Сервер в кармане, или просто о сложном!

главная - Статьи - Разное



Смена User agent. Так ли здорово?

Теги: Privacy User agent Безопасность

Одним из интересных занятий, которое не обходят новички в теме vpn, шифрования, скрытности и т.п. - изменение user agent браузера, которым пользуются. Так ли это полезно, как кажется?

/paranoia mode on, понеслаааась!

User agent - это строка, которую браузер отправляет веб-серверу, показывая, что за браузер, какая операционная система, поддерживается ли JavaScript или нет и др. В обзем, достаточно много идентификационных данных. Не слишком, но все же. И вот начинающие анонимусы ставят плагины, регулярно подменяющие user agent, или просто меняют его в конфигах браузеров.

В каких-то версиях Mozilla это можно сделать в about:config, добавив параметр general.useragent.override, а его значение ввести то, что будет о себе сообщать браузер, например:

Mozilla/5.0 (BlackBerry; U; BlackBerry 9800; en-US) AppleWebKit/534.1+ (KHTML, like Gecko)

В Google Chrome это делают, добавляя ключ в ярлык запуска браузера или в командную строку, вроде --user-agent="Mozilla/5.0 (Android) Gecko Firefox Fennec/4.0"

Ну и в таком духе. Круто? Не то слово! В чем подвох?

1. Я специально привел примеры диковинных user-agent-ов, чтобы было нагляднее. Чем неожиданнее от данного браузера будет строка user agent, тем подозрительнее будет относится веб-сервер к посетителю. И, наоборот, чем обычнее будет выглядеть user agent, тем меньше автоматика насторожится. Банки, крупные почтовые сервисы, государственные порталы могут оказаться умнее, чем кажется.

2. Выдать user-agent может JavaScript, к примеру. К примеру, navigator.userAgent. Да, его тоже можно изменить,  например так:

navigator.__defineGetter__('userAgent', function () {
    return "Mozilla/5.0 (Android) Gecko Firefox Fennec/4.0"
});
navigator.__defineGetter__('appName', function () {
    return "Netscape"
});

Но ведь и этим надо озаботится, не забыть про это. Иначе в одном месте браузер скажет "я такой-то", а JavaScript скажет "ничего подобного".

3. Так банально можно сильно усложнить себе жизнь - неправильно будут отображаться веб-страницы, браузеры могут некорректно отображать код, в том числе под мобильные устройства.

4. Многие сайты авторизуют по связке IP+ user-agent, и при смене последнего авторизация слетит.

5. Есть же плагины, установленные в браузере, список которых может выдать navigator.plugins. С этим тоже надо что-то делать.

6. А ведь есть еще WebRTC, Canvas... Сочетание всех доступных способов уточнения fingerprint (отпечаток) вашего браузера, помноженные на гигантские объемы статистической информации, в том числе какие браузеры, сколько раз, из какой страны, или сколько раз вдруг менялся IP у одного и того же браузера, или... В общем, вместо повышения анонимности можно получить повышение внимание к вашему браузеру. С занесением в книжечку ;)

Сменять user-agent может быть и полезным, например, если кто-то желает тестировать как поведет себя веб-сервер в такой-то ситуации. Или когда парсят крупными кусками сайты, которые через какое-то время банят браузер.

/paranoia mode off

В общем, если уж играться, то по полной программе, изучая матчасть на уровне очень продвинутого пользователя. Или просто не заниматься ерундой во время работы ;)



Авторизуйтесь для добавления комментариев!


    забыли пароль?    новый пользователь?