il forum è sicuro?

[renzo1165]

ciao, sono rimasto un pò perplesso da quanto ho potuto vedere oggi su di un forum.
Dopo essermi identificato ho iniziato a scorrere le discussioni, ancora senza partecipare, giunto a leggere l'intervento di un utente, che ripeto non parlava assolutamente con me, ho potuto vedere un banner in cui erano rappresentati:
il mio sistema operativo,
il browser,
l'indirizzo IP.
Mi chiedo se questo sia normale, vuol dire che per chiunque si identifica nel forum il banner indicherà risposte diverse, e poi, cosa altro potrebbe vedere? Capisco che individuare il sistema operativo, l'indirizzo IP,...non sarà difficile, ma non è anche questa una violazione della privacy?
grazie
renzo

[Sbavi]

Vai tranquillo. E' un servizio online che genera una gif contente le informazioni di cui sopra.

[Dav82]

Il browser (di norma) quando effettua una richiesta di una risorsa remota invia delle informazioni sul proprio ambiente di lavoro, quali nome del browser, versione, sistema operativo, eventuali revisioni, e volendo anche altro (in gergo si parla di user agent identification). Questo accade quando si richiede sia una pagina web, sia qualsiasi elemento contenuto nella pagina web.

In questo caso quindi il tuo browser, richiedendo quella particolare risorsa (immagine) invia nella richiesta anche le informazioni che poi vengono utilizzate per generare "al volo" l'immagine, informazioni che poi vedi nell'immagine stessa.

Niente di illegale o lesivo della privacy quindi, perché sei tu stesso, tramite il browser, a inviare quelle informazioni


Ovviamente queste informazioni posso essere modificate a piacimento, in vari modi: senza dubbio il più facile è modificare direttamente la stringa con cui il browser si identifica. Con alcuni browser è più semplice, con altri più complesso: per Firefox esistono delle estensioni apposta (per esempio User Agent Switcher), per Internet Explorer, se non ricordo male, bisogna agire nel registro, mentre per Opera tempo fa c'era un menu diretto (ancorché incompleto), ma ora così su due piedi non lo trovo.


Altrettanto ovviamente, il proprio indirizzo IP viene fornito in ogni caso, altrimenti la comunicazione avrebbe qualche piccolo problemino

[renzo1165]

rapidità e competenza...cosa volere di più
Mi aveva un pò preoccupato la cosa, in quanto mi rendevo conto di dover inviare i miei dati per usare il forum, ma pensavo che la lettura di questi fosse riservata, che so, agli amministratori, e non a qualsiasi utente. Poi ho scoperto che questo accadeva anche senza che prima mi fossi identificato e ciò non era servito a diminuire la preoccupazione
Vedete se ho capito bene,
-quando mi collego ad un forum invio necessariamente i miei dati
-qualsiasi utente dotato di una opportuna utility (servizio) li legge
-li legge in automatico, per tutte le centinaia di utenti presenti nel forum,
-a ciascuno comunica quanto gli compete (ISP, IP,...)
...e quale potrebbe essere il servizio che fa questo?
Allora potrò trascorrere un Natale del tutto tranquillo, eh?
grazie e buone feste
renzo

[Dav82]

Quota:

Inviato da renzo1165

Vedete se ho capito bene,
-quando mi collego ad un forum invio necessariamente i miei dati

Non necessariamente (tranne l'indirizzo IP, che in pratica serve al server per mandarti ciò che richiedi), perché puoi eliminare queste informazioni come indicato sopra.. eventualmente si può approfondire

Quota:

-qualsiasi utente dotato di una opportuna utility (servizio) li legge
-li legge in automatico, per tutte le centinaia di utenti presenti nel forum

In teoria sì, nella pratica poi no.
Questo perché in genere l'immagine richiesta (e generata "al volo" con i dati della richiesta) non risiede su uno spazio web di proprietà o accessibile all'utente che poi la inserisce come firma nel forum, ma su uno spazio di un servizio terzo. E molto probabilmente a questo servizio terzo non importa nulla di guardare/elaborare questi dati

In ogni caso, c'è da tenere presente che questa possibilità c'è, e c'è indipendentemente dal fatto che poi l'immagine mostri i dati del tuo sistema operativo/browser (la visualizzazione dei dati nell'immagine è solo un'aggiunta, per così dire, il nocciolo della questione sta nel fatto che i dati di browser/sistema operativo vengono trasmessi al server).
In parole povere, qualsiasi utente potrebbe - in teoria - inserire in un forum un riferimento a un'immagine/risorsa presente su un proprio spazio, e poi analizzare le richieste avvenute e i dati associati.
Certo non penso se ne faccia molto, né penso che molti lo facciano, ma in teoria la possibilità c'è, e non è di così difficile realizzazione

Quota:

-a ciascuno comunica quanto gli compete (ISP, IP,...)

Questo non l'ho capito

Quota:

...e quale potrebbe essere il servizio che fa questo?

Ce ne sono tanti... ora non saprei dire, ma in genere quando trovi quelle immagini basta che guardi il loro indirizzo (tasto destro -> proprietà, o simili) e trovi il sito che ospita quel servizio.

Quota:

Allora potrò trascorrere un Natale del tutto tranquillo, eh?

Direi senza dubbio
Se comunque, in ogni caso, non vuoi diffondere queste informazioni legate al tuo ambiente operativo, puoi usare le indicazioni del mio post precedente (nel caso non siano chiare e/o insufficienti, chiedi )

Quota:

grazie e buone feste

Di nulla

[renzo1165]

ciao,

Quota:

-a ciascuno comunica quanto gli compete (ISP, IP,...)

volevo dire che chiunque entri nel forum vedrà rappresentati i propri dati

Quota:

...e quale potrebbe essere il servizio che fa questo?

è www.danasoft.com

Quota:

Con alcuni browser è più semplice, con altri più complesso: per Firefox esistono delle estensioni apposta (per esempio User Agent Switcher),

ho subito cercato l'estensione che dici, mi è sembrato serva per lo switch tra i vari browser, quindi solo per far credere di usare un browser diverso da firefox, ma non nasconde nulla...o no? guarderò meglio.

Dav82, sei veramente competente e disponibile, non è la norma, per me
grazie
renzo

[Dav82]

Quota:

Inviato da renzo1165

ho subito cercato l'estensione che dici, mi è sembrato serva per lo switch tra i vari browser, quindi solo per far credere di usare un browser diverso da firefox, ma non nasconde nulla...o no? guarderò meglio.

Sì, in effetti serve per farsi identificare come utenti di altri browser... però può essere adattato allo scopo

Strumenti -> User Agent Switcher -> Options -> Options -> "User Agents" -> Add...

Si crea un nuovo user agent mettendo le informazioni che si desiderano, eventualmente solo in Description, e poi lo si seleziona da Strumenti -> User Agent Switcher -> nome che si è scelto per il nuovo user agent.

In questo modo apparirà solo il tuo IP con la (approssimata e approssimativa) localizzazione geografica

Quota:

Dav82, sei veramente competente e disponibile, non è la norma, per me
grazie

Di niente

[LoryOne]

E per chi volesse modificare il registro di Windows per non fornire troppe informazioni (da lamer, ma comunque utili) sul browser, il S.O. in uso e lo user-agent, può cominciare da qui:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Internet Settings\5.0\User Agent]
"Compatible"="?"
"Version"="?"
"Platform"="?"
@="?"



Occhio che mamma M$ non è molto contenta, soprattutto quando effettuate l'update. Non fornire le info corrette potrebbe vanificare il processo.

[renzo1165]

ciao,
cosa vuol dire lamer?...per il resto immagino che M$ non faccia salti di gioia, purtroppo abbiamo bisogno degli aggiornamenti con una certa regolarità.
renzo

[LoryOne]

"lamer" è un termine utilizzato per identificare una persona apprendista, poco più che alle prime armi. Non è inteso in senso dispregiativo, anzi, è una fase iniziale dell' apprendimento. Un lamer è poco più di un newbie (alle prime armi)
Ho utilizzato il termine "lamer" in questa occasione perchè esistono metodologie più raffinate per trarre in inganno qualcuno che cerchi di identificarti, così come esistono metodologie raffinate per carpire informazioni su un utente che ricorra a trucchi molto blandi come in questo caso.

E' indubbio che lo user-agent non sia così fondamentale in un applicativo come un browser internet, ma può diventarlo se il browser è il mezzo attraverso il quale si crea un tramite tra un host ed un server, soprattuto quando quest'ultimo ricava le informazioni che gli sono utili per fornire un servizio mirato all' host che ne faccia richiesta.

Un esempio tipico è l'update di M$, un altro è l'update di un antivirus. Attraverso lo user-agent, ad esempio, è possibile fornire le indicazioni primarie sul S.O. in uso, la lingua utilizzata dall' antivirus, la versione dell' engine di rilevazione e così via.

[Macao]

Quota:

Inviato da renzo1165

ciao,
cosa vuol dire lamer?
renzo

http://it.wikipedia.org/wiki/Lamer

[renzo1165]

grazie,
siete stati veramente gentili...e solo un'idea della tecniche più raffinate così da fare qualche ricerca nei prossimi giorni?
Poi, in realtà, non è che vi siano segreti da proteggere, è solo che un pò mi era seccato veder pubblicati i miei dati, tutto qui.
renzo

[LoryOne]

tecniche più raffinate:
1 - Statistica derivante dall' analisi comportamentale di differenti browser Web durante la navigazione del sito: Numero di richieste, ordine di trasmissione delle stesse e tempi di completamento.
2 - Fingerprinting dello stack TCP/IP

[Gergio]

Quota:

Inviato da renzo1165

mi era seccato veder pubblicati i miei dati, tutto qui.

In realta' i tuoi dati non sono "pubblicati": li vedi su uno spazio pubblico, ma li vedi solo tu. Infatti, se io guardassi la stessa immagine, vedrei "pubblicati" i miei dati

[renzo1165]

Quota:

1 - Statistica derivante dall' analisi comportamentale di differenti browser Web durante la navigazione del sito: Numero di richieste, ordine di trasmissione delle stesse e tempi di completamento.

Se ho capito il suggerimento è di selezionare opportunamente il browser in base ai requisiti che hai citato?

Quota:

2 - Fingerprinting dello stack TCP/IP

"l’OS Fingerprinting e’ una tecnica in grado di determinare con probabilita’ molto elevata il sistema operativo di un certo host attraverso l’analisi di particolari informazioni e caratteristiche fornite dallo stesso."
quindi mi sembra più utile per un eventuale attacco che non una difesa. Ma forse intendi dire che la conoscenza dei piani del nemico può aiutare ad organizzare meglio la difesa...eh?

Quota:

In realta' i tuoi dati non sono "pubblicati": li vedi su uno spazio pubblico, ma li vedi solo tu. Infatti, se io guardassi la stessa immagine, vedrei "pubblicati" i miei dati

ottima osservazione che decreta la fine del mio iniziale "turbamento"

grazie a tutti
renzo