如何在Chrome和Firefox中禁用读取“系统字体”和“浏览器插件详细信息”的权限

47

转到http://panopticlick.eff.org/,我可以看到Firefox和Chrome暴露了比我更喜欢的有关“系统字体”和“浏览器插件详细信息”的信息。

如何在Firefox和Chrome中禁用网页访问这些设置的权限?

firefox  google-chrome  privacy 
欧宾
source
1
对于系统字体,您必须禁用Flash。仍在寻找插件。
pkario 2011年
1
实际上,禁用Flash并不会减少它。它仍然可以用另一种方式枚举它们。
Synetech '16
如果有人因为担心隐私而在这里...您的IP地址足以识别您的家庭。您家中有多少用户拥有相同的屏幕分辨率,操作系统和浏览器?您已经很独特了:),因此您不必担心字体列表和插件...
xtrahelp.com 2016年

Answers:

22

有两个问题,但我正在回答字体列表问题:

使用mms.cfg系统范围的配置文件可以禁用Flash字体枚举。/etc/adobe/如果您使用的是Linux,则此文件应位于目录中。基本上,您只需要在文件中放入以下行:

DisableDeviceFontEnumeration = 1

有关更多详细信息,请参见《Adobe Flash Player管理指南》

使用此设置,Panopticlick和其他站点无法通过Flash获取字体列表。

请注意,如果已安装字体列表,则仍然可以通过Java使用。无论如何,摆脱Java是一个好主意。如果您使用了两个需要Java的站点,请使用其他浏览器实例和不同的用户配置文件,并且仅对这些站点启用Java。


source
2
在Windows 7计算机上,该文件位于C:\ Windows \ SysWOW64 \ Macromed \ Flash \ mms.cfg
MikeFHay 2013年
您只需在浏览器扩展中禁用Java和Flash。这对我有用。
Waqar Lim
1
非常感谢!这在我的PC(Windows XP)上有效。不过,Panopiclick仍将我视为独特的访客。通过我的插件列表...
Cerberus 2013年
同样适用于XP。FWIW,文件位置为C:\WINDOWS\system32\Macromed\Flash\mms.cfg
martineau
2
不适用于OS X上的Chrome。事实证明,Chrome使用了自己的Flash插件,该插件具有单独的配置文件。其路径为~/Library/Application Support/Google/Chrome/Default/Pepper Data/Shockwave Flash/System/mms.cfgSystem/mms.cfg如果不存在,则创建。)
2013年
6

免费的Chrome扩展程序RubberGlove通过隐藏数组条目来屏蔽插件和mime类型的枚举,其方式大致与Firefox和Internet Explorer可以/可以本地执行的方式相同。

您仍然需要将Chrome设置为“点击播放”插件,并在Chrome的隐私设置中禁用第三方Cookie。而且,正如研究中提到的那样,在足够多的人开始使用这种插件之前,您仍然可能会显示为唯一。

完全公开:我是作者。

此功能将来可能(也可能不会)集成到Electronic Frontier Foundation的Privacy Badger扩展中。无论如何,他们似乎很感兴趣。

杰森·克莱里(Jason S.Clary)
source
杰森(Jason),您是否有可能向RubberGlove添加白名单功能?很棒,但是破坏了几个站点。整天启用和禁用扩展有点烦人。google chrome插件网站和github开发页面上都对此有要求。
Costin Gușă
5

在Firefox 28中:

键入about:config地址栏

plugins.enumerable_names

将该条目设置为空。

访问https://panopticlick.eff.org/以确认不再列出插件。

姆利比
source
1
要使用白名单,请使用以下格式的plugins.enumerable_names:Java,QuickTime,Shockwave
Tilo
要恢复此方法,请将条目更改回*
matt。
3
我在FireFox 41中看不到此设置。有人知道它现在在哪里吗?
凯利·托马斯
它似乎暂时消失了。发现了这一点:bugzilla.mozilla.org/show_bug.cgi?id=757726
现代发布时间
3

Javascript具有检查已安装哪些插件的能力,通常用于在需要时提供“安装缺少的插件”消息。如果需要,可以禁用设置中的插件,并使用插件(例如Chrome的Javascript Blacklist或Firefox的Quick Java statusbar)禁用Javascript。

无臭虫
source
在哪里可以禁用设置中的插件?
martineau
从工具附加菜单。
NoBugs 2013年
3

Proxomitron绝对有可能。

Prox就像NoScript,HTTP LiveHeaders,RequestPolicy,CookieSafeguard,BetterPrivacy等一样,都放在一个程序中。它没有进一步开发,但是仍然可以保证我没有其他工具可以做到的隐私。

Proxomitron是通用的Web过滤器。来自他们网站的信息:

该程序

对于尚未介绍的用户,请认识Proxomitron:一个免费的,高度灵活的,用户可配置的,小型但非常强大的本地HTTP Web过滤代理。为了更好地了解,请参阅我们的Proxomitron帮助文件的在线版本,以获取更全面的概述。

Proxomitron的当前(也是最后一个)版本是Naoko 4.5,其中有两个发行版,2003年5月发行一个,6月发行一个。尽管非常相似,但是两者之间有明显的区别,这两个程序的文档都未提及。这两个版本在“文件”部分中均可用。PI的重点将放在最新版本上,即六月发布。

作者

Scott R. Lemmon最初开发了Proxomitron供自己使用。然后,他决定将其发布给公众,并通过电子邮件和多个Proxomitron用户讨论组向用户公开。像他的程序一样,他的支持始终是免费的。

随着Naoko 4.5的发布,Scott停止了对该程序的所有进一步开发和支持,并将Proxomitron的官方主页从网络上撤了下来。我们尊重他继续前进的决定,并祝他一切顺利-毕竟,这是他始终如一的奉献精神。

可悲的是,一年后,斯科特去世了-但他的头脑和精神的光辉仍然存在。简而言之,Proxomitron是其创建者的反映:要了解Scott的程序。。。知道斯科特·莱蒙(Scott Lemmon)。

看看这个!有一个(有点)活跃的社区。

檐篷
source
哇,即使在Windows 7,Chrome等操作系统下,人们仍在使用Proxomitron。‽ ಠ_๏我想Scott确实在其中做得很好。我已经很久没有使用它了;我想我应该把它弄出来。
Synetech
2

从Firefox 17开始,您可以启用“点击播放”功能,该功能会自动停止Java和Flash加载。反过来,这会阻止发现很多(不是全部)信息。例如,停止Flash插件会阻止发现大多数字体。

要在Firefox中启用“ click_to_play”,请执行以下操作:

  • 必须在地址栏中输入“ about:config”
  • 搜索“ click_to_play”
  • 双击条目以将值从“ false”切换为“ true”
  • 关闭标签
  • 下次需要该插件时,系统会提示您启用该插件
伊恩
source
这实际上不是Flashblock插件在许多其他版本的Firefox中完成的工作吗?
martineau
这对我不起作用。
mlibby
2

最新的Firefox浏览器的解决方案是:

  • 使用随机代理Spoofer。它最近添加了一些选项来关闭插件枚举:https : //github.com/dillbyrne/random-agent-spoofer/issues/283

  • 或使用上面链接中Mechazawa注释中所示的用户脚本。您可以使用他的Greasemonkey或Tampermonkey脚本(firefox和chrome)来解决此问题,而无需进行任何扩展。

我可以确认,这在panopticlick测试中将插件显示为“未定义”。

光谱跳跃
source
2

字体指纹只是浏览器指纹的一小部分。如果要使浏览器保持正常运行,则几乎完全不可能完全阻止它。据说最好的通用指纹保护是在Tor浏览器中找到的。

在实际测试中,发现尝试阻止字体指纹实际上增加了计算机指纹的唯一性,因为大多数用户都不这样做。避免指纹识别的最佳方法是不做任何特别的事情,并与成千上万的其他用户进行融合。

防止字体指纹的第一步是测试您将采取的任何防御措施的有效性。https://browserleaks.com/fonts是一个很好的工具。对于一般指纹的唯一性的极佳工具是 https://panopticlick.eff.org/(我自己的浏览器上来为近45天内进行检测的199984中是唯一的),或者 我是否独特

为了保护Chrome,您可以采取以下措施:

  • 改为安装强化的Chromium版本
  • 使用扩展程序(我尚未测试其有效性):

在Firefox中提供保护

Mozilla目前正在研究Tor Uplift项目,该项目的目标是在Firefox中建立与Tor浏览器相同级别的抗指纹能力。该项目正在进行中,并在“ 安全性/指纹 ”一文中进行了描述 。

您可以尝试在Github ghacks-user.js中使用Firefox强化脚本 ,尽管据所有报道来看,它可能太多并且实际上损害了浏览。

至于附加组件,firefox-tweaks页面中维护了一系列有用的附加组件和其他建议 。

目前,我所知道的专门用于字体指纹识别的措施在 about:config settings中

  • 右键单击并选择New> String,创建一个新参数 font.system.whitelist,它将列出JavaScript将看到的字体。有效值的示例是Helvetica, Courier, Verdana。更改将立即生效。
    就我而言,这使我自己的字体指纹识别 从512种字体列表中的266种字体和238种唯一度量标准减少 到“仅” 28种字体和9种独特度量标准。(我不知道这将如何影响浏览。)

  • privacy.resistFingerprinting=true是一个常规开关,可在实施Tor提升项目时启用隐私保护措施。它可以分发统一的字体列表。Mozilla不建议启用它,因为它将破坏某些网站。

  • 通过更改以下值,禁用“允许网站使用自己的字体”和CSS字体加载API的选项:

    browser.display.use_document_fonts = 0
layout.css.font-loading-api.enabled = false
font.blacklist.underline_offset = (empty string)
gfx.downloadable_fonts.enabled = true
gfx.font_rendering.opentype_svg.enabled = false
gfx.font_rendering.graphite.enabled = false

    (这很可能会降低浏览速度。)

只是要说明一下,我已经看到了讨论的用于复杂字体指纹和绘图的方法,这些方法甚至可以识别显示卡和图形驱动程序。

我的观点:避免指纹是不可能的-字体不是全部。即使你:

  • 使用VPN
  • 从普通Windows虚拟机进行浏览
  • 不安装字体或其他软件
  • 安装使用最广泛的浏览器-Chrome,不带扩展程序
  • 在隐身模式下浏览会禁用所有cookie和扩展名

那么最有可能的是,这些独特的保护方法以及仍可在虚拟机中检测到的硬件元素,仍将构成唯一或几乎唯一的指纹。更不用说这种环境将很难使用。

有关某些已知指纹方法的讨论,请参阅以下文章:

哈里奇
source
1

尽管这是一个比较老的问题,但截至2017年,我们仍然非常关注浏览器泄漏的所有信息,因为这些信息用于指纹识别。我发现Spectraljump提到的Random Agent Spoofer(https://github.com/dillbyrne/random-agent-spoofer)碰到了头。

根据要求,它将防止:

  • 插件枚举
  • 不会公开安装在计算机上的字体(这是字体更改工具(例如FluxFonts)的更有效替代)

此外,它将提供一些选项来保护您免受:

  • 其他大多数指纹识别工具
  • 将允许您禁用webRTC,webGL,本地缓存等。

如果您添加了一个画布指纹随机化器(例如Canvas Defender),您将发现自己免受了在browserleaks.com和Panopticlick上可检测到的几乎所有事情的攻击。

最后,请确保使用具有DNS泄漏保护功能VPN来关闭环路。

另一种解决方案虽然较不方便,但它是将通用的Vanilla(最常见的OS,未安装自定义安装)VM用于所有浏览活动,并在每次会话后将其重置。

博士
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.