Deanonymisierung durch Schriften

Wenn mal was nicht funktioniert...
hannon
Posts: 64
Joined: Wed Dec 05, 2012 22:07

Deanonymisierung durch Schriften

Post by hannon » Thu Oct 08, 2015 9:50

Guten Tag,

unter Firefox 41.01 fällt mir auf, dass auf der Testseite bei Freischaltung von Javascript bei mir eine Reihe Schriften angezeigt werden, was mit *mittel* bewertet wird, obwohl:

1. browser.display.use document_fonts auf 0 gesetzt ist.
2. In den Einstellungen von FF unter Inhalt „Seiten das Verwenden von eigenen statt der oben gewählten Schriftarten erlauben“ deaktiviert ist.


Ich habe nochmal in das Privacy Handbuch von Cane geschaut. Ein Teil der Empfehlungen darin lassen sich jetzt nicht mehr umsetzen.
Ich kann zwar die Schrift unter proportional noch auf „Sans Serif“ einstellen, die weiteren von Cane empfohlenen Einstellungen auf „Liberation Sans“ bzw. „monospace“ kann ich in den Optionen nicht mehr finden, obwohl auf dem Rechner z.B. Liberation Sans installiert ist.

Hat jemand Hinweise? Passt das aktuelle JDF-Profil 0.6.7.1 nicht zu FF 41.01 und muss aktualisiert werden?
Warum umgeht FF die o.g. Einstellungen und zeigt die Schriften?

@ Cane: Ist evtl. eine Aktualisierung des Privacy Handbuches angedacht/möglich?

Vielen Dank für weitere Hinweise.

cane

Re: Deanonymisierung durch Schriften

Post by cane » Thu Oct 08, 2015 12:58

Im Dialog für die Einstellung der Schriften muss man für "Proportional" den Type "Sans Serif" auswählen, dann scheint es wieder zu funktionieren.

Screenshot im Privacy-Handbuch wurde aktualisiert. Das Thema "Schriftarten" wird aber gerade von einem anderen Autor überarbeitet, deshalb will ich nicht viel ändern.

hannon
Posts: 64
Joined: Wed Dec 05, 2012 22:07

Re: Deanonymisierung durch Schriften

Post by hannon » Fri Oct 09, 2015 19:25

Vielen Dank Cane für die Antwort.

Leider funktioniert der Tipp mit der Einstellung auf *Sans Serif* unter *Proportional* bei mir nicht als Workaround.
Nach wie vor werden zu viele Schriften erkannt.
Wie schon gefragt, ist das evtl. ein Problem von FF 41.01 mit dem derzeitigen JDF-Profil?
Haben das evtl. auch andere hier im Forum beobachtet?
Gibt es noch einen anderen Lösungsansatz oder muss ich auf ein JDF-Profil Update warten?
Aber warum wird wie oben von mir aufgeführt die unter *browser.display.use_document_fonts* Einstellung auf *integer* *0* sozusagen umgangen?

Vielen Dank für weitere Hinweise.

nichtbekannt
Posts: 670
Joined: Fri Nov 05, 2010 17:55

Re: Deanonymisierung durch Schriften

Post by nichtbekannt » Fri Oct 09, 2015 20:31

@hannon
habe das gleiche Problem.
Gibt noch weitere Probleme
Kann ich derzeit eine Seite die bisher immer funktionierte nicht mehr aufrufen. Scheint auch mit dem Update auf 41.0.1 zusammenzuhängen. Werde von einem Uniserver auf die Seite vom BSIumgeleitet wegen, Anfrage hat gegen interne Regeln der Zugriffskontrolle verstoßen.

cane

Re: Deanonymisierung durch Schriften

Post by cane » Sat Oct 10, 2015 9:16

Nach wie vor werden zu viele Schriften erkannt.
Das ist ein bisschen unspezifisch für einen Bugreport.

Wie viel Schriften werden erkannt? Werden 4 Schriften erkannt statt 3, dann würde ich das nicht als Problem sehen (Die TorBrowser-Devs akzeptieren bis zu 10 Schriften als ok). Oder werden alle Schriften korrekt ausgelesen, also 52, 65, 74.... Dann würde man den Fehler ganz woanders suchen müssen.

j.walker
Posts: 9
Joined: Sun Aug 31, 2014 11:44

Re: Deanonymisierung durch Schriften

Post by j.walker » Sat Oct 10, 2015 10:27

hannon wrote:Haben das evtl. auch andere hier im Forum beobachtet?
Hatte das auch. Bei mir wurden 8 Schriften erkannt - also längst nicht alle. Es handelte sich dabei allerdings um eine Schriftart für Koreanisch. Ich habe diese und andere, die ich ohnehin nicht nutzen würde, aus meinem System gelöscht. Anschließend wurden tatsächlich wieder nur 3 erkannt...

disposab
Posts: 68
Joined: Tue Jun 18, 2013 21:39

Re: Deanonymisierung durch Schriften

Post by disposab » Sun Oct 11, 2015 6:31

nichtbekannt wrote:Scheint auch mit dem Update auf 41.0.1 zusammenzuhängen.
Anscheinend bzw. sehr wahrscheinlich schon: wird Jdf-portable mit ff-esr 38.3.0 als Grundlage genutzt, sind 2 Schriftarten auslesbar (Js on); tauscht man die Grundlage gg. ff 41.01 aus, sinds 8 Schriftarten.
=> Jdf portable mit aktuellem esr benutzen.

- (a-config) gfx.downloadable_fonts.enabled war auf true (umgestellt)
- layout.css.font-loading-api.enabled auf false
- browser.display.use_document_fonts war auf 0
Ergebnis nach Umstellung gleich.

Verhinderung nachladen "Schriftarten über @font-face CSS Attribut" (lt. anon-test) geht wie?

hannon
Posts: 64
Joined: Wed Dec 05, 2012 22:07

Re: Deanonymisierung durch Schriften

Post by hannon » Mon Oct 12, 2015 22:27

@ Cane:
Sorry, ja die Anzahl der erkannten Schriften hätte ich nennen sollen. Auch bei mir waren es 8 wie von J.Walker oben berichtet.
Melde mich etwas verspätet, weil ich noch probiert und eine simple wie für mich überraschende Lösung gefunden habe, die zumindest bei mir bisher funktioniert hat:
Wenn ich in den Einstellungen von JDF die Standardschrift von Arial auf irgendeine andere Schriftart ändere, dann ist das Problem gelöst. Das Kästchen "Schriftarten" wechselt nach weiß und die Beurteilung wird "gut".
O.K., ich habe nicht alle Schriftarten getestet sondern ca. 6, dabei z.B. Courier aber auch Exoten wie Abadi. Überall ein gutes Ergebnis. Das Problem scheint Arial zu sein, da hierbei offensichtlich die empfohlene Einstellung auf "0" bei browser.display.use_document_fonts "umgangen" wird.
Das bleibt jetzt die Frage an die Experten hier im Forum, wieso das so ist.
Bin gespannt auf weitere Hinweise.

HDTu
Posts: 82
Joined: Fri Jan 25, 2013 23:00

Re: Deanonymisierung durch Schriften

Post by HDTu » Sun Oct 18, 2015 8:45

Hallo zusammen,
wo finde ich denn, den "Dialog für die Einstellung der Schriften "?

Und Warum kann das allein ausreichen, um deanonymisiert zu werden?

b5hgea3zqh
Posts: 9
Joined: Sat Oct 17, 2015 20:47

Re: Deanonymisierung durch Schriften

Post by b5hgea3zqh » Sun Oct 18, 2015 21:14

Das bleibt jetzt die Frage an die Experten hier im Forum, wieso das so ist.
Muss irgendwie mit der neuen font-loading-api zusammenhängen (FF41).

Lösung: Firefox 38.x ESR mit JonDoFox verwenden, dringend empfohlen, siehe: https://www.privacy-handbuch.de/handbuch_23b.htm
Und Warum kann das allein ausreichen, um deanonymisiert zu werden?
Die Anzahl der installierten Schriften wird als ein Merkmal im Browser Fingerprint verwendet. Wenn dein Fingerprint einmalig -> dann leicht wiedererkennbar. Wenn leicht wiedererkennbar und irgendwo mal ein Login - > dann deanonymisert.

Alle JonDoFox Nutzer sollten den gleichen Browser Fingerprint haben -> dann Anonymitätsgruppe.

Post Reply