@Pantalones
> Oh, es un grito, porque una vez que la gente lo ve, dirán “vaca santa, esto es malvado”.
Espero que la gente se dé cuenta de que, de hecho, mantiene un guión de reducción de la privacidad. Más sobre eso a continuación.
> No es cierto. Carece gravemente de conocimientos reales sobre huellas dactilares y ni siquiera sabe cómo funcionan la entropía y la vinculabilidad.
Usted mismo carece gravemente de conocimientos y se lo voy a demostrar; sin embargo, contrariamente a usted, no tengo que tergiversar lo que se dijo para lograr ese objetivo.
> si no se hizo nada, es muy probable que sea único: por ejemplo, fuentes, métricas de pantalla, lienzo, webgl
No se puede generalizar la singularidad de los valores reales de esa manera. Si uso Firefox en una PC con Windows 10, solo las fuentes predeterminadas (o lo que venga con MS Office) instaladas, el procesador popular, la resolución de pantalla popular, la GPU popular, etc., la singularidad de estos valores, los valores reales, quiero decir, no es demasiado bueno. Pero sí, si, por ejemplo, WebGL está habilitado, se filtrarán valores únicos.
> pero hacemos algo (ja, ja, dije «hazlo»), y eso es usar la RFP incorporada
Sí, pero ¿qué significa realmente ese «hacer» para los usuarios al final? Manténganse al tanto.
> Además, webgl (y audio web) está deshabilitado ya que es de alta entropía y aún no está cubierto por RFP: es decir, es mejor eliminarlo hasta que RFP lo maneje, ya que es demasiado identificativo
Y ahí está tu error: cuando desactivas WebGL, puedo detectarlo de inmediato. No mucha gente se molesta en desactivarlo, por lo que sus usuarios se destacan de manera extrema. Tor lo desactiva por defecto, pero puedo detectar a nivel de red que no estás usando Tor sin mucha dificultad. Tor hacerlo de forma predeterminada significa que todos (!) Los usuarios de Tor devuelven valores vacíos aquí, mientras que los usuarios de Firefox deberían devolver algún valor. Si no devuelve nada en Firefox (y como dije, puedo diferenciar entre Firefox y Tor a nivel de red), es único como puede ser. «Nada devuelto» se convierte en parte de su huella digital, el uso de Firefox es parte de su huella digital, y ambos juntos en una huella digital es extremadamente único.
Deje de intentar justificar la existencia del guión de reducción de privacidad, le he explicado, a pesar de que supuestamente no tengo idea sobre las huellas digitales, que es una idea terrible. Alguien que usa Firefox en hardware popular sin ninguna protección de huellas digitales, devolviendo así los valores reales, es (irónicamente) probablemente mucho menos único que los pocos usuarios de su script.
> no recomendamos extensiones anti-FPing (…) las API de extensión web son muy deficientes y revelan que están mintiendo y, a menudo, se pueden omitir a través de otros métodos para revelar los valores reales (más aún en chromium: Firefox viene con una función de exportación)
Bien, pero poco importa. Al alterar la configuración predeterminada (de alguna manera imitando a Tor, sin tener la huella digital de la red de Tor), ya está haciendo que sus usuarios sean altamente únicos, extensiones anti-huellas digitales inútiles solo lo empeorarían.
> esas mismas reglas se aplicarían a cualquier navegador: incluido Brave
¿Quiere decir que cualquier navegador, incluido Brave, se pone en contacto y tiene que lidiar con las huellas digitales? Sí, ni siquiera lo niego. Sin embargo, en Brave no tengo que hacerme más único modificando la configuración predeterminada, por lo que no es directamente comparable a lo que haces (afortunadamente).
> El efecto general es limitar severamente la entropía con un pequeño conjunto de resultados plausibles
No devolver nada desactivando algunos componentes como WebGL no es «plausible», es inverosímil. Firefox en la configuración predeterminada devolvería un valor.
> (que naturalmente coincide con Tor Browser, lo que ayuda un poco)
Nuevamente, puedo detectar que no está usando el navegador Tor (como debería) a nivel de red. Probar eso es fácil. Debido a que puedo diferenciar entre Firefox y Tor, sus usuarios siguen siendo únicos. El hecho de que imiten el navegador Tor sin usar el navegador Tor es detectable, y el subconjunto de personas que lo hacen es extremadamente pequeño.
Además, si su secuencia de comandos intenta lograr lo que Tor ya hace de forma predeterminada, ¿por qué tiene que existir como una entidad separada, sin siquiera lograr el objetivo previsto (porque en efecto hace que los usuarios sean más únicos, no menos)? Supongo que es un tema para otra mañana desperdiciada.
> y reducir la superficie de ataque = huella dactilar reducida.
No está reduciendo la superficie de ataque, señale por si acaso:
Firefox predeterminado con WebGL habilitado: devuelve algún valor para esto.
Firefox modificado con su user.js, WebGL desactivado: no devuelve nada aquí.
No está “reduciendo” la superficie de ataque al no informar nada aquí, WebGL todavía se está verificando, se está registrando que sus usuarios no devuelven nada como resultado para WebGL y los hace únicos en lo que respecta a esta métrica. Si WebGL está deshabilitado, los scripts no dejan de comprobar mágicamente su valor (este sería el único caso en el que se reduce la «superficie de ataque»); lo único que sucede es que no se devuelve ningún valor, lo cual es muy único y que el resultado se registra igual que cualquier otro valor. O para hacerlo aún más fácil de entender: 0 (deshabilitado) es un valor, pero también lo son 1, 2, 3… Usando números aquí para ilustrar mi punto. Al informar «0» o «deshabilitado», no está reduciendo nada.
> Si afirma lo contrario, entonces digo BS, porque no tiene ningún dato del mundo real que lo respalde.
Tengo la opinión negativa del muy respetado proyecto Whonix hacia los scripts de user.js aleatorios para Firefox:
https://madaidans-insecurities.github.io/browser-tracking.html#configuring-the-browser
Ellos entienden lo que no entiendes: que no devolver nada es en sí mismo un valor que se está registrando de todos modos, y que esto hace que tus usuarios sean más únicos (porque casi nadie, excepto Tor, lo cual puedo detectar que tú no use – deshabilita, por ejemplo, WebGL).
> y las pruebas del mundo real han demostrado repetidamente que el anti-FPing de TB es sólido (para usuarios de Tor como conjunto)
1) Tus usuarios no están en el grupo de usuarios de Tor, puedo detectar que no usan Tor a nivel de red.
2) Tor hace todo esto de forma predeterminada, por ejemplo, para WebGL * todos * los usuarios de Tor no devolverían nada, mientras que Firefox debería devolver algo y la cantidad de personas que no devolverían nada para Firefox (después de haber alterado los valores predeterminados) es minúscula.
No captas ambas cosas y la relación que tienen entre sí.
> en Brave esto no sería nada difícil, ya que carece de paridad en varias docenas de métricas que cubre la RFP
Ya sabes, si bien Brave puede filtrar algo si un script profundiza lo suficiente (la mayoría no lo hace, pero en teoría estoy de acuerdo), aún estoy mejor con eso que si estuviera ejecutando una configuración de Firefox altamente única, que sería el resultado de aplicar su guión.
> Pero al menos en Firefox, sé con certeza que el daño principal que se puede hacer se ha mitigado un poco: está prácticamente garantizado que las huellas dactilares se han reducido (no es difícil cuando se está bajando de casi con certeza único).
No ha «mitigado» nada aquí; todo lo que ha logrado es hacer que sus usuarios sean extremadamente únicos, mucho más únicos que si solo informaran los valores reales en hardware popular.
> Deshabilitar una API no es bueno: por ejemplo, webgl, pero la entropía de datos es demasiado alta.
La filtración de valores reales es mala, pero lo que también es malo es que no devuelve nada, nada menos que en Firefox, que debería devolver algo de forma predeterminada, porque eso también es muy único y se registra como tal. ¿Por qué no comprendes esto?
> Valiente casi seguro, ya que le falta tanta paridad
Brave puede perder contra Tor (si los usuarios se adhieren a las condiciones de laboratorio y no cambian nada en Tor), pero está 100% garantizado que seguirá siendo superior a una configuración de Firefox altamente única, porque eso es lo que sus usuarios son, altamente únicos.
Su publicación contenía una gran cantidad de falacias y expone su falta de comprensión de los conceptos básicos. Crees que al deshabilitar cosas, estás reduciendo la superficie de ataque, mientras que en realidad solo estás haciendo que tus usuarios sean más únicos porque «nada devuelto» es también un valor que se está registrando y sería único para Firefox – no sería único para Tor, pero como dije, puedo detectar fácilmente si alguien usa o no la red Tor a nivel de red. ¿Podemos pausar esta discusión hasta que comprenda que deshabilitar algunas cosas hace que sus usuarios sean más únicos en lugar de menos? Si es así, te bendiga. Si no, aquí vamos de nuevo.