id: Гость   вход   регистрация
текущее время 09:46 20/04/2024
Автор темы: Гость, тема открыта 10/04/2012 19:11 Печать
Категории: софт, анонимность, инфобезопасность, уязвимости, атаки, побочные каналы, модель угрозы
https://www.pgpru.com/Форум/АнонимностьВИнтернет/УстановкаНестандартныхШрифтовМожетНарушитьАнонимность
создать
просмотр
ссылки

Установка нестандартных шрифтов может нарушить анонимность


Не успел ответить там, поэтому и открыл тему.
Напомню:


— Гость (09/04/2012 12:53) <#>

TBB лучше использовать как есть, без настройки

Вот как есть, без настройки, он светит наружу все установленные шрифты, даже без включённого JavaScript, и если у вас на компьютере нестандартный набор шрифтов (а есть программы, что при инсталляции устанавливают дополнительные шрифты не спрашивая и не уведомляя) что делает вас весьма уникальным. См. http://ip-check.info


Если же зайти в about:config и установить browser.display.use_document_fonts в 0, то наружу будут светиться только три стандартных шрифта независимо от того, какие у вас установлены дополнительно. Вам решать, что безопаснее.


— Гость (10/04/2012 01:19) <#>

Не подтверждаю. Захожу c TB на вами рекомендованный сайт с отключенным JS и вижу:

параметрзначениерезультат
FontsDo you see strange symbols here? If yes, your fonts are readable!good

Где посмотреть список моих шрифтов в такой конфигурации?


Да, действительно, если в NoScript выбрать Forbid http://ip-check.info то каритнка будет такая-же, как и у вас, одако, если навести курсор на слово Fonts в этой таблице, то во всплывающей подсказке можно прочитать:

Caution: Your fonts might even be read without JavaScript! This is possible, as a website may force loading web fonts if the respective font is not installed on your local computer.


 
Комментарии
— unknown (10/04/2012 20:37, исправлен 10/04/2012 20:37)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Набежавшие тролли, так усиленно пытающиеся скомпрометировать тор в глазах неопытных хомячков, видимо неосилили The Design and Implementation of the Tor Browser [DRAFT]. Возможно тролли почерпнут там ещё массу идей о том как выдать давно известные ограничения за фатальные уязвимости.


Статус проблемы с фонтами освещён в разделе 3.5. Cross-Origin Identifier Unlinkability.

— Гость (11/04/2012 09:10)   <#>
если в NoScript выбрать Forbid http://ip-check.info то каритнка будет такая-же, как и у вас
Но я-то ничего специально не выбирал! При чём здесь NoScript вообще? У меня JS отключен в настройках FF, совсем, поэтому NoScript банально ни на что не влияет (я ошибаюсь?).

одако, если навести курсор на слово Fonts в этой таблице, то во всплывающей подсказке можно прочитать
Они там пишут, что если, якобы, есть кракозябры, то шрифты читабельны. Я кракозябр не
вижу. Что не так?

Your fonts might even be read without JavaScript! This is possible, as a website may force loading web fonts if the respective font is not installed on your local computer.
Написать они могут всё, что угодно, но, раз это демонстрационный сайт, почему бы не заставить мой браузер загрузить эти шрифты, чтобы показать их мне? Или что, загрузка шрифтов будет работать как куки по функционалу, до первого рестарта браузера? И заставить "загружать шрифты" звучит фантастично — это только в винде так, или встроенный функционал браузера?

Статус проблемы с фонтами освещён в разделе 3.5. Cross-Origin Identifier Unlinkability.
Спасибо, прочитал.
— unknown (11/04/2012 10:37)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Это проблема не только JS (и плагинов), но и особенностей обработки CSS.
— Гость (12/04/2012 03:03)   <#>
Статус проблемы с фонтами освещён в разделе 3.5. Cross-Origin Identifier Unlinkability.

Неее, статус проблемы с фонтами освещён в разделе 3.6. Cross-Origin Fingerprinting Unlinkability:
Implementation Status: We disable plugins, which prevents font enumeration. Additionally, we limit both the number of font queries from CSS, as well as the total number of fonts that can be used in a document by patching Firefox. We create two prefs, browser.display.max_font_attempts and browser.display.max_font_count for this purpose. Once these limits are reached, the browser behaves as if browser.display.use_document_fonts was reached. We are still working to determine optimal values for these prefs.

При этом у меня в about:config нет параметров browser.display.max_font_attempts и browser.display.max_font_count
:-o
— Гость (16/04/2012 05:53)   <#>
у меня в about:config нет параметров browser.display.max_font_attempts и browser.display.max_font_count
/comment50460.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3