Halaman web yang menampilkan semua informasi yang diberitahukan browser

 (sinceyouarrived.world)
1 poin oleh GN⁺ 1 jam lalu | 1 komentar | Bagikan ke WhatsApp
  • Halaman ini menampilkan lokasi, perangkat, browser, bahasa, GPU, baterai, font, preferensi pengguna, dan lainnya hanya dari data yang dikirim browser pada milidetik pertama setelah kunjungan, serta hanya memakai fitur standar yang terdokumentasi secara publik tanpa eksploit maupun peretasan
  • Alamat IP dari semua header permintaan dikirim ke ip-api.com · Free tier · CC-BY-SA untuk diubah menjadi nama kota dan penyedia internet; pencarian ini tidak disimpan, dan meski hanya sebagian oktet yang ditampilkan di layar, dijelaskan bahwa sisanya juga bisa diketahui
  • Sidik jari font mendeteksi font yang terpasang lewat lebar teks yang dirender, Electronic Frontier Foundation · Cover Your Tracks menyediakan alat untuk memeriksa keunikan browser, dan riset Princeton tahun 2014 menemukan sidik jari canvas di 5% dari 100.000 situs web teratas
  • Meski tidak dijalankan di halaman ini, ada Clipboard API yang dengan satu gestur pengguna dapat meminta membaca isi salinan terakhir, “The Leaking Battery” yang menunjukkan kemungkinan pelacakan hingga 30 menit lewat level dan waktu habis baterai, serta teknik mendeteksi situs login lewat favicon
  • Dinyatakan bahwa yang dikirim ke server hanya dua event anonim, arrive dan complete, serta tidak menyimpan apa pun di cookies, localStorage, sessionStorage, IndexedDB, maupun cache service worker; saat tab ditutup, pengunjung akan dilupakan

Informasi yang diberikan browser segera setelah tiba

  • Semua pengamatan oleh taken. berasal dari data browser pengunjung pada milidetik pertama setelah kunjungan, dan hanya memakai fitur standar yang terdokumentasi secara publik tanpa eksploit, kerentanan, atau peretasan

  • Lokasi

    • Alamat IP yang ada di semua header permintaan dikirim ke ip-api.com · Free tier · CC-BY-SA untuk diubah menjadi nama kota dan penyedia internet
    • Pencarian ini bersifat sementara dan tidak disimpan oleh kedua pihak; di layar hanya oktet pertama dan terakhir IP yang ditampilkan, tetapi dijelaskan bahwa sisanya juga bisa diketahui
    • Dalam GDPR, alamat IP dapat dianggap sebagai data pribadi bila digunakan untuk pelacakan, dan taken. tidak melakukan pelacakan, penyimpanan, maupun pencatatan log

  • API browser

    • Nilai observasi perangkat seperti layar, browser, bahasa, GPU, jumlah inti, baterai, font, dan preferensi pengguna diambil melalui API JavaScript standar yang terdokumentasi publik di MDN Web Docs · Mozilla · CC-BY-SA 2.5
    • Ini adalah perilaku yang dimungkinkan sesuai desain browser, yang mengarah pada kesimpulan bahwa “desainnya yang bermasalah”

  • Sidik jari font dan canvas

    • Teknik sidik jari font yang mendeteksi font terpasang lewat lebar teks yang dirender telah didokumentasikan sejak 2010, dan Electronic Frontier Foundation · Cover Your Tracks menyediakan alat untuk memeriksa seberapa unik browser
    • Sebagian besar browser cukup unik untuk dilacak di web terbuka bahkan tanpa cookie, dan kombinasi font adalah salah satu sinyal terkuat
    • Riset tahun 2014 dari Princeton University · Web Transparency & Accountability Project adalah dokumentasi pertama sidik jari canvas di web nyata, dan menemukannya di 5% dari 100.000 situs web teratas
    • Sidik jari canvas bekerja dengan membuat browser pengunjung menggambar gambar tersembunyi lalu membaca kembali piksel hasil render sebagai pengenal; taken. tidak menjalankan teknik itu, tetapi browser mendukungnya

  • Clipboard dan baterai

    • Menurut MDN · Clipboard API specification, dengan satu gestur pengguna seperti klik atau ketuk, halaman dapat meminta untuk membaca isi terakhir yang disalin
    • Isi salinan terakhir bisa berupa kata sandi, alamat, atau pesan draf; taken. tidak memintanya, tetapi fitur itu memang ada di browser modern
    • Makalah tahun 2015 “The Leaking Battery” oleh Olejnik, Englehardt, dan Narayanan menunjukkan bahwa kombinasi level baterai dan waktu habis baterai saja dapat melacak pengunjung di beberapa situs web hingga 30 menit tanpa cookie atau akun
    • Firefox menghapus API tersebut pada 2016, tetapi Chrome dan Edge masih mengeksposnya

Teknik yang tidak dijalankan dan data yang tidak ditinggalkan

  • Deteksi situs login

    • Meski taken. tidak menjalankannya, ada teknik yang telah didokumentasikan, legal, dan tersebar luas untuk mendeteksi situs mana yang sedang Anda masuki dengan membuat browser memuat URL favicon layanan tertentu lalu mengamati keberhasilan atau kegagalannya
    • Teknik ini memanfaatkan perbedaan saat status masuk dan keluar mengembalikan gambar yang berbeda, sehingga dapat mengetahui apakah seseorang masuk ke Facebook, Google, X, GitHub, Reddit, LinkedIn, dan berbagai layanan lain tanpa izin

  • Barcode yang dihitung di dalam browser

    • 16 garis yang ditampilkan di bawah hitungan tersusun dari tinggi yang diturunkan dari GPU, font, ukuran layar, bahasa, zona waktu, sistem operasi, browser, dan kedalaman warna
    • Data yang sama akan membuat barcode yang sama, pengunjung yang berbeda akan melihat barcode yang berbeda, dan perhitungannya hanya terjadi di dalam browser tanpa dikirim keluar
    • Jika ada orang lain dengan sidik jari yang benar-benar sama, mereka akan melihat garis yang sama, tetapi kemungkinannya kecil

  • Cara kalimat dibuat

    • Semua kalimat ditulis langsung oleh Matt, dan pada saat eksekusi tidak ada model bahasa yang menulis atau mengoreksinya
    • Kode memilih salah satu dari template kalimat yang sudah ditulis sebelumnya berdasarkan nilai yang dikembalikan browser, dan jika ada kondisi yang tidak bisa ditangani dengan kalimat buatan manusia, maka tidak akan mengatakan apa pun

  • Yang dikirim ke server

    • Event yang dikirim ke server hanya dua event anonim, arrive dan complete, tanpa cookie, pengenal, atau IP yang disimpan
    • Server membuang isi tiap permintaan dan tidak mengembalikan apa pun; catatan lapisan transport bahwa permintaan pernah ada bisa tetap tertinggal di log selama masa retensi bawaan penyedia hosting, biasanya beberapa hari
    • Sebagian besar situs mengirim ratusan beacon tambahan ke pengiklan, pengumpul sidik jari, alat pemutaran ulang sesi, dan pengelola tag, tetapi taken. hanya mengirim dua ke servernya sendiri dan memberi tahu hal itu

  • Yang disimpan di perangkat

    • Tidak ada yang disimpan di cookies, localStorage, sessionStorage, IndexedDB, maupun cache service worker
    • Data yang ditampilkan di layar dihitung di dalam browser dan, selain pencarian geolokasi IP serta dua event anonim, tidak meninggalkan perangkat
    • Saat tab ditutup, taken. melupakan pengunjung, dan dengan sumber terbuka menutup dengan kalimat bahwa “kebanyakan halaman tidak bisa mengatakan itu”

  • Konteks seri dan pembuatan

    • Vol. I berfokus pada apa yang terjadi di dunia selama pengunjung berada di sana, Vol. II pada langit yang terlewat, Vol. III pada hal-hal yang sudah ada di bawah kaki, dan Vol. IV pada susunan yang makin menyempit hingga ke pengunjung itu sendiri
    • Halaman ini dibuat oleh Matt di Rise Up Labs, dan edisi berikutnya akan dipublikasikan di X dan Bluesky

Bacaan terkait

1 komentar

 
GN⁺ 1 jam lalu
Komentar Hacker News

  • Bahkan tidak berada di kota itu. Kalau dilihat secara longgar, paling cuma menjalankan sesuatu yang mirip Linux di atas sesuatu yang mirip Chrome, dan tak seorang pun bisa menyimpulkan kapan saya bekerja dan kapan saya tidur. Saya sendiri juga tidak tahu
    Katanya layar canggih modern, padahal ini cuma layar tablet murah yang saya beli di supermarket 5 tahun lalu, dan tetap saja fingerprinting browser itu menyebalkan. Kalau bisa mendeteksi light mode, kenapa tidak sekalian menghormati pengaturan itu?

    • Jumlah fingerprinting yang ditunjukkan halaman ini bukan apa-apa dibandingkan yang terjadi di web sungguhan
    • Persentase baterainya juga salah dan status pengisiannya juga salah. Soal minta light mode dihormati itu benar, tapi bahkan kalaupun begitu, kemungkinan tetap akan jadi tampilan sampah berkontras rendah
    • Dibilang saya “berada di Los Angeles”, padahal cuma zona waktu saya yang ke sana. Karena bahasa input saya ada dua lalu bertingkah seolah dapat skor “ketahuan”, padahal saya memang sering memakai bahasa kedua
      Katanya “English · Chinese” lalu bahasa utama browser dan bahasa tambahan bisa mengungkap tempat saya tumbuh, tempat tinggal, sampai siapa yang tinggal bersama saya, padahal punya bahasa input Inggris dan Mandarin tidak memberi tahu hal-hal seperti itu. Kurang lebih seperti bilang “fakta bahwa seseorang mengakses internet lewat ponsel menunjukkan bahwa orang itu adalah orang yang bisa mengakses internet lewat ponsel”. Teknologi saling berinteraksi, dan memang begitu cara teknologi bekerja. Ini memang Orwellian, tapi apakah lebih Orwellian daripada negara pengawas seperti Rusia/Tiongkok/Korea Utara itu perkara lain. Berbagi lokasi bisa dipakai untuk menemukan ponsel, mobil, dan perangkat; aktivitas online bisa dipakai untuk menemukan pelaku kejahatan; dan bisa juga merekam kejadian saat dibutuhkan pembuktian kejahatan atau pertanggungjawaban polisi. Melihat intrusivitas berlebihan teknologi sebagai bencana adalah pilihan kognitif, tetapi menyadari apa yang “diketahui” teknologi kita tentang kita tetap hal yang baik
    • Saya memakai Apple Private Relay VPN, jadi lokasinya meleset ratusan mil. Selalu menarik melihat menurut situs atau layanan, berdasarkan basis data lokasi, saya dianggap berada di mana, dan kalau dimatikan biasanya jadi akurat dalam beberapa mil. Untungnya hampir tidak ada tempat yang memblokir Apple VPN jadi saya tidak perlu mematikannya
      Soal light mode itu benar-benar saya rasakan. Saya baru pertengahan 30-an, tapi beberapa situs dark mode seperti ini bikin saya merasa seperti umur pertengahan 80-an. Situs ini benar-benar tidak kelihatan apa-apa
    • Saya juga tidak. Muncul Brussels, padahal sebenarnya saya ada di Antwerp. Resolusi layarnya juga salah

  • Saya berharap para pembela privasi setidaknya sekali saja bicara secara normal. Mengemas akses browser ke zona waktu seolah-olah itu hal jahat tidak akan meyakinkan siapa pun

    • “Anda lebih suka antarmuka gelap — sistem operasi Anda yang memberi tahu kami.” Jadi ini mau terdengar menyeramkan hanya karena pengaturan saya bekerja sebagaimana mestinya?
    • Setuju. Info seperti bahasa saya, apakah saya memakai dark mode, dan zona waktu saya bisa dipakai untuk memberi pengalaman pengguna yang lebih baik, jadi saya tidak terlalu peduli
    • Gaya LLM pendek yang biasa membuat semua hal terdengar dramatis, rasanya seperti suara kuku menggaruk papan tulis
    • Tapi kalau saya satu-satunya orang di dunia yang ada di zona waktu ini, berarti saya sudah berhasil diidentifikasi secara unik!

  • Yang penting bukan apakah informasinya akurat atau tidak. Yang penting, itu bisa jadi sarana untuk mengidentifikasi saya tanpa cookie. Setelah mencari situs yang lebih baik, pihak EFF ternyata lebih bermanfaat
    Sidik jari browser saya dibilang unik di antara pengunjung 45 hari terakhir: https://coveryourtracks.eff.org/

    • Saya dapat “Anda memiliki perlindungan kuat terhadap pelacakan web”. Sulit untuk tidak menyukai Firefox + uBlock Origin mode lanjutan, sambil tetap membiarkan JavaScript menyala agar situs tetap berfungsi
    • Kalau situs seperti itu dijalankan berkali-kali, bukannya hasilnya seharusnya tidak selalu unik?
    • Setidaknya di Eropa, walaupun yang dipakai bukan cookie melainkan fingerprinting, GDPR tetap berlaku. Kalau mau memakai informasi ini, mereka tetap harus mengungkapkannya dan memproses data sesuai hukum
    • Agak aneh kalau “ketakutan, ketidakpastian, dan keraguan tidak harus akurat”
    • Tetap saja, saya lebih suka kalau informasinya tidak akurat. Kalau situs-situs mau melacak saya dengan kasar, setidaknya saya bisa memberi mereka data sampah unik

  • Kalau berkunjung tanpa JavaScript, akan muncul “Jika JavaScript dimatikan, halaman ini tidak bisa memberi tahu apa yang browser Anda ungkapkan. Datanya tetap ada. Pengungkapan tetap terjadi. Yang berhenti hanya pemberitahuannya.”
    Gaya LLM yang bombastis seperti ini sangat mengganggu, tapi saya juga berterima kasih karena itu jadi sinyal bahwa ini aman untuk diabaikan sepenuhnya

  • Entah karena saya sudah tua, atau karena sudah hampir 30 tahun berkecimpung di software internet, tapi tidak ada satu pun dari ini yang terlihat mengejutkan atau mengkhawatirkan
    Seseorang mendirikan server yang menerima koneksi, dan seseorang mengirim permintaan koneksi ke server itu. Tidak ada kesepakatan, harapan, atau aturan yang ditetapkan. Server tidak wajib menerima semua permintaan koneksi, dan tidak ada yang wajib mengirim permintaan koneksi ke server itu. Apa yang server kembalikan dan bagaimana klien memprosesnya sepenuhnya terserah masing-masing
    Saya merasa kesepakatan ini, atau ketiadaan kesepakatan ini, berlaku untuk kedua belah pihak. Menurut saya pengguna tidak berhak marah kalau situs memakai informasi permintaan koneksi sesukanya, tetapi situs juga tidak seharusnya marah kalau saya memproses data yang saya terima sesuka saya. Artinya situs boleh mengingat alamat IP dan detail permintaan saya sebanyak yang mereka mau, dan saya pun boleh melakukan apa pun terhadap respons yang saya terima. Saya bisa memblokir iklan, menolak permintaan lanjutan yang diinstruksikan situs, atau menampilkan respons dengan cara yang saya mau. Saya yang meminta data, dan mereka yang mengirim data itu
    Kalau ada informasi tentang diri saya yang tidak ingin saya beri tahu, seharusnya jangan saya masukkan ke dalam permintaan. Kalau mereka hanya ingin saya memberi data saat iklan ditampilkan, maka mereka harus membuat saya menyetujui itu sebelum data dikirim. Tentu saja, di dunia nyata kebanyakan orang tidak tahu browser melakukan apa, juga tidak punya banyak pilihan nyata soal apa yang dikirim browser, dan internet bukan lagi sesuatu yang opsional dalam hidup. Hal-hal seperti DDoS juga membuat struktur “apa pun boleh” sepenuhnya jadi tidak realistis. Meski begitu, saya tetap punya intuisi bahwa saat membuat permintaan internet, kita tidak boleh berharap terlalu banyak dari kedua pihak

    • Ini masalah dasarnya. Browser seharusnya menjadi perwakilan pengguna. Namanya saja User Agent. Ia harus bekerja untuk pengguna, pengguna harus tahu apa yang dilakukan browser, dan browser tidak boleh melakukan hal-hal yang tidak dipahami dan tidak disetujui secara eksplisit oleh pengguna. Otoritas akhir atas apa yang dikirim browser saya harus ada di tangan saya, dan browser harus membuat penggunaan otoritas itu menjadi hal yang sepele
      Kenyataannya, browser adalah agen bagi orang lain. Ia bekerja untuk pengembang web dan menyediakan segala macam hal yang memudahkan hidup mereka. Ia bekerja untuk pengiklan dan menyediakan petunjuk pelacakan serta fingerprinting. Ia bekerja untuk pengembang browser dan mengumpulkan metrik, telemetri, dan entah data apa lagi. Tapi ia tidak lagi benar-benar bekerja untuk saya. Saya cuma penumpang di dalam mobil
      Saya paham bahwa alamat IP bukan sesuatu yang bisa dikendalikan browser, dan harus terungkap kalau ingin terhubung ke situs. Tapi fakta bahwa tanpa VPN, dalam kondisi default, alamat IP bisa dipetakan secara stabil ke negara, provinsi/negara bagian, kadang sampai kota, itu cacat desain yang mengerikan. Itu masalah desain besar dalam cara IP dialokasikan. Di dunia yang lebih baik, lokasi geografis seseorang tidak seharusnya terungkap hanya dari alamat IP
    • Kalimat seperti “Kami juga tahu sisanya. Kami memilih untuk tidak menampilkannya. Sebagian besar halaman mungkin tidak akan memilih begitu” terdengar seperti ditulis untuk menakut-nakuti anak-anak. Lagi pula yang ditampilkan itu bahkan bukan penyedia internet saya. Mungkin itu penyedia hulunya ISP saya
    • Saya juga sudah tua, tapi mungkin karena masih idealis, saya melihat banyak dari fitur ini jelas ditambahkan untuk tujuan tertentu
      Saat klien mengirim header bahasa atau daftar font yang didukung, itu tidak berarti server boleh “melakukan apa saja yang diinginkan dengan data ini”. Saat kami membuat standar, ada alasan nyata di baliknya. Ketika penyedia situs, atau lebih spesifiknya jaringan iklan, memutuskan memakai itu untuk tujuan lain, mereka sedang melanggar kesepakatan implisit tersebut. Tentu saja, mungkin saya memang berharap terlalu banyak
    • Lokasinya lucu sekali tidak akuratnya, dan sebagai orang yang menulis di sini saya juga tahu alasannya. Menyembunyikan alamat IP agak kekanak-kanakan, tapi kalau diteruskan ke bawah jadi lebih baik
      Ia tahu sisa baterai ponsel saya dan tebakan perangkatnya juga benar. Ia membaca gyroscope dan interaksi layar sentuh dengan akurat, dan menunjukkan bagaimana hal-hal seperti ini bisa dipakai untuk identifikasi dan inferensi. Bahkan hal seperti apakah saya sedang duduk, berdiri, atau berbaring pun bisa. Awalnya lambat, tapi makin ke belakang makin menarik
    • Kami para teknolog tua seperti masih ingin percaya pada idealisme libertarian teknis web lama. Tapi untuk itu, kita harus cukup banyak mengabaikan idealisme kapitalistik dan otoriter web modern
      Pendekatan bahwa tidak ada pihak yang berutang apa pun kepada pihak lain bekerja cukup baik di masa lalu, ketika sebagian besar pelaku dianggap beritikad baik. Tapi ketika uang dan kekuasaan di internet menjadi nyata, relasinya berubah menjadi lebih bermusuhan. Asumsi kepercayaan dan ketiadaan tanggung jawab membuat satu pihak mudah mengeksploitasi itikad baik pihak lain. Karena struktur server-klien web punya ketimpangan teknis dan kekuasaan yang melekat, penyalahgunaannya juga cenderung mengalir satu arah

  • Situsnya cantik dan kalimat bombastisnya lucu, tapi ada banyak demo fingerprinting yang lebih baik
    Jumlah titik data yang ditampilkan di sini sedikit. Sebenarnya masih banyak yang bisa diperiksa, dan banyak di antaranya tampak salah. Hanya satu yang secara eksplisit terdeteksi sebagai “withheld”, tapi sebenarnya beberapa tampaknya disembunyikan sehingga output-nya jadi aneh. Perlu quality control

    • Nada yang berlebihan itu cukup lucu. Rasanya seperti, “Anda berada di [kota yang salah]. Kami bisa mengirim tim ninja sekarang juga untuk membunuh Anda, tapi kami memilih untuk tidak melakukannya. Bersyukurlah”
    • Singkatnya, ini cuma proyek rongsokan buatan AI lagi. Saya sudah melihat gaya UI seperti ini puluhan kali, dan selalu ditemani kalimat panjang berlebihan yang langsung ketahuan

  • Rasanya seperti EFF Cover Your Tracks yang dibuat dengan vibe coding. Fakta bahwa ini bisa naik ke halaman depan lebih menakutkan daripada isinya

    • Betul. Ini terlihat seperti halaman yang diberi perintah “salin ini tanpa terlalu kentara, lalu tambahkan tema landing page yang mencolok”. Jelek
    • Akun yang mengunggah ini baru 21 hari, belum pernah berkomentar sekali pun, dan juga tidak mengikuti utas ini. Tidak pernah membalas komentar, dan sepertinya juga tidak akan pernah. Fakta bahwa kiriman seperti ini tidak dilaporkan sedang merusak Hacker News

  • Ada jauh lebih banyak hal yang bisa dilihat di sini. Sudah banyak juga karya terdahulu tentang super cookie dan fingerprinting
    https://coveryourtracks.eff.org/
    https://amiunique.org/

    • Menarik. Setelah menjalankan situs EFF, di antara berbagai informasi saya ditandai sebagai “MacIntel”. Saya sempat kaget, mengira saya masih menjalankan build x86 Firefox
    • Keduanya ditautkan di modal Sources & Confessions di bagian bawah. Cover Your Tracks adalah leluhur spiritual dari seluruh karya ini, dan amiunique lebih ketat. Ini seperti sepupu versi swastanya
    • Ada juga alat lain untuk memeriksa kebocoran informasi: https://www.ipleak.com/full-report/

  • Wow, sepertinya seseorang yang memakai ChatGPT menemukan konsep header browser lalu anehnya menambahkan kalimat seperti “kami memilih untuk tidak memberi tahu Anda”
    Kalau benar-benar ingin tahu apa yang dikirim browser Anda, lihat saja ini:
    https://browserleaks.com/
    https://coveryourtracks.eff.org/

  • “Kami tidak meminta lokasi Anda. Alamat Anda tiba lebih dulu daripada Anda” itu omong kosong. Mereka memang meminta lokasi saya dengan melakukan lookup ke API/layanan geolokasi memakai alamat IP saya sebagai kunci
    Dan agar komunikasi internet bisa bekerja, IP nyaris wajib. Memang ada cara memakai layanan yang menyembunyikannya, tapi kalau begitu layanan itu yang akan memiliki informasi saya

    • Bukan. Browser memang punya mekanisme untuk meminta informasi lokasi, dan “meminta” yang dimaksud di sini adalah mereka tidak melakukan itu. Yang penting adalah mereka tidak bertanya kepada pengguna
      Kalau ada kamus, Anda tidak harus menanyakan arti sebuah kata kepada lawan bicara Anda; Anda bisa mencarinya di kamus. Kata itu bisa punya banyak arti atau bersifat informal sehingga inferensinya bisa salah. Untuk memperbaiki ketidakakuratan itu, Anda butuh titik data lain seperti konteks percakapan, atau meminta konfirmasi langsung kepada lawan bicara
    • Sepertinya Anda salah membacanya. Maksudnya bukan “tidak bertanya kepada siapa pun”, melainkan tidak bertanya langsung kepada pengguna
      Dan tentu saja alamatnya datang lebih dulu. Kalau tidak, bagaimana mereka mengirim balik data yang diminta?
    • Proxy multi-hop seperti Tor dikenal, tergantung strukturnya, tidak memungkinkan pemetaan antara IP asal dan IP tujuan