PDA

Visualizza versione completa : il forum è sicuro?


renzo1165
17-12-2007, 18.31.50
ciao, sono rimasto un pò perplesso da quanto ho potuto vedere oggi su di un forum.
Dopo essermi identificato ho iniziato a scorrere le discussioni, ancora senza partecipare, giunto a leggere l'intervento di un utente, che ripeto non parlava assolutamente con me, ho potuto vedere un banner in cui erano rappresentati:
il mio sistema operativo,
il browser,
l'indirizzo IP.
Mi chiedo se questo sia normale, vuol dire che per chiunque si identifica nel forum il banner indicherà risposte diverse, e poi, cosa altro potrebbe vedere? Capisco che individuare il sistema operativo, l'indirizzo IP,...non sarà difficile, ma non è anche questa una violazione della privacy?
grazie
renzo

Sbavi
17-12-2007, 18.33.48
Vai tranquillo. E' un servizio online che genera una gif contente le informazioni di cui sopra.

Dav82
17-12-2007, 18.45.50
Il browser (di norma) quando effettua una richiesta di una risorsa remota invia delle informazioni sul proprio ambiente di lavoro, quali nome del browser, versione, sistema operativo, eventuali revisioni, e volendo anche altro (in gergo si parla di user agent identification). Questo accade quando si richiede sia una pagina web, sia qualsiasi elemento contenuto nella pagina web.

In questo caso quindi il tuo browser, richiedendo quella particolare risorsa (immagine) invia nella richiesta anche le informazioni che poi vengono utilizzate per generare "al volo" l'immagine, informazioni che poi vedi nell'immagine stessa.

Niente di illegale o lesivo della privacy quindi, perché sei tu stesso, tramite il browser, a inviare quelle informazioni ;)


Ovviamente queste informazioni posso essere modificate a piacimento, in vari modi: senza dubbio il più facile è modificare direttamente la stringa con cui il browser si identifica. Con alcuni browser è più semplice, con altri più complesso: per Firefox esistono delle estensioni apposta (per esempio User Agent Switcher (https://addons.mozilla.org/en-US/firefox/addon/59)), per Internet Explorer, se non ricordo male, bisogna agire nel registro, mentre per Opera tempo fa c'era un menu diretto (ancorché incompleto), ma ora così su due piedi non lo trovo.


Altrettanto ovviamente, il proprio indirizzo IP viene fornito in ogni caso, altrimenti la comunicazione avrebbe qualche piccolo problemino :p

renzo1165
17-12-2007, 19.23.47
rapidità e competenza...cosa volere di più :)
Mi aveva un pò preoccupato la cosa, in quanto mi rendevo conto di dover inviare i miei dati per usare il forum, ma pensavo che la lettura di questi fosse riservata, che so, agli amministratori, e non a qualsiasi utente. Poi ho scoperto che questo accadeva anche senza che prima mi fossi identificato e ciò non era servito a diminuire la preoccupazione :)
Vedete se ho capito bene,
-quando mi collego ad un forum invio necessariamente i miei dati
-qualsiasi utente dotato di una opportuna utility (servizio) li legge
-li legge in automatico, per tutte le centinaia di utenti presenti nel forum,
-a ciascuno comunica quanto gli compete (ISP, IP,...)
...e quale potrebbe essere il servizio che fa questo?
Allora potrò trascorrere un Natale del tutto tranquillo, eh? :)
grazie e buone feste
renzo

Dav82
17-12-2007, 19.41.55
Vedete se ho capito bene,
-quando mi collego ad un forum invio necessariamente i miei dati
Non necessariamente (tranne l'indirizzo IP, che in pratica serve al server per mandarti ciò che richiedi), perché puoi eliminare queste informazioni come indicato sopra.. eventualmente si può approfondire :)

-qualsiasi utente dotato di una opportuna utility (servizio) li legge
-li legge in automatico, per tutte le centinaia di utenti presenti nel forum
In teoria sì, nella pratica poi no.
Questo perché in genere l'immagine richiesta (e generata "al volo" con i dati della richiesta) non risiede su uno spazio web di proprietà o accessibile all'utente che poi la inserisce come firma nel forum, ma su uno spazio di un servizio terzo. E molto probabilmente a questo servizio terzo non importa nulla di guardare/elaborare questi dati :)

In ogni caso, c'è da tenere presente che questa possibilità c'è, e c'è indipendentemente dal fatto che poi l'immagine mostri i dati del tuo sistema operativo/browser (la visualizzazione dei dati nell'immagine è solo un'aggiunta, per così dire, il nocciolo della questione sta nel fatto che i dati di browser/sistema operativo vengono trasmessi al server).
In parole povere, qualsiasi utente potrebbe - in teoria - inserire in un forum un riferimento a un'immagine/risorsa presente su un proprio spazio, e poi analizzare le richieste avvenute e i dati associati.
Certo non penso se ne faccia molto, né penso che molti lo facciano, ma in teoria la possibilità c'è, e non è di così difficile realizzazione :)


-a ciascuno comunica quanto gli compete (ISP, IP,...)
Questo non l'ho capito :mm:


...e quale potrebbe essere il servizio che fa questo?
Ce ne sono tanti... ora non saprei dire, ma in genere quando trovi quelle immagini basta che guardi il loro indirizzo (tasto destro -> proprietà, o simili) e trovi il sito che ospita quel servizio.


Allora potrò trascorrere un Natale del tutto tranquillo, eh? :)
Direi senza dubbio :p
Se comunque, in ogni caso, non vuoi diffondere queste informazioni legate al tuo ambiente operativo, puoi usare le indicazioni del mio post precedente (nel caso non siano chiare e/o insufficienti, chiedi ;))


grazie e buone feste
Di nulla :)

renzo1165
17-12-2007, 20.05.53
ciao,
-a ciascuno comunica quanto gli compete (ISP, IP,...)
volevo dire che chiunque entri nel forum vedrà rappresentati i propri dati

...e quale potrebbe essere il servizio che fa questo?
è www.danasoft.com

Con alcuni browser è più semplice, con altri più complesso: per Firefox esistono delle estensioni apposta (per esempio User Agent Switcher),
ho subito cercato l'estensione che dici, mi è sembrato serva per lo switch tra i vari browser, quindi solo per far credere di usare un browser diverso da firefox, ma non nasconde nulla...o no? guarderò meglio.

Dav82, sei veramente competente e disponibile, non è la norma, per me :act:
grazie
renzo

Dav82
17-12-2007, 20.30.17
ho subito cercato l'estensione che dici, mi è sembrato serva per lo switch tra i vari browser, quindi solo per far credere di usare un browser diverso da firefox, ma non nasconde nulla...o no? guarderò meglio.
Sì, in effetti serve per farsi identificare come utenti di altri browser... però può essere adattato allo scopo :p

Strumenti -> User Agent Switcher -> Options -> Options -> "User Agents" -> Add...

Si crea un nuovo user agent mettendo le informazioni che si desiderano, eventualmente solo in Description, e poi lo si seleziona da Strumenti -> User Agent Switcher -> nome che si è scelto per il nuovo user agent.

In questo modo apparirà solo il tuo IP con la (approssimata e approssimativa) localizzazione geografica :)


Dav82, sei veramente competente e disponibile, non è la norma, per me :act:
grazie
:timid:

Di niente :)

LoryOne
17-12-2007, 20.48.22
E per chi volesse modificare il registro di Windows per non fornire troppe informazioni (da lamer, ma comunque utili) sul browser, il S.O. in uso e lo user-agent, può cominciare da qui:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Internet Settings\5.0\User Agent]
"Compatible"="?"
"Version"="?"
"Platform"="?"
@="?"

:)

Occhio che mamma M$ non è molto contenta, soprattutto quando effettuate l'update. Non fornire le info corrette potrebbe vanificare il processo. :(

renzo1165
17-12-2007, 21.18.58
ciao,
cosa vuol dire lamer?...per il resto immagino che M$ non faccia salti di gioia, purtroppo abbiamo bisogno degli aggiornamenti con una certa regolarità. :)
renzo

LoryOne
17-12-2007, 21.53.58
"lamer" è un termine utilizzato per identificare una persona apprendista, poco più che alle prime armi. Non è inteso in senso dispregiativo, anzi, è una fase iniziale dell' apprendimento. Un lamer è poco più di un newbie (alle prime armi)
Ho utilizzato il termine "lamer" in questa occasione perchè esistono metodologie più raffinate per trarre in inganno qualcuno che cerchi di identificarti, così come esistono metodologie raffinate per carpire informazioni su un utente che ricorra a trucchi molto blandi come in questo caso.

E' indubbio che lo user-agent non sia così fondamentale in un applicativo come un browser internet, ma può diventarlo se il browser è il mezzo attraverso il quale si crea un tramite tra un host ed un server, soprattuto quando quest'ultimo ricava le informazioni che gli sono utili per fornire un servizio mirato all' host che ne faccia richiesta.

Un esempio tipico è l'update di M$, un altro è l'update di un antivirus. Attraverso lo user-agent, ad esempio, è possibile fornire le indicazioni primarie sul S.O. in uso, la lingua utilizzata dall' antivirus, la versione dell' engine di rilevazione e così via.

Macao
17-12-2007, 21.58.16
ciao,
cosa vuol dire lamer?
renzo

http://it.wikipedia.org/wiki/Lamer

renzo1165
17-12-2007, 22.01.31
grazie,
siete stati veramente gentili...e solo un'idea della tecniche più raffinate così da fare qualche ricerca nei prossimi giorni?
Poi, in realtà, non è che vi siano segreti da proteggere, è solo che un pò mi era seccato veder pubblicati i miei dati, tutto qui.
renzo

LoryOne
17-12-2007, 22.31.05
tecniche più raffinate:
1 - Statistica derivante dall' analisi comportamentale di differenti browser Web durante la navigazione del sito: Numero di richieste, ordine di trasmissione delle stesse e tempi di completamento.
2 - Fingerprinting dello stack TCP/IP

Gergio
18-12-2007, 09.40.08
mi era seccato veder pubblicati i miei dati, tutto qui.In realta' i tuoi dati non sono "pubblicati": li vedi su uno spazio pubblico, ma li vedi solo tu. Infatti, se io guardassi la stessa immagine, vedrei "pubblicati" i miei dati

renzo1165
18-12-2007, 11.25.25
1 - Statistica derivante dall' analisi comportamentale di differenti browser Web durante la navigazione del sito: Numero di richieste, ordine di trasmissione delle stesse e tempi di completamento.
Se ho capito il suggerimento è di selezionare opportunamente il browser in base ai requisiti che hai citato?

2 - Fingerprinting dello stack TCP/IP
"l’OS Fingerprinting e’ una tecnica in grado di determinare con probabilita’ molto elevata il sistema operativo di un certo host attraverso l’analisi di particolari informazioni e caratteristiche fornite dallo stesso."
quindi mi sembra più utile per un eventuale attacco che non una difesa. Ma forse intendi dire che la conoscenza dei piani del nemico può aiutare ad organizzare meglio la difesa...eh? :)

In realta' i tuoi dati non sono "pubblicati": li vedi su uno spazio pubblico, ma li vedi solo tu. Infatti, se io guardassi la stessa immagine, vedrei "pubblicati" i miei dati
ottima osservazione che decreta la fine del mio iniziale "turbamento" :)

grazie a tutti
renzo

LoryOne
18-12-2007, 12.21.06
Non sto parlando ne di attacco ne di difesa.
Sono due tecniche utili a carpire informazioni su chi fa accesso ad una risorsa su un dispositivo di resource sharing. Indipendentemente dalle informazioni presenti nell' header della richiesta GET, è possibile indentificare sia il browser in uso, sia il S.O. sul quale esso gira. Programmando appositamente un bot su un server per l' elaborazione e la scrematura delle info ottenute, è possibile utilizzare i risultati dell' elaborazione nei modi più disparati. Il problema è che per l'utente è piuttosto difficile essere sicuro che non vi sia alcun tipo di controllo sulle attività compiute durante la navigazione, ma questa è una preoccupazione che può sorgere in tipologie di utenti con turbe psichiche da ricovero :D.