal, Meiryo, Meiryo UI, Microsoft Himalaya, Microsoft JhengHei, Microsoft JengHei UI, Microsoft YaHei, ????, Microsoft YaHei UI, MingLiU, ???, Noto Sans Buginese, Noto Sans Khmer, Noto Sans Lao, Noto Sans Myanmar, Noto Sans Yi, Nyala, PMingLiU, ????, Plantagenet Cherokee, Raavi, Segoe UI, Shruti, SimSun, ??, Sylfaen, Tahoma, Times New Roman, Tunga, Verdana, Vrinda, Yu Gothic UI

Zou jij je lijstje willen toelichten?
Wat betekenen al die vraagtekens?
Heb jij die erin gezet of is het deze website die jouw bijdrage deels omzet in vraagtekens?
31-12-2016, 19:35 door Anoniem
Heb je geen java of silverlight plug-in, dan hoef je over het uniek volgen van de browser
via font fingerprinting niet heel erg in de war te zitten.

Linux-ers kunnen overigens fluxfont gaan gebruiken: https://github.com/da2x/fluxfonts

Het is een achterhaald iets, lees: https://browserleaks.com/fonts
Ik krijg allemaal vraagtekens in de browser

JS Fonts (unicode)
Fingerprint ?
Report ?
JS Fonts (classic)
Fingerprint ?
Report ?
Flash Fonts
Fingerprint ?
Report ?

Canvas fingerprinting heb ik geblokt via een extensie.

Maar er zijn nog een paar andere valstrikjes: https://amiunique.org/faq

Gebruikt dus geen browser als je niet wil worden gevolgd. Zo simpel ligt het al tegenwoordig.

Privacy equals no Internet....period.

Geloof je het niet test dan hier: https://amiunique.org/fp

Maar de test resultaten zijn niet helemaal zuiver.
Ik gebruik een goede adblocker, maar ik klik op alles wat ad is via AdNauseam en
draai 'adremover' in tampermonkey in de browser.

Daar verslikte de test zich even in in de tegenstrijdigheden,
hetgeen ik maar graag kreeg vastgesteld overigens.

luntrus
31-12-2016, 20:19 door Anoniem
Door Anoniem: Heb je geen java of silverlight plug-in, dan hoef je over het uniek volgen van de browser
via font fingerprinting niet heel erg in de war te zitten.
O?

Het is een achterhaald iets, lees: https://browserleaks.com/fonts
Dat haal ik niet uit de tekst daar.

Ik krijg allemaal vraagtekens in de browser

JS Fonts (unicode)
Fingerprint ?
Report ?
JS Fonts (classic)
Fingerprint ?
Report ?
Flash Fonts
Fingerprint ?
Report ?
Ja dat geberut wanneer je helemaal geen javascripts toestaat.
Bijvoorbeeld met gebruik van NoScript addon.

Gebruikt dus geen browser als je niet wil worden gevolgd. Zo simpel ligt het al tegenwoordig.
Nee dat is te simpel gesteld, een probleem geheel vermijden hoeft niet altijd een oplossing van het probleem in te houden, het kan andere grotere problemen veroorzaken.
Probeer Torbrowser eens
http://www.torproject.org

Privacy equals no Internet....period.
Een typemachine heeft ook een unieke print.

Je bent trouwens nog wat vergeten:

'whitespacefingerprinting'

Ook

je

opmaak

kan

wat

verraden

buiten

het

fenomeen:

'selfsignfingerprinting'

!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.