web-dev-qa-db-fra.com

Comment pouvez-vous changer les "polices système" dans Firefox (pour augmenter votre propre sécurité et confidentialité)?

Je sais qu'il y avait des questions précédentes (similaires) à cela, je les ai toutes lues et j'ai également essayé mais rien n'a vraiment aidé (peut-être parce que c'était des informations obsolètes).

Ce que j'ai fait, c'est que je suis allé sur: https://panopticlick.eff.org pour voir mon empreinte numérique sur Internet. J'ai réalisé que la principale raison pour laquelle je suis identifié comme "unique" est l'information fournie par les "polices système". Le site dit que seulement 1 des 160000 navigateurs ont les mêmes polices que moi, ce qui est vraiment mauvais.

Ma question, existe-t-il réellement un moyen de réduire/supprimer/modifier les polices système dans Firefox?

Je suis allé sur cette page en utilisant le navigateur Tor et j'ai réalisé qu'il avait beaucoup moins de polices système que moi sur Firefox, c'est pourquoi il est moins unique.

Ce que j'ai déjà essayé et fait n'a pas fonctionné (mais peut-être encore bon pour augmenter votre sécurité et votre anonymat):

  • désactiver le flash

  • allez sur about: config et définissez "plugins.enumerable_names" sur une chaîne vide

  • sur votre ordinateur, recherchez votre dossier flash, modifiez mms.cfg et ajoutez ceci: DisableDeviceFontEnumeration = 1

D'autres idées? C'est vraiment frustrant, je sais que nous ne pouvons pas protéger pleinement notre vie privée mais nous pouvons sûrement au moins rendre les choses un peu plus difficiles pour les autres.

Modifier: Grâce à WhiteWinterWolf: Sur Firefox, vous pouvez supprimer la plupart des polices système (et ainsi réduire l'empreinte digitale ) en allant dans la barre des tâches, écrivez: "about: config". Ensuite, vous tapez dans la recherche: "browser.display.use_document_fonts" et vous modifiez cela et définissez-le à 0 ou laissez-le simplement vide. J'aime toujours connaître une autre manière où vous pouvez supprimer des polices spécifiques par votre propre décision ou même en ajouter (sans les supprimer de votre propre ordinateur).

Edit: Voici mon évaluation (je n'ai pas utilisé Tor, je n'ai pas utilisé proxy!), a essayé toute la journée en utilisant les réponses fournies ici et c'est le meilleur résultat jusqu'à présent (je ne suis toujours pas satisfait du résultat mais j'ai pensé que je vais juste le partager avec vous. Réduit d'environ 1: 175000 à 1: 21000 n'est pas mauvais en fait!)

enter image description here

networkprivacyweb-browserjavascriptfirefox
39
tenepolis

Sur Firefox, vous voudrez peut-être essayer l'addon Random Agent Spoofer .

À mon humble avis, ce module est mal nommé, probablement pour des raisons historiques, car la fonction d'usurpation de l'agent est complètement facultative et peut-être même pas la plus intéressante.

Ce module doit être simplement considéré comme un module anti-suivi, rassemblant à la fois des fonctionnalités spécifiques et des paramètres liés au suivi de Firefox (y compris les paramètres dits "avancés", comme la désactivation de WebRTC). La plupart des critères de suivi Panopticlick se trouvent dans ses paramètres.

La liste des polices disponibles peut être restreinte en définissant Options> Options standard> Limiter les polices détectables. La définition de cette option peut cependant légèrement modifier l'apparence du site Web, mais cela ne devrait pas avoir d'impact majeur sur la convivialité.

Pendant que vous êtes ici, je recommande également d'essayer de désactiver la prise en charge du canevas ( Options> Options d'injection de script> Désactiver le support du canevas ), car cela devrait considérablement améliorer votre score Panopticlick. J'utilise cela depuis plusieurs mois sans remarquer aucun impact de ce paramètre, mais YMMV.

En ce qui concerne la véritable fonctionnalité d'usurpation d'agent, je ne suis pas très satisfait de la façon dont cela a été mis en œuvre par ce module. Si vous êtes sous Windows, je vous recommande de laisser cette option désactivée. Si vous êtes sur un autre système d'exploitation, vous voudrez peut-être essayer de vous montrer comme la même version de Firefox mais sur Windows (malheureusement, vous devrez sélectionner manuellement la version et la modifier manuellement après les mises à jour, c'est précisément pourquoi je pense que cette fonctionnalité pourrait être améliorée ).

Je ne recommande pas d'utiliser des agents utilisateurs à changement aléatoire (ou pire encore des tailles d'écran à changement aléatoire) ou de simuler un navigateur différent de Firefox (tant que le suivi est concerné, cela peut être utile à d'autres fins). Cela peut être contre-productif: l'objectif de l'anti-tracking n'est pas de vous faire changer aléatoirement, car cela vous fera vous démarquer, l'objectif est au contraire de se fondre en ressemblant à la foule.

N'hésitez pas à vous fier à la ventilation de Panopticlick (le lien Afficher les résultats complets pour les empreintes digitales apparaissant à la fin de l'analyse) pour déterminer quelle technique permet de vous identifier le plus uniquement. Les techniques les plus efficaces seront celles que vous voudrez peut-être aborder en premier, jusqu'à ce que vous atteigniez un niveau de confidentialité raisonnable.

Pendant que vous jouez avec ce module, sachez que certains paramètres peuvent nuire à la convivialité ou même casser certains sites Web. Rien à craindre, mais gardez cela à l'esprit lorsque vous rencontrez des problèmes lors de la navigation: vérifiez vos propres paramètres avant de blâmer le développeur du site;)!

Remarque:

Veuillez noter que j'ai utilisé le terme niveau de confidentialité raisonnable, et rien de tel qu'une confidentialité "parfaite" ou "complète": il n'y a aucun moyen de être parfaitement introuvable.

Sur un navigateur standard, vous voyez généralement dans la colonne "un navigateur sur x a cette valeur" de Panopticlick résultat détaille des valeurs atteignant (des dizaines de) milliers, ce qui signifie que la technique correspondante seule permet statistiquement pour identifier votre ordinateur de manière unique dans de grands ensembles: ce sont les valeurs que vous devez éviter car elles ne sont fondamentalement que des bonbons pour les trackers.

Étant donné le nombre de matériel, de systèmes d'exploitation, de navigateurs, de paramètres et de versions différents, vous ne pouvez pas raisonnablement vous attendre à des valeurs inférieures à quelques dizaines.

Si la raison derrière cela n'est pas claire pour vous: imaginez que vous êtes avec deux autres utilisateurs, un utilisateur Mac et un utilisateur Windows, quel système devez-vous emprunter pour qu'un moteur de suivi puisse vous confondre avec les deux?

C'est tout simplement impossible: ils sont différents, vous ne pouvez pas être égaux aux deux. Disons que vous êtes un utilisateur Linux, un troisième type de système d'exploitation, mais que vous vous présentez comme tel, montrez-vous en tant qu'utilisateur Windows: un tracker pourra toujours vous distinguer de l'utilisateur Mac (par conséquent, les informations d'identification ne seront jamais nulles), mais il ne pourra pas vous distinguer (en utilisant cette technique) de l'utilisateur Windows (d'où une valeur inférieure à celle si vous vous présentiez comme la seule machine Linux dans cet ensemble de trois).

Plus il y a de diversité, plus votre navigateur devient identifiable sans aucune chance de devenir "comme tout le monde". C'est pourquoi sur le réseau Tor, il est recommandé de ne pas modifier les paramètres du navigateur Tor, afin de maintenir cette diversité aussi faible que possible et donc de rendre le suivi aussi difficile que possible.

17
WhiteWinterWolf

Les polices installées sur un système (et donc accessibles au navigateur) sont une propriété du système et non du navigateur. Et je suis presque sûr que vous n'avez pas besoin de flash pour savoir si une police spécifique est installée ou non, c'est-à-dire que du CSS et du JavaScript suffisent probablement:

  • Ayez du texte avec la police définie sur font1 et la police alternative2 qui est très différente de font1.
  • Avoir le même texte avec la police définie sur font2
  • Comparez la longueur en pixels du texte avec JavaScript: s'ils sont identiques, alors font1 n'est probablement pas installé.

C'est vraiment frustrant, je sais que nous ne pouvons pas protéger pleinement notre vie privée ...

Il existe de nombreuses façons de suivre un utilisateur. Bien que celui-ci puisse probablement être désactivé en désactivant tout le contenu actif (JavaScript, Flash ...), d'autres ont besoin de vous pour désactiver la mise en cache (c'est-à-dire suivi Etag ), etc. vous pouvez être suivi voir Analyse technique des mécanismes d'identification des clients .

... mais nous pouvons sûrement au moins rendre les choses un peu plus difficiles pour les autres.

Les techniques nécessaires pour lutter contre le suivi ont souvent plus d'impact sur l'utilisateur que sur celui qui effectue le suivi. Sauf si la collecte de ces informations est interdite par la loi, l'utilisateur est généralement le perdant.

8
Steffen Ullrich

Sur un système Windows, vous pouvez "masquer" les polices à l'aide du panneau de configuration des polices situé sous les paramètres Apparence et personnalisation. Windows masque normalement les polices qui ne correspondent pas à la langue de votre clavier, mais vous pouvez choisir de masquer ou d'exposer les polices de votre choix. Une fois masqué, votre navigateur ne peut plus les énumérer.

Ensuite, la véritable astuce consiste à trouver une liste sûre de polices à exposer, afin que vous puissiez vous fondre dans une foule de navigateurs et de systèmes configurés de manière similaire. Vous souhaitez généralement émuler une installation de système d'exploitation par défaut sans aucune autre application. Je ne sais pas si l'EFF fournit ces données.

Alternativement, vous pouvez masquer/afficher de manière aléatoire certaines polices entre les sessions de navigation, de sorte que vous apparaitrez comme un système différent chaque fois que vous naviguerez. En général, je pense que les systèmes de suivi sont souvent programmés comme n'importe quel autre système automatisé: ils recherchent probablement une correspondance exacte, pas une correspondance étroite.

Le principal inconvénient est que lorsque vous masquez une police dans votre système, cette police disparaît de toutes vos applications. Si vous utilisez ce même système pour les illustrations, vous ne voudrez peut-être pas abandonner autant de polices.

6
John Deters

Depuis Firefox 52, il existe une fonctionnalité pour spécifier exactement quelles polices sont signalées

  1. Tapez about: config dans la barre d'adresse du navigateur et appuyez ensuite sur la touche Entrée.

  2. Confirmez que vous serez prudent si l'invite d'avertissement s'affiche.

  3. Cliquez avec le bouton droit dans le volet principal répertoriant toutes les préférences et sélectionnez Nouveau> Chaîne dans le menu contextuel.

  4. Nommez le nouveau paramètre font.system.whitelist.

  5. Ajoutez maintenant des polices à la liste blanche séparées par des virgules: Helvetica, Courier, Verdana est une valeur valide par exemple.

Le changement prend effet immédiatement. Vous pouvez remarquer que les polices changent dans l'interface utilisateur du navigateur ou sur les sites Web en réponse.

Cela a changé mes "bits d'informations d'identification" des polices système de 8,28 à 6,74 ... mais a rendu les tiques et les croix dans la page Web de panopticlick pas correctes.

Référence: https://www.ghacks.net/2016/12/28/firefox-52-better-font-fingerprinting-protection/

3
Greg Bell