ランダムユーザーエージェント-バージョン2

この拡張機能の最初のバージョンがChromiumベースのブラウザー（Google Chrome、Yandex.Browserなどで動作）向けにリリースされてから2年が経過しました。そのタスクはシンプルで明確です-実際のユーザーエージェントを非表示にします。 現時点では、この拡張機能は+6,000ユーザー（非常に控えめです）で機能し、数日前にメールで少し変更するように求める手紙を受け取りました。 2年間誰も触れなかったコードの状態を評価した後、ゼロから書き直すことにしました。 4日間の作業と出来上がり-大幅に改善され、新しい機能を備えた新しいメジャーバージョンに対応します。

もう少し匿名のWebサーフィンとGoogle Chromeブラウザーのセットアップ、そしてこの拡張機能が役立つ理由について、いくつかの考えがあります。 少し経験を積んだ匿名者はこの投稿で何も興味深いものを見つけることはないので、彼らにとっては、また、せっかちで、伝統的には-GitHubのソースコードとGoogle Webstoreの拡張機能です 。

匿名性について

すべての外部ネットワークトラフィックがVPN / OpenVPN / Torおよびその他の暗号化されたトンネルを通過できるようにすることは理にかなっているとは言いません。 十分なリソースを備えた有能な人がお尻をつかむ必要がある場合、彼らはあなたをつかむ可能性が高いとは言いません（匿名のSIMカードを使用して、常に移動し、見ている第3世界の国でモバイルインターネットTorを介してtelnetのみを使用するネットワーク？）

Webサーフィンの匿名性と利便性は、ますます相互に排他的なものになっています。 サードパーティのCookie-これは非常に便利です（単一の認証を使用してリソースにログインする必要はありません）が 、他のリソース全体の動きを正常に追跡することもできます。 プロキシ/ソックスを使用すると、実際のIPアドレスを非表示にする追加の手段が提供されますが、多くのリソース（Avito、Pikabuなど）によって正常に決定される場合があり、それらの使用により、リソースへのアクセスが閉じられます。 アグレッシブなADブロッカーの使用はサイトによって決定され、それらはそれらを無効にするよう慎重に要求します。 したがって、利便性、またはセキュリティ-瀬戸際にバランスをとる必要があります。

はい、私にとって、セキュリティは「匿名」という言葉と同義です。 「いいえ、隠すものは何もありませんが、それはあなたのビジネスにはまったく関係ありません」（c）保護者。

さまざまなブラウザを使用しています。 同時に、FireFox、TorBrowser、およびGoogle Chromeが頻繁に起動します（私は最も頻繁に使用しています） 。 異なるブラウザ、異なるプラグイン/プロキシのセット、およびそれに応じて異なる設定。 それぞれについて個別に議論する価値がありますが、Google Chromeについてもう一度お話ししたいと思います。 以下に、変更が必要な可能性のあるこのブラウザのデフォルト設定をリストします。

• 同期設定は冗長です。
  
  
  • 「設定」>「高度な同期設定」>「サービス」、「拡張機能」、「設定」、「ブックマーク」のみをマークします（このリストは「拡張機能」、「設定」に縮小できます） 。
  • また、パスフレーズを使用して暗号化を有効にします。
  • リンクをたどってすべてをオフにします。
• 人気のある検索エンジンはあなたの行動を追跡します。
  
  
  • 検索エンジン（匿名のようなもの） https://duckduckgo.com?q=%s
    
    
    
    として配置しhttps://duckduckgo.com?q=%s
    
    
    
    。
• Cookieはすべての人に許可されています。
  
  
  • 「設定」>「コンテンツ設定」>「Cookie」>「サイトによるデータの保存を許可しない」+「サードパーティのサイトのデータとCookieをブロックする」;
  • 機能するためにCookieのサポートが必要なリソースにアクセスする場合は、ブラウザーバーの「Cookie」をクリックします>「Cookieおよびその他のデータを表示...」>「ブロック」>ブラウザーを閉じた後に保存する必要があるもの-「許可」としてマークし、それ以外の場合-「終了時に削除」。
  • 時々、例外リストをチェックして、許可されているものから不要なものをすべて削除してください。
• Cookieの最大保存期間は制限できません。
  
  
  • たとえば、 Cookieの有効期限を設定し、7日間の制限を設定します。 はい、週に一度はリソースに切り替える必要がありますが、トラックは1週間以上は関係ありません（トラックアナライザーにサウンドロジックがない場合） 。
• コンテンツプラグイン（およびフラッシュシーブもその1つ）の起動はデフォルトで有効になっています。
  
  
  • 「設定」>「コンテンツ設定」>「プラグイン」>「プラグインコンテンツを起動するためのリフィル許可」;
  • このリンクを開き、 「Adobe Flash Player」をオフにします（オンライン映画を見る必要がある場合は、ペンで一時的にオンにする必要がありますが、HTML5プレーヤーはフラッシュがないことをすぐに理解し、正しく起動します） 。
• カメラ、マイクなどへのアクセスは、デフォルトで禁止する方が適切です。
  
  
  • すべて同じ「設定」>「コンテンツ設定」-現在、重要ではないすべてのものへのアクセスを個別に禁止しています。
  • 「テスト環境外のプラグインへのアクセス」と場所を必ず禁止してください。
• 「追跡しない」の送信は無効です。
  
  
  • 私は本当に、このヘッダーを送信する人を追跡しないというルールに従う人はいないと思うので、自分で決めてください-「設定」>「個人データ」に入れるかどうか。
• パスワードとフォームが保存されます。
  
  
  • 「設定」>「パスワードとフォーム」-必ず両方のチェックボックスをオフにしてください。 理由を説明してください、それは意味がないと思います。
• ブラウザは、WebRTCを使用してIPアドレスを漏洩する傾向があります。
  
  
  • WebRTC Leak Preventプラグインをインストールし、「シークレットモード」で動作できるようにします。その設定では、「非プロキシUDPを無効にする」と表示します。
  • たとえば、 このページで確認します 。
• リファラーはチェックなしで送信されます。これにより、すべてのリソースがどこから来たのかを判断できます。
  
  
  • Referer Controlを設定し、「Referer Control status」-「Active」、および「他のすべてのサイトのデフォルトreferer」-「Block」を指定します。
  • 一部のサイト（Habrastorageなど）はリファラーチェッカーを使用しているため、プラグインは少し「うまくいく」ことができますが、それを打ち破り 、定期的な例外の書き方を学ぶ必要があります。
• 追跡と分析を行うJSスクリプトの起動を制御することはできません。
  
  
  • 有名なGhosteryをすべての人に提供し 、可能な限りすべてをブロックするように設定します。
• 広告をブロックするお気に入りのプラグインは、訪問したリソースによって検出され、コンテンツへのアクセスをブロックします。
  
  
  • あまり一般的ではありませんが、それほど効果的ではありません。 最近まで、uBlockはこのリストに載っていましたが、 AdGuard AdBlockerを最後の手段として使用してきました。

プロキシに使用する拡張機能とプロキシリストを取得する場所について-自分で答える必要があります。 プロキシチェーンを使用するのが最善であるとしか言えませんが、これから、10ケース中9ケースで、サーフィンのスピードが低下します。 パブリックプロキシリストはまったく粘り強くありません。 苦労して稼いだもののために購入したものは、もう少し粘り強いですが、それほど大きくはありません。 ここには多くの無料サービスはありません。快適にするために、独自のプロキシサーバーを購入することをお勧めします（はい、そのようなサービスが提供され、非常に多くの人がいます。もちろん、支払い時に実際のカード、名前、IPアドレスを使用しないでください）。 以前はすべての外部トラフィックがトンネルを通過することを許可する必要があるという事実-すでにすべてを知っていることを思い出しません。

基本的な識別方法

以下で使用される用語については、事前におaび申し上げます。 それは完全に正しいわけではありませんが、私には思えるように、理解しやすいです。

ユーザー識別、つまりこれらのN個の要求が、他の誰かによってではなく、彼によって正確に実行されたという決定が、匿名化の主な敵です。 識別方法は、少なくともクライアント側とサーバー側を使用して、少なくとも2つの大きなクラスに分割されます。 クライアント側の古典的なアプローチでは、次のようになります。

• リソースページの本文には、JSスクリプトへのリンク（google.analyticsなど）が含まれています。
• ブラウザは、この同じJSスクリプトを保存するサーバーにGETリクエストを送信します。
• サーバーはスクリプトコンテンツで応答します。
• ブラウザは受信したスクリプトを実行し（必要に応じて追加の「モジュール」をロード） 、バージョン、OS、インストールされたプラグイン、インストールされたフォント、画面解像度、ロケール、システム時間、その他のおいしい情報に関する情報をブラウザから受信します。
• スクリプトは、一意のバンズをチェックするか、ネットワーク上のさらなる動きを追跡するためにそれをインストールします。
• スクリプトは、収集されたデータ+パンの名前を保存のために自分自身に送信します。

「だから何？」 -あなたが尋ねると、あなたは気になります。 「彼らにこのデータを集めさせてください-私は気にしません！」 -はい、はい、私の友人！ それまでの間、そう考えて、分析してみましょう。 サイトにアクセスするには、ロシアでWindows 10を実行しているGoogle Chromeバージョン52.0.2743.116 （最新バージョン-自動更新が有効になっています）を使用しました （マイナーバージョンは、おそらく最新の更新プログラムをインストールしていないため、Windows Updateが無効になっていることを示します）おそらく、モスクワ市（およびタイムゾーンが対応）では、IPプロバイダー「MTC」から、このプールがルブリン地区に結び付けられており、おそらくラップトップを使用して（画面解像度で判断）、おそらく新しい車を購入することに興味があります（なぜならに ）同じアナリストということに使用したマツダを探していた、そしてそれは、サイトDROMにモスクワにあった、例えばオンラインDROM、コストを行きます。 訪問の時間から判断すると、あなたは職場からこれを行い、おそらく、あなたはこの地域または近隣地域で働いています。 あなたのソーシャル。 ネットワークは同様の分析サービスを使用します...あなたは理解します（例は架空のものですが、常識のグレインがないわけではありません） 。

ブラウザーが起動するスクリプトを追跡することが非常に重要である理由を理解していますか？ 「はい、通常デフォルトでJSをオフにします！」 誰かがコメントで叫ぶでしょう、そして彼は正しいでしょう-それはより正しいです。 より正確ですが、便利ではありません。 ここでは、あなたにとってより重要なもの-安全性または快適さ-を選択する必要があります。 現在、10のサイトのうち7つがJSなしでは期待どおりに機能しません。匿名のSIMカードを同時に購入して、telnetに切り替えて第三世界の国に移動する時期を決めるのはあなた次第です。 Ghosteryは優れていますが、すべてのアナリティクスをブロックすることを99％保証するとしても、1％にはまだ余裕があります。 普遍的なルールはあり得ません。ただ警戒し、自分の頭で少し考える必要があります。

サーバー側認証はどのように機能しますか？ httpデーモンのアクセスログがどのように見えるかを思い出しましょう。

 [meow@hosting /var/log]$ cat somesite.org.access_log | tail -3 10.12.11.254 - - [25/Jul/2016:15:51:16 +0700] "GET / HTTP/1.0" 200 5768 "-" "Mozilla/5.0 (compatible; MJ12bot/v1.4.5; http://www.majestic12.co.uk/bot.php?+)" 10.12.11.254 - - [25/Jul/2016:15:57:38 +0700] "GET / HTTP/1.0" 200 5768 "-" "Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)" 10.12.11.254 - - [25/Jul/2016:19:19:25 +0700] "GET / HTTP/1.0" 200 5768 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:30.0) Gecko/20100101 Firefox/30.0"
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

プリミティブ。 デフォルトでは、サーバーは次の4つのことを保存します。

• 要求の送信元のIPアドレス。
• 彼が来た時。
• どのページをリクエストしましたか。
• ユーザーエージェントは何ですか？

IPごとにログを記録したので、IPから来る可能性のあるすべてのユーザーを取得します（IPがNATである場合-近隣のサブスクライバーがまだ残っているかどうかを確認します）。 User-Agentに食い込んで、ほぼ確実に特定のユーザーを取得します。 さらに、私たちは彼がどのページに行ったのか、いつ、どのシーケンスに行ったのか、デバッグログがある場合はそれが可能であり、サイトフォームに入力したデータ、およびブラウザにどのような種類のパンがあるのか​​を確認できます。

シェフはどうしますか？

情報漏えいを避けるために99.8％が可能ですが、これは使いやすさの点で非常に不便です。 要約すると、最も重要な情報には、IP（プロバイダーとロケーション）とUser-Agent（使用されているソフトウェア、OSとそのバージョン）が含まれる可能性があります。 実際のIPを隠す方法-すでに述べました。 User-Agentを非表示にする方法は？ さまざまな方法がありますが、以下で説明する方法は多くの方法の1つにすぎません。 おそらくあなたにはもう少し便利に見えるでしょう。

あなたの許可があれば、その主要な「チップ」は簡単なリストの形で提示されます：

• GitHubで利用可能なオープンソース（プルリクエストと問題が含まれています） ;
• すべてのリクエストのHTTPヘッダーのUser-Agentフィールドを置き換えます。
• コンパクト（この記事の執筆時点では、zipアーカイブで45 KBのみ） ;
• 使用されるUser-Agentは、特定の種類のブラウザーやOSと同様にランダムに生成されます（構成されます。特定のブラウザーとして使用できますが、この方法は多くの人がこの拡張機能を使用する場合にのみ機能します-そのため、ユーザーはヒープ内で失われます） ） ;
• ボタンを押すか、ブラウザの起動時に、指定された期間が経過すると、User-Agentを自動的にランダムなものに置き換えます。
• ハンドルで指定されたUser-Agentを使用でき、生成されたものは使用できません。
• 設定はブラウザ間で同期されます（設定可能） ;
• JavaScriptを使用したUser-Agent検出 （実験的）に対する保護のサポートを含む-長い間求められてきたもの（モックは非同期で開始されるため、すべての場合に正常に非表示になりません。私が知る限り、これを行うことができる拡張機能はありません）私、正しくない場合） ;
• 例外のリストをサポートします（アドレスでマスクを使用することが可能です） 。
• 現時点では、ロシア語、英語、ウクライナ語のローカライズ。
• 無料で広告なし;
• WTFPLライセンス;）

どのように見えますか？

質問、提案、バグ報告はあるが、ウェブストアやHabréのコメントのいずれにも書けない場合-ここに魔法のリンクがあります。 また、拡張機能自体の記述方法についても書きたいと思います。 任意のプロパティのonGetおよびonSetイベントをサポートし、そのデータをリポジトリ自体に保存するオブジェクトを作成する方法。 独自の内部APIを使用してすべての拡張コンポーネントの作業を実装する決定に至った経緯-しかし、これはまったく別の話であり、ソースはそれをよりよく伝えているかもしれません。 この機会を利用して、この拡張機能をロシア語と英語以外の言語に翻訳するのを手伝ってくれて感謝しています。 そのような要望がある場合は、「％local_name％への翻訳を手伝います」というテーマでリポジトリに課題を作成するか、Pull-Requestを反転します。

たとえば、 これらの リンク を使用して 、プラグインの動作と匿名性の両方をテストできます 。 ただし、これらのテストの結果をあまり真剣に受け止めないでください。

そして、あなたの許可を得て、WebStoreのRandom User-Agent拡張機能へのリンクを複製します。

ウクライナ語への非常に迅速な翻訳とプルリクエストをしてくれたnazarpcに感謝します。 いいね！



テキストにスリップ、文法的または句読点の間違いに遭遇した場合は、PMでそれらについて書いてください。