Cerca nel blog

2017/01/20

Test: cosa può sapere di voi un sito che visitate

Il fingerprinting è l’attività informatica che consiste nel raccogliere le “impronte digitali” lasciate per esempio dai visitatori di un sito per identificarli. Molti utenti pensano che usare le funzioni di navigazione privata o anonima mettano al riparo da questa raccolta, ma non è così: meglio saperlo prima di fare passi falsi.

Luigi Rosa, su Siamogeek.com, ha preparato una dimostrazione innocua di questo fingerprinting che sopravvive senza problemi all’uso della navigazione anonima/privata: la trovate presso https://siamogeek.com/jsinfo.

Nel mio test, la dimostrazione ha rilevato il tipo e la versione del browser e del sistema operativo, la lingua utilizzata, la presenza di Flash Player e del plug-in di Skype, le dimensioni e l’orientamento dello schermo, il tipo di processore, il plug-in di riconoscimento vocale e altro ancora. E questa è la versione blanda: se volete saperne di più e conoscere le tecniche che consentono il fingerprinting attraverso la collezione di font del singolo utente, date un’occhiata all’articolo di Luigi Rosa.

10 commenti:

ufffff ha detto...

Il contatore di accessi sul mio sito tira fuori tramite php informazioni piu' precise ed interessanti, giochetto sui fonts a parte!

Clodo ha detto...

Onestamente, non è molto avanzato. Ha semplicemente dumpato variabili javascript.
Uno dei servizi che sviluppo io, https://ipleak.net, rileva molta più roba.
Mi manca da implementare fingerprint via canvas e qualche altra tecnica, ma in compenso è il più avanzato sistema di rilevazione DNS e WebRTC che c'è in giro.
E' usato principalmente da utilizzatori di tunnel VPN per verificare se ci sono leak (particolarmente DNS leak sotto Windows).

(p.s. è un servizio gratuito, in tema con l'articolo, e non ha banner, solo un 'Powered by', per cui non mi pare spam).

Respect! ha detto...

Per non parlare di questo: https://clickclickclick.click !!

Lorenzo ha detto...

Proprio ieri ho visto questa pagina simile: http://webkay.robinlinus.com/

La trovo molto più completa e ben fatta di quella linkata, e IMHO fa molta più "paura".

DIO ha detto...

Con NoScript attivo non rileva nulla. Ma quasi ogni sito ha un modo per costringerti a disattivarlo putroppo...

balloto ha detto...

Vabbe ma questa è tipo la base del javascript! "Siamogeek", siete sicuri?

Luigi Rosa ha detto...

@ufffff @Clodo @balloto

Lo scopo non e' dimostrare di essere "master" in JavaScript a chi e' gia' programmatore, ma dimostrare a chi non sa nulla di programmazione quanto sia facile senza utilizzare script lato server o altre diavolerie (tipo Flash per enumerare i font con esattezza) quante informazioni vengano cedute a terzi.

Quelle sono le medesime informazioni che sono disponibili aggregate con le statistiche di Google. Anche qui: nulla di nuovo per chi le utilizza tutti i giorni, ma siamo proprio sicuri che l'utente quadratico medio sia conscio di questo e capisca le implicazioni?

Clodo ha detto...

@Luigi Rosa
Ma certo, ben venga ogni tentativo di sensibilizzare su queste tematiche.
Ma imho l'utente medio non-conscio dubito rimanga impressionato da quel genere di dati esposti con un layout tecnico, meglio attirare l'attenzione con qualcosa di più spettacolare/divertente/originale.
semi-ot: Quel che si poteva fare con Flash (il tuo esempio sui font) ormai è irrilevante con WebGL (esempio), che espone pure potenzialmente attacchi diretti all'hardware/GPU, o l'imminente WebVR.


Clodo ha detto...

@Luigi Rosa
Ecco un esempio pratico di quel che intendevo dicendo che WebGL è la nuova frontiera rispetto a Flash&Font per le tecniche di fingerprinting:
http://www.uniquemachine.org/
(personalmente l'ho scoperto oggi da un tweet di Hypponen)

j-li ha detto...

Clodio: sto usando un tablet Android ed ho aperto, fidandomi (!), il link che hai indicato nel #9 con una pagina in incognito (Chrome): ho deciso di scrivere il messaggio intanto che l'altra pagina ci pensa. Appare un carattere di cui evidentemente non ho il codice giusto, due immagini e poi in fondo le foto, quasi, degli autori, un po' poco (nulla di significativo, assolutamente, sembra piantato).

Il java di Luigi ti dà il dato grezzo in locale senza esitazione, si direbbe quasi che le informazioni fossero già disponibili :-)

update: ricaricata la pagina cinese, sempre piantata allo stesso punto dopo un po' di veloci e graziose immaginette animate, uno poi si stufa e chiude...