Quelle quantité d'informations les sites Web peuvent-ils obtenir sur votre navigateur / PC?

41

J'essaie de déterminer si les informations affichées sur www.whatsmyip.org sont la quantité maximale absolue d'informations qu'un serveur Web peut obtenir d'un visiteur Web. Y a-t-il d'autres sites qui pourront obtenir plus d'informations de la part de l'utilisateur de manière passive?

Je ne parle pas de détection de port ni d'aucune interaction de la part de l'utilisateur, mais uniquement des informations qu'un serveur peut obtenir d'une visite "stupide".

Cette question était une question de super utilisateur de la semaine .
Lisez l' entrée du blog pour plus de détails ou contribuez vous-même au blog

browser website internet-security Pickledegg
la source

Réponses:

34

Il y a plus: l'Electronic Frontier Foundation (EFF) a mis au point un outil appelé Panopticlick qui affiche principalement les mêmes informations, mais analyse en outre les polices installées.

Les polices installées sont probablement l'information la plus identifiante dès que vous commencez à en ajouter une ou deux. En raison du nombre de polices disponibles, il est peu probable que le même jeu de polices soit installé sur deux ordinateurs différents. (Tant qu'ils sont utilisés par différentes personnes)

Modifier (à partir de commentaires): une solution consiste à désactiver JavaScript (via un addon tel que NoScript par exemple) ou à désactiver les plug-ins Java et Flash dans le navigateur, car au moins un d'entre eux est nécessaire pour extraire les informations.

Baarn
la source
2
Cela nécessite Java pour extraire certaines de ses informations (et cela devient très peu si vous refusez l'invite pour autoriser Java sur le site) - l'OP de test lié rassemble beaucoup plus de ressources en utilisant des moyens passifs.
PhonicUK
1
Il ne nécessite pas de Java, il nécessite JavaScript. La plupart des gens n’ont pas installé d’addon comme NoScript dans leur navigateur. Ainsi, dans la plupart des cas, toutes les informations peuvent être extraites. Les sites effectuant ce type d'analyses ne demanderont normalement pas à l'utilisateur s'ils sont autorisés à le faire.
Baarn
2
Oui , il fait java utilisation, il dispose d' un applet java qui effectue la vérification de la police. Lorsque vous visitez la page, Chrome vous invite même à indiquer si vous souhaitez ou non autoriser l'exécution de l'applet. Faites un élément inspecter sur la page et vous verrez<applet codebase="java" code="fonts.class" id="javafontshelper" name="javafontshelper" mayscript="true" width="1" height="1"></applet>
PhonicUK
1
@Indrek Je peux le confirmer, dès que Java et Flash sont désactivés, aucune police ne peut être extraite.
Baarn
2
S'il ne peut pas le faire via Java, il utilise Flash. Si vous désactivez Flash et Java, cela indique simplement "Aucune police Flash ou Java détectée". Vous ne pouvez pas obtenir la liste des polices en utilisant simplement Javascript. Certes, il est passif dans la mesure où il ne nécessite aucune interaction de l'utilisateur, mais des extras sont toujours nécessaires pour le faire.
PhonicUK
9

Comment l'obtiennent-ils?

Les informations identifiables passives sont principalement collectées à partir des en-têtes des paquets de communication.

Lorsqu'un navigateur demande une URL, ces demandes sont soumises à plusieurs couches de modèle OSI et à plusieurs protocoles réseau. Les protocoles de niveau supérieur tels que HTTP et TCP / IP fournissent probablement la plupart des informations affichées sur ce site Web. Ces informations sont généralement stockées dans un en-tête de paquet et y ont été initialement intégrées pour aider les serveurs à comprendre: quelle est la meilleure représentation des informations pour votre environnement.

Une liste conviviale des en-têtes HTTP actuels est disponible sur Wikipedia . Une référence plus technique est la définition de champ d'en-tête RFC 2616 ou le RFC 2616 lui-même, voir la section 14.

Comment protéger votre vie privée?

Une autre technique très utilisée pour suivre un utilisateur consiste à utiliser un cookie - c’est ainsi que les fournisseurs de publicité savent quelle publicité vous montrer (ce qui me rend très méfiant). Voir les réponses à ma question: Comment supprimer les cookies de suivi ? Les réponses couvrent en réalité beaucoup plus de défenses contre d’autres techniques de suivi.

Un moyen plus sûr de rester anonyme en ligne consiste à utiliser certains projets de sécurité dédiés, parmi lesquels TOR .

oleksii
la source
8

En termes d’information, vous pouvez obtenir passivement sans utiliser Java / Flash - c’est assez exhaustif.

Vous pourriez peut-être faire des choses comme estimer les performances d'un PC en utilisant un benchmark JavaScript, mais vous insistez vraiment à ce stade.

PhonicUK
la source
7

Cette page ne montre pas grand-chose si vous refusez simplement aux invites du navigateur d'exécuter des plug-ins, d'autoriser la détection d'emplacement, etc.

Le nom d'hôte, l'adresse IP, etc. peuvent être facilement masqués via un proxy, et les informations du navigateur / du système d'exploitation peuvent facilement être falsifiées via des extensions, etc.

En fin de compte, sauf si vous installez et autorisez des plug-ins tiers, les sites Web ne peuvent pas collecter beaucoup d'informations, car les navigateurs sont spécifiquement conçus pour limiter le nombre d'accès dont ils disposent à un système. Les cookies sont l’outil le plus couramment utilisé par les sites pour collecter des données, mais il existe également des limites à la quantité de rapports qu’ils peuvent signaler.

Le seul moyen réel pour un site d’obtenir un accès sans entrave à votre système est d’essayer d’exploiter une vulnérabilité du navigateur ou de l’un de ses plugins, mais vous pouvez même atténuer cela en installant le moins possible et en les mettant à jour .

Synetech
la source
5

Il y a quelque chose de plus que les réponses précédentes ne listent pas:

Un site Web peut déterminer quels autres sites Web vous avez visités (avant la dernière fois que vous avez effacé votre historique de navigation).

Comment est-il fait?

Les couleurs de votre navigateur diffèrent selon que vous les avez visitées auparavant ou non. Un site Web peut dresser une longue liste de nombreux sites Web connus (dont le site veut savoir si vous les avez visités) et l'afficher de manière à ce que l'utilisateur ne puisse pas le voir (caché derrière une image, avec une police de caractères). 1 pixel, avec la même couleur que l’arrière-plan, etc.), un script analyse maintenant la manière dont la liste est affichée par le navigateur et permet de savoir lesquels d’entre eux ont été visités.

vsz
la source
1
J'en ai entendu parler auparavant, mais je pense que ce n'est plus possible.
Baarn
De nos jours (2012), lorsqu'un navigateur moderne le permet, il est traité comme une grave vulnérabilité de sécurité. Par exemple, une version bêta (?) De Firefox 16 a été retirée récemment lorsque les développeurs ont réalisé qu’ils étaient vulnérables à cet exploit. Cela a été considéré comme un quasi-
incident
5

Je viens de trouver ce site, je ne l'ai pas vu mentionné ci-dessus: http://browserspy.dk Assez intéressant, c'est le moins qu'on puisse dire!

BrowserSpy.dk est l’endroit où vous pouvez voir combien d’informations votre navigateur révèle sur vous et votre système.

Saviez-vous que tous les sites Web que vous visitez peuvent déterminer les polices que vous avez installées?

Il est également possible de savoir si plusieurs programmes sont installés. Ceux-ci incluent Adobe Reader, OpenOffice.org, Google Chrome et Microsoft Silverlight. Peut-être même que les sites que vous avez visités récemment peuvent être détectés!

Lorsque vous naviguez sur Internet, votre navigateur vous laisse une trace d'empreintes numériques. Les sites Web peuvent utiliser ces empreintes pour vérifier votre système.

BrowserSpy.dk est un service où vous pouvez vérifier quelles informations il est possible de collecter à partir de votre système, simplement en visitant un site Web.

Karan
la source