Установка нестандартных шрифтов может нарушить анонимность
Не успел ответить там, поэтому и открыл тему.
Напомню:
— Гость (09/04/2012 12:53) <#>
TBB лучше использовать как есть, без настройки
Вот как есть, без настройки, он светит наружу все установленные шрифты, даже без включённого JavaScript, и если у вас на компьютере нестандартный набор шрифтов (а есть программы, что при инсталляции устанавливают дополнительные шрифты не спрашивая и не уведомляя) что делает вас весьма уникальным. См. http://ip-check.info
Если же зайти в about:config и установить browser.display.use_document_fonts в 0, то наружу будут светиться только три стандартных шрифта независимо от того, какие у вас установлены дополнительно. Вам решать, что безопаснее.
— Гость (10/04/2012 01:19) <#>
Не подтверждаю. Захожу c TB на вами рекомендованный сайт с отключенным JS и вижу:
параметр | значение | результат |
---|---|---|
Fonts | Do you see strange symbols here? If yes, your fonts are readable! | good |
Где посмотреть список моих шрифтов в такой конфигурации?
Да, действительно, если в NoScript выбрать Forbid http://ip-check.info то каритнка будет такая-же, как и у вас, одако, если навести курсор на слово Fonts в этой таблице, то во всплывающей подсказке можно прочитать:
Caution: Your fonts might even be read without JavaScript! This is possible, as a website may force loading web fonts if the respective font is not installed on your local computer.
комментариев: 9796 документов: 488 редакций: 5664
Набежавшие тролли, так усиленно пытающиеся скомпрометировать тор в глазах неопытных хомячков, видимо неосилили The Design and Implementation of the Tor Browser [DRAFT]. Возможно тролли почерпнут там ещё массу идей о том как выдать давно известные ограничения за фатальные уязвимости.
Статус проблемы с фонтами освещён в разделе 3.5. Cross-Origin Identifier Unlinkability.
Они там пишут, что если, якобы, есть кракозябры, то шрифты читабельны. Я кракозябр не
вижу. Что не так?
Написать они могут всё, что угодно, но, раз это демонстрационный сайт, почему бы не заставить мой браузер загрузить эти шрифты, чтобы показать их мне? Или что, загрузка шрифтов будет работать как куки по функционалу, до первого рестарта браузера? И заставить "загружать шрифты" звучит фантастично — это только в винде так, или встроенный функционал браузера?
Спасибо, прочитал.
комментариев: 9796 документов: 488 редакций: 5664
Это проблема не только JS (и плагинов), но и особенностей обработки CSS.
Неее, статус проблемы с фонтами освещён в разделе 3.6. Cross-Origin Fingerprinting Unlinkability:
При этом у меня в about:config нет параметров browser.display.max_font_attempts и browser.display.max_font_count
:-o