Tutorial Device fingerprint và nghệ thuật ẩn danh - P1

bỏ đi ae
 
Hãy xem xét các tình huống dưới đây
  • Anh X dùng 1 acc facebook phụ để like hình gái :popo_sexy_girl:, tránh vợ phát hiện. 1 ngày đẹp trời cả face phụ và face chính bay màu :popo_too_sad:. Cay cú, anh X dùng sim khác, ip khác, trình duyệt khác, tất cả mọi thứ đều khác để tạo thêm vài acc face like hình gái tiếp, đam mê mà :popo_shame:. Qua bữa sau đám acc đó lại tiếp tục bay màu, wdf, sau thằng facebook hay vậy? Nó làm như thế nào?
  • Anh Y là 1 mmo-er, mấy cái trò fake ip, useragent, browser đối với anh là chuyện nhỏ :popo_boss:. Nghĩ mình hoàn toàn vô hình trên internet, anh Y bắt đầu startup đi... scam trên mạng :popo_shame:. 1 ngày đẹp trời không nắng, hơn chục anh FBI ập vào xích anh Y như cán bộ xích Khá Bảnh trong khi anh Y còn chưa biết mình sai chỗ nào :popo_surrender:. Sao mấy anh FBI hay vậy?

Chắc hẳn khi chiến mmo, các bạn cũng sẽ có vài lần cay cú khi gặp trường hợp như anh X hoặc thắc mắc khi gặp những trường hợp như anh Y mà tìm nát google cũng không tìm được câu trả lời thoả đáng, nếu có thì cũng chỉ là những mảnh ghép khá mơ hồ rất khó để lắp ghép. Series "Device fingerprint và nghệ thuật ẩn danh" sẽ giúp bạn hiểu 1 phần về lĩnh vực này theo cách đơn giản nhất có thể, và tuyệt vời, nó được viết bằng tiếng Việt :popo_big_smile:

Trong nội bộ series này, tôi sẽ chỉ nói riêng về browser fingerprint, tức dấu vân tay thiết bị "được" website thu thập thông qua trình duyệt trên máy tính kèm những giải pháp để xử lý chúng. Series này phục vụ cho việc chống lại các website bẩn thu thập thông tin máy tính trái phép, hoàn toàn không ủng hộ việc cheat, fraud :popo_shame:. Sử dụng ra sao là do các bạn, tôi không chịu trách nhiệm :popo_shame: Do đây toàn là kiến thức lụm lặt của 1 anh coder hẻm, nếu có kiến thức nào sai bạn hãy comment lại phía dưới để mọi người cùng thảo luận, rất hoan nghênh :popo_sweet_kiss:.

I/ Giới thiệu về Device Fingerprint
- Device fingerprint hay machine fingerprint (trong nội bộ series này là browser fingerprint), là 1 chuỗi các thông tin về phần mềm lẫn phần cứng của thiết bị, được mã hoá (hash) lại rồi gửi về server của website, từ đó xác định danh tính người dùng, làm gì thì tuỳ mục đích của họ. Thông thường thì việc này nhắm vào 2 mục đích chính:
  • chống gian lận như xác định danh tính hacker, chống multi-accounts, bot traffic, chống gian lận tài chính...
  • xây dựng kịch bản thói quen người dùng để quảng cáo đúng đối tượng (facex, goox...)
- Các kỹ thuật thu thập thông tin này được giới thiệu lần đầu trong thập niên 90 thông qua javascript trên trình duyệt, sau đó càng ngày càng phát triển với rất nhiều kỹ thuật mới, thuật toán phức tạp hơn. Thậm chí ngày này có những website hoặc dịch vụ bên thứ 3 đã áp dụng cả AI vào việc này nhằm chống lại những người cố gắng fake những thông tin này.
- Device(browser) fingerprint có nguy hiểm không? Tất nhiên là có, nếu chỉ phục vụ mục đích chống gian lận thì nó cũng không ảnh hưởng gì lắm cho những người dùng cá nhân thông thường, nhưng khi nó được áp dụng 1 cách tràn lan như hiện tại thì nó quả thực là ác mộng. Danh tính cá nhân cũng như nhất cử nhất động của người dùng trên internet đều bị ghi lại, họ làm gì với đống thông tin đó có trời mà biết, người dùng bị thu thập thông tin ở thế bị động. Tất nhiên có nhiều website sẽ chèn 1 số thoả thuận được viết bé xíu như đầu kim, chèn trong 1 đống chữ trong phần TOS của họ, cái mà chả thằng điên nào ngồi đọc hết cả.

II/ Browser Fingerprint gồm những gì
- Rất nhiều, tuỳ website, tuỳ mục đích, tuỳ lòng hảo tâm mà họ sẽ thu thập nhiều hay ít thông tin. Tôi chỉ đề cập đến những thứ thường gặp nhất:
  • IP address + DNS leak, tất nhiên rồi, cái này cơ bản mà
  • Cookie, local storage
  • Các thông số trong navigator object của trình duyệt: useragent, screen resolution, plugins, mimetype, hardware concurrency, device memory, language...
  • Timezone (của cả máy và trình duyệt)
  • Webrtc (thu thập ip thật của người dùng)
  • Media devices (loa, headphone, camera...)
  • Browser history (lịch sử duyệt web)
  • Fonts (máy bạn cài những font nào và trình duyệt sử dụng chúng ra sao?)
  • JA3 Fingerprint (*)
  • Canvas fingerprint (*)
  • Webgl fingerprint (*)
  • domRect (*)
  • AudioContext (*)
  • Social media login (kiểm tra trình duyệt có login facebook, google, twitter... không?)
  • ....
(*): những kỹ thuật thu thập thông tin người dùng phức tạp, khó có thể diễn giải trong vài câu chữ, sẽ có bài riêng về những kỹ thuật này.

III/ Một số nhầm lẫn thông thường về Browser Fingerprint
- Trình duyệt có thể detect Mac Address? Câu trả lời là không, theo lý thuyết không thể thu thập thông tin Mac Address thông qua javascript trên trình duyệt 1 cách trực tiếp. Nhưng, vẫn sẽ có trick để có thể làm được điều này, ta sẽ bàn sau nếu có thời gian. Nhưng về cơ bản, theo những cách "trong sáng" thì câu trả lời là không! Các website sẽ không mạo hiểm để dùng những cách ngoài luồng để làm việc này. Vì thế bạn có fake mac address thì nó cũng chả có tác dụng gì.
- Dùng chế độ private browser (firefox) hoặc incognito (chrome) có ẩn danh không? Không, tiếp tục là 1 chữ không. Không như cookie và local storage (được xoá bỏ sau khi duyệt = chế độ ẩn danh), Browser Fingerprint vẫn gần như y chang như khi bạn xài chế độ trình duyệt thông thường. Có thể nói chế độ ẩn danh là tính năng "bịp" người dùng nhiều nhất của các gã khổng lồ trình duyệt. Vì thế đừng thắc mắc khi bạn dùng chế độ incognito để coi phim ơ kìa xong hôm sau lướt web đọc báo thấy 1 loạt quảng cáo đồ chơi người lớn, lol :popo_feel_good:
- Đổi useragent tương đương với việc thay đổi trình duyệt: sai hoàn toàn nhé, không phải cứ ưng useragent nào đổi useragent đó là sẽ có tác dụng, riêng về useragent sẽ được giải thích cặn kẽ trong bài sau.
....

Phần này viết như mứt, chữ không, 4.0 mà không có được tấm hình, chán phèo đúng không?
Chờ đi, còn tiếp, đang són....
chưa có P2 hả bác
 
Hãy xem xét các tình huống dưới đây
  • Anh X dùng 1 acc facebook phụ để like hình gái :popo_sexy_girl:, tránh vợ phát hiện. 1 ngày đẹp trời cả face phụ và face chính bay màu :popo_too_sad:. Cay cú, anh X dùng sim khác, ip khác, trình duyệt khác, tất cả mọi thứ đều khác để tạo thêm vài acc face like hình gái tiếp, đam mê mà :popo_shame:. Qua bữa sau đám acc đó lại tiếp tục bay màu, wdf, sau thằng facebook hay vậy? Nó làm như thế nào?
  • Anh Y là 1 mmo-er, mấy cái trò fake ip, useragent, browser đối với anh là chuyện nhỏ :popo_boss:. Nghĩ mình hoàn toàn vô hình trên internet, anh Y bắt đầu startup đi... scam trên mạng :popo_shame:. 1 ngày đẹp trời không nắng, hơn chục anh FBI ập vào xích anh Y như cán bộ xích Khá Bảnh trong khi anh Y còn chưa biết mình sai chỗ nào :popo_surrender:. Sao mấy anh FBI hay vậy?

Chắc hẳn khi chiến mmo, các bạn cũng sẽ có vài lần cay cú khi gặp trường hợp như anh X hoặc thắc mắc khi gặp những trường hợp như anh Y mà tìm nát google cũng không tìm được câu trả lời thoả đáng, nếu có thì cũng chỉ là những mảnh ghép khá mơ hồ rất khó để lắp ghép. Series "Device fingerprint và nghệ thuật ẩn danh" sẽ giúp bạn hiểu 1 phần về lĩnh vực này theo cách đơn giản nhất có thể, và tuyệt vời, nó được viết bằng tiếng Việt :popo_big_smile:

Trong nội bộ series này, tôi sẽ chỉ nói riêng về browser fingerprint, tức dấu vân tay thiết bị "được" website thu thập thông qua trình duyệt trên máy tính kèm những giải pháp để xử lý chúng. Series này phục vụ cho việc chống lại các website bẩn thu thập thông tin máy tính trái phép, hoàn toàn không ủng hộ việc cheat, fraud :popo_shame:. Sử dụng ra sao là do các bạn, tôi không chịu trách nhiệm :popo_shame: Do đây toàn là kiến thức lụm lặt của 1 anh coder hẻm, nếu có kiến thức nào sai bạn hãy comment lại phía dưới để mọi người cùng thảo luận, rất hoan nghênh :popo_sweet_kiss:.

I/ Giới thiệu về Device Fingerprint
- Device fingerprint hay machine fingerprint (trong nội bộ series này là browser fingerprint), là 1 chuỗi các thông tin về phần mềm lẫn phần cứng của thiết bị, được mã hoá (hash) lại rồi gửi về server của website, từ đó xác định danh tính người dùng, làm gì thì tuỳ mục đích của họ. Thông thường thì việc này nhắm vào 2 mục đích chính:
  • chống gian lận như xác định danh tính hacker, chống multi-accounts, bot traffic, chống gian lận tài chính...
  • xây dựng kịch bản thói quen người dùng để quảng cáo đúng đối tượng (facex, goox...)
- Các kỹ thuật thu thập thông tin này được giới thiệu lần đầu trong thập niên 90 thông qua javascript trên trình duyệt, sau đó càng ngày càng phát triển với rất nhiều kỹ thuật mới, thuật toán phức tạp hơn. Thậm chí ngày này có những website hoặc dịch vụ bên thứ 3 đã áp dụng cả AI vào việc này nhằm chống lại những người cố gắng fake những thông tin này.
- Device(browser) fingerprint có nguy hiểm không? Tất nhiên là có, nếu chỉ phục vụ mục đích chống gian lận thì nó cũng không ảnh hưởng gì lắm cho những người dùng cá nhân thông thường, nhưng khi nó được áp dụng 1 cách tràn lan như hiện tại thì nó quả thực là ác mộng. Danh tính cá nhân cũng như nhất cử nhất động của người dùng trên internet đều bị ghi lại, họ làm gì với đống thông tin đó có trời mà biết, người dùng bị thu thập thông tin ở thế bị động. Tất nhiên có nhiều website sẽ chèn 1 số thoả thuận được viết bé xíu như đầu kim, chèn trong 1 đống chữ trong phần TOS của họ, cái mà chả thằng điên nào ngồi đọc hết cả.

II/ Browser Fingerprint gồm những gì
- Rất nhiều, tuỳ website, tuỳ mục đích, tuỳ lòng hảo tâm mà họ sẽ thu thập nhiều hay ít thông tin. Tôi chỉ đề cập đến những thứ thường gặp nhất:
  • IP address + DNS leak, tất nhiên rồi, cái này cơ bản mà
  • Cookie, local storage
  • Các thông số trong navigator object của trình duyệt: useragent, screen resolution, plugins, mimetype, hardware concurrency, device memory, language...
  • Timezone (của cả máy và trình duyệt)
  • Webrtc (thu thập ip thật của người dùng)
  • Media devices (loa, headphone, camera...)
  • Browser history (lịch sử duyệt web)
  • Fonts (máy bạn cài những font nào và trình duyệt sử dụng chúng ra sao?)
  • JA3 Fingerprint (*)
  • Canvas fingerprint (*)
  • Webgl fingerprint (*)
  • domRect (*)
  • AudioContext (*)
  • Social media login (kiểm tra trình duyệt có login facebook, google, twitter... không?)
  • ....
(*): những kỹ thuật thu thập thông tin người dùng phức tạp, khó có thể diễn giải trong vài câu chữ, sẽ có bài riêng về những kỹ thuật này.

III/ Một số nhầm lẫn thông thường về Browser Fingerprint
- Trình duyệt có thể detect Mac Address? Câu trả lời là không, theo lý thuyết không thể thu thập thông tin Mac Address thông qua javascript trên trình duyệt 1 cách trực tiếp. Nhưng, vẫn sẽ có trick để có thể làm được điều này, ta sẽ bàn sau nếu có thời gian. Nhưng về cơ bản, theo những cách "trong sáng" thì câu trả lời là không! Các website sẽ không mạo hiểm để dùng những cách ngoài luồng để làm việc này. Vì thế bạn có fake mac address thì nó cũng chả có tác dụng gì.
- Dùng chế độ private browser (firefox) hoặc incognito (chrome) có ẩn danh không? Không, tiếp tục là 1 chữ không. Không như cookie và local storage (được xoá bỏ sau khi duyệt = chế độ ẩn danh), Browser Fingerprint vẫn gần như y chang như khi bạn xài chế độ trình duyệt thông thường. Có thể nói chế độ ẩn danh là tính năng "bịp" người dùng nhiều nhất của các gã khổng lồ trình duyệt. Vì thế đừng thắc mắc khi bạn dùng chế độ incognito để coi phim ơ kìa xong hôm sau lướt web đọc báo thấy 1 loạt quảng cáo đồ chơi người lớn, lol :popo_feel_good:
- Đổi useragent tương đương với việc thay đổi trình duyệt: sai hoàn toàn nhé, không phải cứ ưng useragent nào đổi useragent đó là sẽ có tác dụng, riêng về useragent sẽ được giải thích cặn kẽ trong bài sau.
....

Phần này viết như mứt, chữ không, 4.0 mà không có được tấm hình, chán phèo đúng không?
Chờ đi, còn tiếp, đang són....
chưa có P2 hả bác
 
This add-on allows users to prevent websites from using some Javascript APIs to fingerprint them. Users can choose to block the APIs entirely on some or all websites (which may break some websites) or fake its fingerprinting-friendly readout API.

If you encounter any problems please check the FAQ first. Please report issues and feature requests at https://github.com/kkapsner/CanvasBlocker/issues

IMPORTANT: you should only have ONE addon/setting set that protects an API. Otherwise you could face massive performance issues. (E.g. EclipsedMoon for Palemoon has 'canvas.poison' which is known to cause issues: https://github.com/kkapsner/CanvasBlocker/issues/253#issuecomment-459499290)
But setting privacy.resistFingerprinting to true and/or using the new fingerprinting protection introduced with Firefox 67 is fine.

Protected "fingerprinting" APIs:

canvas 2d
webGL
audio
history
window (disabled by default)
DOMRect
navigator (disabled by default)
screen


More information on fingerprinting can be found at:

<canvas>: http://www.browserleaks.com/canvas
audio:
https://audiofingerprint.openwpm.com/ (very poorly written = slow)
https://webtransparency.cs.princeton.edu/webcensus/#audio-fp
DOMRect:
http://jcarlosnorte.com/security/2016/03/06/advanced-tor-browser-fingerprinting.html
https://browserleaks.com/rects


The different block modes are:

fake: Canvas Blocker's default setting, and my favorite! All websites not on the white list or black list can use the protected APIs. But values obtained by the APIs are altered so that a consistent fingerprinting is not possible
ask for permission: If a website is not listed on the white list or black list, the user will be asked if the website should be allowed to use the protected APIs each time they are called.
block everything: Ignore all lists and block the protected APIs on all websites.
allow only white list: Only websites in the white list are allowed to use the protected APIs.
block only black list: Block the protected APIs only for websites on the black list.
allow everything: Ignore all lists and allow the protected APIs on all websites.


Hơi dài . Sry
 
Đọc từng comment vẫn chưa thấy có cách nào để chặn hay đổi Fingersprint trên browser !
cái này hay quá hóng hóng:popo_beauty::popo_beauty::popo_beauty:
 
Đọc từng comment vẫn chưa thấy có cách nào để chặn hay đổi Fingersprint trên browser !
cái này hay quá hóng hóng:popo_beauty::popo_beauty::popo_beauty:

bắt buộc là phải trình duyệt khác chạy trong máy ảo... 2 soft hót nhất h là : antidetect của nga ngố và anonymous machine của vn mình.... đều có phí

 
thế dùng máy ảo + ip 3g khác nhau thì có tác dụng gì ko shop :popo_cry::popo_cry:
 
bác ơi cho mình hỏi làm sao để fake các thông tin trên vậy, như webrtc, fingerprint, canvas, ... vậy bác
Cái này Thì liên quan đến Browser là phần lớn:
Cách tốt nhất vẫn là thủ công or bác có thể dùng đến Addon các của trình duyệt trong việc Fake or Disable những config như WebRTC, Canvas, Finger, GEO, WebGL, Peer, Remote Proxy DNS.
Mình thì chuyên sài Firefox nên cách để Research về Config của Firefox thì dùng cú pháp "config:about".

Tham khảo thêm ở đây nhé bạn:

 
bỏ đi các bác ơi :popo_big_smile::popo_big_smile::popo_big_smile:
 
bác biết cách fake thủ công không ạ. chỉ mình với mình dùng chrome portal í
Với Chrome Addon WebRTC thì dùng:
or Disable WebRTC ở Chrome:
"chrome://flags/#disable-webrtc" => nhập lên thanh tìm kiếm.

Edit Settings với Chrome thì nhập lên trình duyệt cú pháp: "Chrome://settings/advanced"

Canvas Fingerprint Chrome Addon:

Ở Firefox thì mình hay làm thủ công để Disable với một số câu lệnh sau:

Nhập thanh tìm kiếm "about:config"

Nó sẽ ra Menu các Setting từ Firefox.

Nhập lên thanh Search:
1. "remote_dns" => nó hiện ra "network.proxy.socks_remote_dns" nhấp 2 lần chuyển false thành True.
2. "peer" => nó hiện ra "media.peerconnection.enabled" => Nhấp hai lần chuyển True thành False.
3. "fingerprint" => nó hiện ra "privacy.resistFingerprinting" => nhấp hai lần chuyển False thành True.
4. "webgl." => nó hiện ra "webgl.disable-wgl" và "webgl.disable" => nhấp 2 lần để chuyển False thành True.
5. "geo" => nó hiện ra "geo.enabled" và "geo.provider.ms-windows-location" => Nhấp chuyển từ True thành False.

Canvas => mình ko disable vì có một số công việc bị ảnh hưởng nên mình ko tắt.
 
Last edited:

Announcements

Today's birthdays

Forum statistics

Threads
408,177
Messages
6,986,897
Members
165,799
Latest member
Vietanhdam
Back
Top Bottom