Anonymous
09/06/2018 (Thu) 01:08:06
No.357
del
Итак, разработчики Tor Browser Bundle мотивируют решение о неспуфинге ОС в юзерагенте тем, что продвинутые методы фингерпринтинга выдадут ОС в любом случае. И вместо того, чтобы бороться с этими методами (вот почему бы не добавить в зависимости майкрософтовские шрифты, например?), они сочли лучшим решением выдавать платформу всем подряд, даже без JS. И самое дерьмовое, что линуксоюзеры пострадали в любом случае и не смогут сделать с повышенной идентификабельностью практически, смотрите сами:
1. Tor Browser 7.x on Linux, сайт использующий простые методы фингерпринтинга (HTTP header + window.navigator): отпечаток не отличим от Windows-юзера торбраузера, высокий anon set (~85% desktop market share)
2. Tor Browser 7.x on Linux, сайт использующий продвинутые методы фингерпринтинга (шрифты, параметры TCP, etc.): отпечаток выдает Linux-пользователя торбраузера, низкий anon set (~2% desktop market share), но по-прежнему не уникальный отпечаток.
3. Tor Browser 8.x on Linux, простой фингерпринтинг: даже без включения скриптов мы сразу же идентифицируем себя как линукс-юзера торбраузера с низким anon set. Впрочем, установив сторонний аддон, подменяющий хедер и navigator, мы по-прежнему можем раствориться в толпе виндоблядков с гидры и сруниона, НО:
4. Tor Browser 8.x on Linux, продвинутый фингерпринтинг:
Всё то же самое, что и в прошлом случае, но если линуксоюзер попробует защититься от повышенной узнаваемости спуфингом UA сторонними средствами, то в этом случае он создаст себе практически уникальный отпечаток линуксоюзера торбраузера, спуфающего UA.
То есть или оставляем все как есть и наслаждаемся сниженной в 50 раз уникальностью, или ставим мокрописьки-спуферы, рискуя нарваться на продвинутый зонд и получить уже полноценный ID, или устанавливаем TBB в виртуалку с виндой, получая все риски использования проприетарной ОС, или ставим спуфер и никогда не включаем скрипты, что делает неюзабельным огромное количество ресурсов, где может потребоваться быть аноньчиком. Иначе, как целенаправленным вредительством я это назвать не могу, учитывая что большинство тороюзеров никогда не узнает о своем новом UA, доверяя разработчикам.