Comment désactiver l'autorisation de lire les "polices système" et les "détails du plug-in de navigation" dans Chrome et Firefox

47

En allant sur http://panopticlick.eff.org/, je peux voir que Firefox et Chrome en exposent davantage sur les «polices système» et les «détails du plug-in de navigation» que je ne préfère.

Comment désactiver l'autorisation d'une page Web d'accéder à ces paramètres dans Firefox et Chrome?

eaubin
la source
1
Pour les polices système, vous devez désactiver Flash. Toujours à la recherche de plugins.
Pkario
1
En fait, désactiver Flash ne suffit pas. il peut encore les énumérer d'une autre manière.
Synetech
Au cas où quelqu'un se trouverait ici parce qu'il craignait pour sa vie privée ... votre adresse IP est suffisante pour identifier votre foyer. Combien d'utilisateurs de votre foyer ont la même résolution d'écran, le même système d'exploitation et le même navigateur? Vous êtes déjà unique :) vous pouvez donc cesser de vous préoccuper des listes de polices et des plugins ...
xtrahelp.com

Réponses:

22

Il y a deux questions, mais je réponds à la question sur la liste des polices:

Il est possible de désactiver l'énumération des polices Flash à l'aide du mms.cfgfichier de configuration système. Ce fichier doit être situé dans le /etc/adobe/répertoire si vous utilisez Linux. En gros, il vous suffit de mettre la ligne suivante dans le fichier:

DisableDeviceFontEnumeration = 1

Consultez le Guide d’administration d’Adobe Flash Player pour plus de détails.

Avec ce paramètre, Panopticlick et les autres sites ne peuvent pas obtenir votre liste de polices via Flash.

Notez que la liste de polices est toujours disponible via Java si vous l’avez installée. C'est une bonne idée de se débarrasser de Java de toute façon. Si vous utilisez quelques sites nécessitant Java, utilisez une instance de navigateur différente avec un profil d'utilisateur différent, Java étant activé uniquement pour ces sites.

casser
la source
2
Sur mon ordinateur Windows 7, le fichier se trouve à l'emplacement suivant: C: \ Windows \ SysWOW64 \ Macromed \ Flash \ mms.cfg
MikeFHay
Vous pouvez simplement désactiver Java et Flash dans les extensions de votre navigateur. Cela a fonctionné pour moi.
Waqar Lim
1
Merci beaucoup! Cela fonctionne sur mon PC (Windows XP). Panopiclick me reconnaît toujours comme un visiteur unique. à travers ma liste de plug-ins ...
Cerberus
Fonctionne pour moi sur XP aussi. FWIW, l’emplacement du fichier était C:\WINDOWS\system32\Macromed\Flash\mms.cfg.
martineau
2
Ne fonctionnait pas pour Chrome sous OS X. Il s'avère que Chrome utilise son propre plug-in Flash, qui contient un fichier de configuration séparé. Son chemin est ~/Library/Application Support/Google/Chrome/Default/Pepper Data/Shockwave Flash/System/mms.cfg(créer System/mms.cfgs'il n'existe pas.)
Dan
6

RubberGlove, l’ extension gratuite Chrome, bloque le plug-in et l’énumération de type mime en masquant les entrées du tableau de la même manière que Firefox et Internet Explorer peuvent / font de manière native.

Vous devez toujours définir chrome sur les plug-ins "Cliquez pour lire" et désactiver vous-même les cookies tiers dans les paramètres de confidentialité de Chrome. En outre, comme cela a été mentionné dans l'étude, vous serez probablement toujours unique jusqu'à ce que suffisamment de personnes commencent à utiliser des plugins comme celui-ci.

Divulgation complète: je suis l'auteur.

Cette fonctionnalité peut (ou non) être intégrée à l' extension future Privacy Badger d' Electronic Frontier Foundation . Ils semblaient intéressés, de toute façon.

Jason S. Clary
la source
Jason, y a-t-il une chance que vous ajoutiez une fonctionnalité de liste blanche à RubberGlove? C'est incroyable mais casse plusieurs sites. Activer et désactiver l'extension toute la journée est un peu gênant. Il est demandé à la fois sur le site addon de Google Chrome et sur la page de développement de github.
Costin Gu
5

Dans Firefox 28:

Tapez about:configla barre d'emplacement

Trouver plugins.enumerable_names

Définissez l'entrée à rien.

Visitez https://panopticlick.eff.org/ pour vérifier que les plug-ins ne sont plus répertoriés.

mlibby
la source
1
Pour la liste blanche, utilisez ce format plugins.enumerable_names: Java, QuickTime, Shockwave
Date
Pour revenir à cette méthode, modifiez l'entrée à *
matt.
3
Je ne vois pas ce paramètre dans FireFox 41. Quelqu'un sait où il se trouve maintenant?
Kelly Thomas
Il semble être parti pour l'instant. Trouvé ceci: bugzilla.mozilla.org/show_bug.cgi?id=757726
post moderne neo post
3

Javascript a la capacité de vérifier quels plugins sont installés, ceci est généralement utilisé pour donner un message "installer un plugin manquant" si nécessaire. Si vous le souhaitez, vous pouvez désactiver les plug-in dans les paramètres et désactiver Javascript en utilisant un addon comme Javascript Blacklist pour Chrome ou la barre d'état rapide Java pour Firefox.

NoBugs
la source
Où pouvez-vous désactiver les plugins dans les paramètres?
martineau
depuis le menu Outils-Addons.
NoBugs
3

Absolument possible avec Proxomitron .

Prox est comme NoScript, HTTP LiveHeaders, RequestPolicy, CookieSafeguard, BetterPrivacy, etc., tous réunis dans un même programme. Ce n'est pas développé plus loin, mais garantit toujours la vie privée qu'aucun autre outil ne peut faire.

Proxomitron est un filtre Web universel. Informations de leur site:

Le programme

Pour ceux qui ne sont pas encore introduits, rencontrez Proxomitron: un proxy de filtrage Web HTTP local gratuit, extrêmement flexible, configurable par l'utilisateur, petit mais très puissant. Pour vous familiariser davantage, veuillez consulter notre version en ligne des fichiers d’aide Proxomitron pour un aperçu plus complet.

La dernière (et dernière) version de Proxomitron est Naoko 4.5. Deux versions ont été publiées: une en mai 2003, puis une en juin. Bien que très similaires, il existe des différences distinctes entre les deux qui ne sont pas mentionnées dans la documentation de l'un ou l'autre programme. Les deux versions sont disponibles dans la section Fichiers. L'accent sera mis sur la dernière version, la version de juin.

L'auteur

Scott R. Lemmon a initialement développé le Proxomitron pour son propre usage. Il a ensuite décidé de le rendre public et s'est mis à la disposition des utilisateurs par courrier électronique et dans plusieurs groupes de discussion d'utilisateurs Proxomitron. Son soutien, comme son programme, a toujours été gratuit.

Avec la sortie de Naoko 4.5, Scott a cessé tout développement et soutien de son programme et a retiré la maison officielle de Proxomitron du Web. Nous avons respecté sa décision d'aller de l'avant et lui avons souhaité beaucoup de succès, ce qui, après tout, est ce qu'il nous a toujours donné.

Malheureusement, un an plus tard, Scott est décédé - mais son esprit et son esprit sont toujours vivants. En termes simples, Proxomitron est le reflet de son créateur: connaître le programme de Scott. . . est de savoir Scott Lemmon.

Vérifiez-le! Il y a une communauté (un peu) active.

canopée
la source
Wow, les gens utilisent encore Proxomitron, même avec Windows 7, Chrome, etc.‽ ಠ_๏Je suppose que Scott a vraiment fait un excellent travail avec. Je ne l'ai pas utilisé depuis longtemps; Je suppose que je devrais le sortir.
Synetech
2

À partir de Firefox 17, vous pouvez activer le "clic pour jouer" qui arrête automatiquement le chargement de Java et de Flash. Cela arrête à son tour beaucoup d'informations (pas toutes) en cours de découverte. Par exemple, arrêter Flash plugin empêche la plupart des polices d'être découvertes.

Pour activer 'click_to_play' dans Firefox:

  • eu 'about: config' dans votre barre d'adresse
  • rechercher 'click_to_play'
  • double-cliquez sur l'entrée pour basculer la valeur de "false" à "true"
  • fermer l'onglet
  • la prochaine fois que le plugin sera requis, vous recevrez une invite vous donnant la possibilité de l'activer.
IanB
la source
N’est-ce pas ce que l’ add-on Flashblock accomplit dans de nombreuses autres versions de Firefox?
martineau
Cela n'a pas fonctionné pour moi.
mlibby
2

La solution pour les derniers navigateurs Firefox est de:

  • Utilisez Random Agent Spoofer. Il a récemment ajouté des options pour désactiver l'énumération des plugins: https://github.com/dillbyrne/random-agent-spoofer/issues/283

  • Ou utilisez un script utilisateur comme indiqué dans le commentaire de Mechazawa dans le lien ci-dessus. Vous pouvez utiliser son script Greasemonkey ou Tampermonkey (à la fois firefox et chrome) pour s’occuper de cela sans aucune extension.

Je peux confirmer que cela montre les plugins comme "non définis" dans le test panopticlick.

Spectraljump
la source
2

L’empreinte digitale des polices n’est qu’une petite partie de l’empreinte digitale du navigateur. Le bloquer totalement est presque impossible à faire si le but est de laisser le navigateur toujours fonctionnel. On dit que la meilleure protection générale contre les empreintes digitales se trouve dans le navigateur Tor.

Lors de tests pratiques, il a été constaté que tenter de bloquer l’empreinte digitale des polices augmentait l’unicité de celle-ci, car la plupart des utilisateurs ne le faisaient pas. Le meilleur moyen d'éviter les empreintes digitales est de ne rien faire de spécial et de le fusionner avec des milliers d'autres utilisateurs.

La première étape contre les empreintes de police consiste à tester l'efficacité de toute mesure de défense que vous allez prendre. Https://browserleaks.com/fonts est un bon outil . Un bon outil pour l'unicité de l'empreinte digitale générale est https://panopticlick.eff.org/ (mon navigateur est venu comme unique parmi les 199984 testés au cours des 45 derniers jours) ou suis - je unique .

Pour la protection dans Chrome , vous pouvez prendre les mesures suivantes:

Pour la protection dans Firefox

Mozilla travaille actuellement sur le projet Tor Uplift, dont le but est d’établir dans Firefox le même niveau de résistance aux empreintes digitales que dans le navigateur Tor. Ce projet est en cours et décrit dans l'article Sécurité / empreinte digitale .

Vous pouvez essayer le script de durcissement de Firefox dans Github ghacks-user.js , bien que, d’après tous les rapports, ce soit trop et peut nuire à la navigation.

En ce qui concerne les add-ons, une liste d’add-ons utiles et d’autres conseils est disponible sur la page firefox-tweaks .

Pour le moment, les mesures que je connais spécifiquement pour l’empreinte digitale des polices se trouvent dans environ: paramètres de configuration :

  • Cliquez avec le bouton droit de la souris et sélectionnez Nouveau> Chaîne pour créer le nouveau paramètre font.system.whitelist, qui répertoriera les polices que JavaScript affichera. Un exemple de valeur valide est Helvetica, Courier, Verdana. Le changement prend effet immédiatement.
    Dans mon cas, cela a réduit ma propre police de caractères Fingerprinting de 266 polices et 238 mesures uniques répertoriées dans une liste de 512 polices, à "seulement" 28 polices et 9 mesures uniques. (Je n'ai aucune idée de l'impact que cela aurait sur la navigation.)

  • privacy.resistFingerprinting=trueest un commutateur général permettant d'activer les mesures de confidentialité du projet Tor Uplift au fur et à mesure de leur mise en œuvre. Il permet de distribuer une liste de polices uniforme. Mozilla déconseille de l'activer, car certains sites Web seront endommagés.

  • Désactivation des options "Autoriser les sites Web à utiliser leurs propres polices" et l'API de chargement de polices CSS en modifiant ces valeurs:

    browser.display.use_document_fonts = 0
    layout.css.font-loading-api.enabled = false
    font.blacklist.underline_offset = (empty string)
    gfx.downloadable_fonts.enabled = true
    gfx.font_rendering.opentype_svg.enabled = false
    gfx.font_rendering.graphite.enabled = false
    

    (Cela va probablement dégrader la navigation.)

Remarquez simplement que j'ai vu des méthodes discutées pour une empreinte de police et un dessin sophistiqués pouvant même identifier la carte graphique et le pilote graphique.

Mon avis: Il est impossible d'éviter les empreintes digitales - les polices ne font pas tout. Même si vous:

  • Utiliser un VPN
  • Faire la navigation à partir d'une machine virtuelle Windows vanille
  • N'installez aucune police ou autre logiciel
  • Installez le navigateur le plus utilisé - Chrome, sans extension
  • Faire la navigation en mode navigation privée qui désactive tous les cookies et les extensions

il est donc fort probable que ces méthodes de protection uniques, associées à des éléments matériels encore détectables dans la machine virtuelle, permettent de créer une empreinte digitale unique ou presque unique. Sans oublier que cet environnement sera assez difficile à utiliser.

Pour des discussions sur certaines méthodes d'empreinte connues, voir les articles suivants:

harrymc
la source
1

Même s'il s'agit d'une question plus ancienne, à partir de 2017, nous sommes toujours très préoccupés par toutes les informations qui ont été divulguées par le navigateur car elles sont utilisées pour les empreintes digitales. Je trouve que Random Agent Spoofer ( https://github.com/dillbyrne/random-agent-spoofer ) mentionné par Spectraljump enfonce le clou sur la tête.

Comme demandé, il protégera contre:

  • énumération de plugins
  • n'exposera pas les polices installées sur vos machines (ce qui constitue une alternative plus efficace aux outils de changement de polices, tels que FluxFonts)

En outre, il fournira des options pour vous protéger contre:

  • la plupart des autres outils d'empreintes digitales
  • vous permettra de désactiver webRTC, webGL, cache local, etc.

Si vous introduisez un randomiseur d'empreinte digitale sur le canevas (tel que Canvas Defender ), vous serez protégé contre à peu près tout ce qui est détectable sur browserleaks.com et Panopticlick.

Enfin, veillez à utiliser un VPN avec protection contre les fuites DNS pour fermer la boucle.

Une solution alternative, bien que moins pratique, consiste à utiliser une machine virtuelle générique vanilla (système d'exploitation le plus courant, sans installation personnalisée) pour toutes les activités de navigation et à la réinitialiser après chaque session.

DrSplange
la source