Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
wat is de beste... canvas fingerprint blocker extensie voor Firefox?
06-11-2021, 23:47 door Anoniem, 18 reacties
hoi,
mijn vraag is wat volgens jullie de beste canvas fingerprint blocker extensie voor Firefox is?
ik test er twee hier op https://firstpartysimulator.net maar ik zie weinig verschil tussen de resultaten die de blockers zouden bewerkstelligen
dank jullie wel, groet, Bippe Ram
mijn vraag is wat volgens jullie de beste canvas fingerprint blocker extensie voor Firefox is?
ik test er twee hier op https://firstpartysimulator.net maar ik zie weinig verschil tussen de resultaten die de blockers zouden bewerkstelligen
dank jullie wel, groet, Bippe Ram
Reacties (18)
Uiteraard is Tor nog steeds king als het gaat om fingerprint disassociatie.
Fingerprints van Tor Browser zijn overal hetzelfde, althans dat is het doel.
Als ik mij niet vergis is het canvas fingerprinting euvel in Tor Browser verholpen, zo ook de file-handler issue.
En natuurlijk altijd je setup draaien in een VM.
Fingerprints van Tor Browser zijn overal hetzelfde, althans dat is het doel.
Als ik mij niet vergis is het canvas fingerprinting euvel in Tor Browser verholpen, zo ook de file-handler issue.
En natuurlijk altijd je setup draaien in een VM.
07-11-2021, 15:04 door
nicolaasjan
Ik gebruik CanvasBlocker:
https://addons.mozilla.org/nl/firefox/addon/canvasblocker/
https://canvasblocker.kkapsner.de/test/
https://addons.mozilla.org/nl/firefox/addon/canvasblocker/
Protected "fingerprinting" APIs:
canvas 2d
webGL
audio
history
window (disabled by default)
DOMRect
navigator (disabled by default)
screen
Testpagina:canvas 2d
webGL
audio
history
window (disabled by default)
DOMRect
navigator (disabled by default)
screen
https://canvasblocker.kkapsner.de/test/
Belangrijk is dat sommige js-apis 'on the fly' kunnen worden aangepast door de canvas-fingerprint blocker. Combineer met een lokale url-script herschrijf-extensie.
luntrus
luntrus
Interessante discussie in dit verband:https://stackoverflow.com/questions/16579404/url-rewriting-with-expressjs
#sockpuppet
#sockpuppet
Firefox Focus heeft dit a default allemaal al aan boord.
Begrijp ook niet waarom niet meer power users kiezen voor ungoogled chrome.
Later kun je extensies e.d. apart downloaden en in ungoogled chrome installeren,
zodat je aanvankelijk weg kan blijven van de standaard chrome/chromium installatie.
Local CDN en Clear URLs extensies zijn ook een aardige steun in de rug naast een canvas blokker.
Canvas Blocker Fingerprint Protect geeft een aardig overzicht waar dit allemaal op websites plaatsvindt.
Tracker SSL extensie is helaas uit de webstore verdwenen, wellicht dat Aptoide die nog heeft.
Groen veilig t.o.v. bulk-NSA surveilance via ids, rood onveilig.
Quick source viewer geeft de geinteresseerde een inzicht welke inline scripts op een site aflopen.
Websites op fouten en qua onveiligheid analyseren en zo veilig mogelijk laten aflopen is een sport op zich.
Veel plezier,
luntrus
Begrijp ook niet waarom niet meer power users kiezen voor ungoogled chrome.
Later kun je extensies e.d. apart downloaden en in ungoogled chrome installeren,
zodat je aanvankelijk weg kan blijven van de standaard chrome/chromium installatie.
Local CDN en Clear URLs extensies zijn ook een aardige steun in de rug naast een canvas blokker.
Canvas Blocker Fingerprint Protect geeft een aardig overzicht waar dit allemaal op websites plaatsvindt.
Tracker SSL extensie is helaas uit de webstore verdwenen, wellicht dat Aptoide die nog heeft.
Groen veilig t.o.v. bulk-NSA surveilance via ids, rood onveilig.
Quick source viewer geeft de geinteresseerde een inzicht welke inline scripts op een site aflopen.
Websites op fouten en qua onveiligheid analyseren en zo veilig mogelijk laten aflopen is een sport op zich.
Veel plezier,
luntrus
Door Anoniem: Interessante discussie in dit verband:https://stackoverflow.com/questions/16579404/url-rewriting-with-expressjs
#sockpuppet
#sockpuppet
Misschien kan je het verband even uitleggen, want dat ontgaat mij hier even.
Het verband, als het er al is, moet gezien worden in het ontwerpen van eigen userscripts voor gebruik in Tamper Monkey bijvoorbeeld, een extensie die in de browser draait met user-scripts.
Zie ook verschil tussen het blokkeren van fingerprinten met CyDec Security Anti-FP extensie en elementen op uMatrix dichtzetten. Hier op deze site hebben we audio-visuele fingerprinting en ssl.google-analytics fingerprinting.
Extensies kunnen onderling ook met elkaar conflicteren ook browserbreed - bijvoorbeeld met Privacy Badger.
Het is voor fingerprinting altijd aangewezen om van een aantal verschillende browsers gebruik te maken.
Bijvoorbeeld Brave, Epic Browser etc.
l#sockpuppet
Zie ook verschil tussen het blokkeren van fingerprinten met CyDec Security Anti-FP extensie en elementen op uMatrix dichtzetten. Hier op deze site hebben we audio-visuele fingerprinting en ssl.google-analytics fingerprinting.
Extensies kunnen onderling ook met elkaar conflicteren ook browserbreed - bijvoorbeeld met Privacy Badger.
Het is voor fingerprinting altijd aangewezen om van een aantal verschillende browsers gebruik te maken.
Bijvoorbeeld Brave, Epic Browser etc.
l#sockpuppet
Door Anoniem: Gewoon Java uitzetten. Dan ben je un-figerprintable.
Ik neem aan dat je JavaScript bedoeld. Het enige nadeel dan is dat bijna geen web site meer werkt. In den beginne vielen die nog wel eens terug op plain HTML wanner JavaScript uit stond (maar dan iets minder mooi qua uiterlijk); tegenwoordig neemt men die moeite niet meer.Men krijgt een aardig idee, waar je getrackt wordt, via bijvoorbeeld de Thunderbeam-ligthbeam extensie.
Weet dat bijvoorbeeld bij sommige Nederlandse alt.news site
jouw third party webgegevens bijvoorbeeld direct naar bol dot com gaan (en nog een heel stel meer).
Ook zie je nog steeds bij heel veel websites dat de verbinding naar de achterliggende webserver niet veilig genoeg is.
Geen header security of onvoldoende ingesteld, SSL problemen, certificaatsissues, Content Security Policy onveilig.
Kortom zelden best policies toegepast. Wel gelikt, maar onveilig. Security as a last-resort-issue.
Dit behalve de regelrechte kwetsbaarheden en onveiligheden (script -zie bijvoorbeeld met retire.js).
Het onveilige moeras is nog niet eens mondjesmaat drooggelegd.
Elke dag blijf je je verbazen op wat voor a priori onveilige infrastructuur je je feitelijk begeeft.
luntrus
Weet dat bijvoorbeeld bij sommige Nederlandse alt.news site
jouw third party webgegevens bijvoorbeeld direct naar bol dot com gaan (en nog een heel stel meer).
Ook zie je nog steeds bij heel veel websites dat de verbinding naar de achterliggende webserver niet veilig genoeg is.
Geen header security of onvoldoende ingesteld, SSL problemen, certificaatsissues, Content Security Policy onveilig.
Kortom zelden best policies toegepast. Wel gelikt, maar onveilig. Security as a last-resort-issue.
Dit behalve de regelrechte kwetsbaarheden en onveiligheden (script -zie bijvoorbeeld met retire.js).
Het onveilige moeras is nog niet eens mondjesmaat drooggelegd.
Elke dag blijf je je verbazen op wat voor a priori onveilige infrastructuur je je feitelijk begeeft.
luntrus
Wat er gebeurt, is erg aanvankelijk van wat jij bereid bent te delen met internet.
Je hebt een bepaalde extensie gebruikt en nu krijg je ineens spam-mail voor je kiezen.
Deel dus nooit met Internet, hetgeen je met andeen ook niet wenst te delen.
"Go with the flow" is nog steeds een hele mooie manier om "off the radar" te blijven.
Voedt het beest aan de andere kant van je schermpjes dus niet, is en blijft de leus.
Het komt dus bovenal neer op een bepaalde houding, die moet rusten op inzicht.
Wie niet leert van wat ie verkeerd doet, komt geen schrap verder namelijk.
En ondergetekende leert nog elke dag tussen degenen, die mijn data proberen uit te benen
en degenen, die mijn data mee helpen te bescermen en beveiligen.
luntrus
Je hebt een bepaalde extensie gebruikt en nu krijg je ineens spam-mail voor je kiezen.
Deel dus nooit met Internet, hetgeen je met andeen ook niet wenst te delen.
"Go with the flow" is nog steeds een hele mooie manier om "off the radar" te blijven.
Voedt het beest aan de andere kant van je schermpjes dus niet, is en blijft de leus.
Het komt dus bovenal neer op een bepaalde houding, die moet rusten op inzicht.
Wie niet leert van wat ie verkeerd doet, komt geen schrap verder namelijk.
En ondergetekende leert nog elke dag tussen degenen, die mijn data proberen uit te benen
en degenen, die mijn data mee helpen te bescermen en beveiligen.
luntrus
Is dat wel nodig in firefox? Zie https://privacytests.org
@ anoniem van 12:12,
Viel wel even op dat tor er niet al te best vanaf komt qua fingerprinting resistance,
terwijl brave qua tracking een modderfiguur slaat.
Bij de website security.nl in Brave wordt 25% aan ads en 25% aan tracking doorgelaten,
dit volgens ZenMate Web Firewall.
In bepaalde opzichten blijven browsers zich dus gedragen als data-"zeef".
#sockpuppet
Viel wel even op dat tor er niet al te best vanaf komt qua fingerprinting resistance,
terwijl brave qua tracking een modderfiguur slaat.
Bij de website security.nl in Brave wordt 25% aan ads en 25% aan tracking doorgelaten,
dit volgens ZenMate Web Firewall.
In bepaalde opzichten blijven browsers zich dus gedragen als data-"zeef".
#sockpuppet
Al snel zie je aan de grafische voorstellingen,
waar de draadjes lopen tussen diverse bezochte hoofd- en subdomeinen
en de daarbij behorende 3rd party sites.
Ik noem o.a.: facebook, shareaholic.net, google-analytics, doubleclick.net,
cdn dot com, googleads, apis.google.com, enz.
Big Brother heet Meta, Alphabet en consorten.
luntrus
waar de draadjes lopen tussen diverse bezochte hoofd- en subdomeinen
en de daarbij behorende 3rd party sites.
Ik noem o.a.: facebook, shareaholic.net, google-analytics, doubleclick.net,
cdn dot com, googleads, apis.google.com, enz.
Big Brother heet Meta, Alphabet en consorten.
luntrus
Door Anoniem: Gewoon Java uitzetten. Dan ben je un-figerprintable.
Zet jij je computer nou maar uit met zoveel onzin.
Voor de mensen die veel meer tracking types willen testen kan ik https://www.deviceinfo.me/ aanraden..
Het geeft je geen inzicht in wie er tracked maar wel wat er uberhaubt mogelijk is te tracken op je apparaat.
Voor de meeste mensen zelfs met privacy plugins aan is er nog heel veel informatie wat lekt . Maar hou er ook rekening mee dat als je echt in paranoia modus gaat je ook veel sneller te identificeren bent. Voor de meeste is dan ook de middleroad simpelweg het beste tenzij je echt alles blokkeerd.
Zelf werk ik met Iridium Browser die ik handmatig compile en patch en de plugins uBlock Origin, minerBlock, Canvas Fingerprint Defender, Scriptsafe.
Dan voor het systeem. MVSP hostfile (niet via Ublock maar in system directory) https://winhelp2002.mvps.org/hosts.htm
Dan vervolgens het bestand inmutable maken tot je het wilt updaten.
Ik raadt echter Iridium niet aan voor de meeste mensen sinds de update cyclus compleet anders is dan alle andere browsers. Als je wacht op officiele releases dan kan het gauw al maand of 3 zijn. Ungoogle-Chromium is het beste op de markt atm voor de gemiddelde privacy bewuste gebruiker. Tenzij je zelf dus ook echt knutselt in de code instead van enkel plugins erop donderd niet Iridium nemen.
Blijf daar in tegen nog veel verder weg van Brave https://www.theverge.com/2020/6/8/21283769/brave-browser-affiliate-links-crypto-privacy-ceo-apology
Een vos verliest wel zijn haren maar niet zijn streken en met hun nieuwe geweldige feature een privacy gerichte Zoom conference achtige feature zie ik de bui al wel weer hangen dat er zogenaamd weer iets perongeluks wordt verstuurd zonder toestemming.
Het geeft je geen inzicht in wie er tracked maar wel wat er uberhaubt mogelijk is te tracken op je apparaat.
Voor de meeste mensen zelfs met privacy plugins aan is er nog heel veel informatie wat lekt . Maar hou er ook rekening mee dat als je echt in paranoia modus gaat je ook veel sneller te identificeren bent. Voor de meeste is dan ook de middleroad simpelweg het beste tenzij je echt alles blokkeerd.
Zelf werk ik met Iridium Browser die ik handmatig compile en patch en de plugins uBlock Origin, minerBlock, Canvas Fingerprint Defender, Scriptsafe.
Dan voor het systeem. MVSP hostfile (niet via Ublock maar in system directory) https://winhelp2002.mvps.org/hosts.htm
Dan vervolgens het bestand inmutable maken tot je het wilt updaten.
Ik raadt echter Iridium niet aan voor de meeste mensen sinds de update cyclus compleet anders is dan alle andere browsers. Als je wacht op officiele releases dan kan het gauw al maand of 3 zijn. Ungoogle-Chromium is het beste op de markt atm voor de gemiddelde privacy bewuste gebruiker. Tenzij je zelf dus ook echt knutselt in de code instead van enkel plugins erop donderd niet Iridium nemen.
Blijf daar in tegen nog veel verder weg van Brave https://www.theverge.com/2020/6/8/21283769/brave-browser-affiliate-links-crypto-privacy-ceo-apology
Een vos verliest wel zijn haren maar niet zijn streken en met hun nieuwe geweldige feature een privacy gerichte Zoom conference achtige feature zie ik de bui al wel weer hangen dat er zogenaamd weer iets perongeluks wordt verstuurd zonder toestemming.
Door Anoniem; 22:08: Voor de mensen die veel meer tracking types willen testen kan ik https://www.deviceinfo.me/ aanraden..
Het geeft je geen inzicht in wie er tracked maar wel wat er uberhaubt mogelijk is te tracken op je apparaat.
Voor de meeste mensen zelfs met privacy plugins aan is er nog heel veel informatie wat lekt . Maar hou er ook rekening mee dat als je echt in paranoia modus gaat je ook veel sneller te identificeren bent. Voor de meeste is dan ook de middleroad simpelweg het beste tenzij je echt alles blokkeerd.
Zelf werk ik met Iridium Browser die ik handmatig compile en patch en de plugins uBlock Origin, minerBlock, Canvas Fingerprint Defender, Scriptsafe.
Dan voor het systeem. MVSP hostfile (niet via Ublock maar in system directory) https://winhelp2002.mvps.org/hosts.htm
Dan vervolgens het bestand inmutable maken tot je het wilt updaten.
Ik raadt echter Iridium niet aan voor de meeste mensen sinds de update cyclus compleet anders is dan alle andere browsers. Als je wacht op officiele releases dan kan het gauw al maand of 3 zijn. Ungoogle-Chromium is het beste op de markt atm voor de gemiddelde privacy bewuste gebruiker. Tenzij je zelf dus ook echt knutselt in de code instead van enkel plugins erop donderd niet Iridium nemen.
Blijf daar in tegen nog veel verder weg van Brave https://www.theverge.com/2020/6/8/21283769/brave-browser-affiliate-links-crypto-privacy-ceo-apology
Een vos verliest wel zijn haren maar niet zijn streken en met hun nieuwe geweldige feature een privacy gerichte Zoom conference achtige feature zie ik de bui al wel weer hangen dat er zogenaamd weer iets perongeluks wordt verstuurd zonder toestemming.
MVPS hosts wordt al sinds 6 maart niet meer bijgehouden...Het geeft je geen inzicht in wie er tracked maar wel wat er uberhaubt mogelijk is te tracken op je apparaat.
Voor de meeste mensen zelfs met privacy plugins aan is er nog heel veel informatie wat lekt . Maar hou er ook rekening mee dat als je echt in paranoia modus gaat je ook veel sneller te identificeren bent. Voor de meeste is dan ook de middleroad simpelweg het beste tenzij je echt alles blokkeerd.
Zelf werk ik met Iridium Browser die ik handmatig compile en patch en de plugins uBlock Origin, minerBlock, Canvas Fingerprint Defender, Scriptsafe.
Dan voor het systeem. MVSP hostfile (niet via Ublock maar in system directory) https://winhelp2002.mvps.org/hosts.htm
Dan vervolgens het bestand inmutable maken tot je het wilt updaten.
Ik raadt echter Iridium niet aan voor de meeste mensen sinds de update cyclus compleet anders is dan alle andere browsers. Als je wacht op officiele releases dan kan het gauw al maand of 3 zijn. Ungoogle-Chromium is het beste op de markt atm voor de gemiddelde privacy bewuste gebruiker. Tenzij je zelf dus ook echt knutselt in de code instead van enkel plugins erop donderd niet Iridium nemen.
Blijf daar in tegen nog veel verder weg van Brave https://www.theverge.com/2020/6/8/21283769/brave-browser-affiliate-links-crypto-privacy-ceo-apology
Een vos verliest wel zijn haren maar niet zijn streken en met hun nieuwe geweldige feature een privacy gerichte Zoom conference achtige feature zie ik de bui al wel weer hangen dat er zogenaamd weer iets perongeluks wordt verstuurd zonder toestemming.
Ik vrees het ergste, gezien zijn verklaring omtrent zijn gezondheids problemen ook al lange tijd niet is bijgewerkt.
https://winhelp2002.mvps.org/hosts.htm
Je zou kunnen kijken naar Dan Pollock's en/of Peter Lowe's hosts file.
https://someonewhocares.org/hosts/zero/hosts
https://pgl.yoyo.org/adservers/serverlist.php?hostformat=hosts&showintro=1&mimetype=plaintext
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
