/tek/ - Teknoloji

>>2135
internette anonimlik imkansız. Salla

Bütün önlemleri dump ediyorum aşağıya:

Firefox indir + custom vpn + nextdns (encrypted) + her seferinde random spec'de çalışan virtual machine + gölgeli siteleri gezerken TOR + firefox resistFingerprinting ve letterboxing + autoDeclineNoUserInputCanvasPrompts'ı kapat + Ublock origin + custom fw modem + openWRT + Privacy Badger + HTTPS Everywhere + LocalCDN + Canvas Blocker + Chameleon + Temporary Containers + Supercookie Protection + State Partitioning + Total Cookie Protection (ETP strict mode) + Site Isolation + CRLite + Disable Service Workers + Disable web notifications + Disable DOM timing API + Disable resource timing API + Disable Web Audio API + gelocation kapat + Disable raw TCP socket support (mozTCPSocket) + Disable leaking network/browser connection information via Javascript + Disable network API + Disable WebRTC (zorunluysa internal IP gösterme) + Disable getUserMedia, screen sharing, audio capture, video capture + Disable battery API + Disable telephony API + Disable "beacon" asynchronous HTTP transfers + Disable clipboard event detection (onCut/onCopy/onPaste) via Javascript + Disable "copy to clipboard" functionality via Javascript + Disable speech recognition + Disable speech synthesis + Disable sensor API + Disable pinging URIs specified in HTML ping= attributes + Disable gamepad API + Disable virtual reality devices APIs + Disable virtual reality devices APIs + Disable Archive API + Disable WebGL (kullanmak zorundaysan minimum capability mode çalıştır, extensionları kapat, grafik sürücülerine dair bilgi payylaşma) + Spoof dual-core CPU + WebAssembly kapat (şu an için zaten yaygın degil) + Disable face detection + Disable GeoIP lookup + Set Accept-Language HTTP header to en-US regardless of Firefox localization + Don't use OS values to determine locale, force using Firefox locale setting + Prevent leaking application locale/date format using JavaScript + Do not submit invalid URIs entered in the address bar to the default search engine + Enforce Mixed Active Content Blocking + Enforce Mixed Passive Content blocking + Disable JAR from opening Unsafe File Types + Set File URI Origin Policy + Disable Displaying Javascript in History URLs + Disable asm.js + Disable SVG in OpenType fonts + Disable video stats + BuildID sakla + Flash Player kapat + Gnome Shell Integration kapa + Disable WebIDE + Disable remote debugging + Disable Mozilla telemetry/experiments + Disallow Necko + Disable FlyWeb + Disable the UITour backend + Firefox Tracking Protection kapat + contextual identity Containers feature aç + disable mozAddonManager Web API [FF57+] + disable showing about:blank/maximized window as soon as possible during startup + PDF viewer kapat + healthreport.sqlite kapat + Disable Shield/Heartbeat/Normandy + Disable Firefox Hello metrics collection + Disable Pocket + Disable prefetching of URLs + Disable prefetching of URLsv + Disable DNS prefetching + Reject .onion hostnames before passing the to DNS + Disable search suggestions + Disable "Show search suggestions in location bar results" + arama geçmişine göre öneri yapmayı engelle + Firefox Suggest engelle + Disable SSDP + Disable automatic downloading of OpenH264 codec + Disable speculative pre-connections + Disable downloading homepage snippets/messages from Mozilla + Disable automatic captive portal detection + Disallow NTLMv1 Disallow NTLMv1 + Enable CSP 1.1 script-nonce directive support + Enable Subresource Integrity + Referrer göndermeyi kapat + Accept Only 1st Party Cookies + Enable first-party isolation + Disable disk cache + Disable Caching of SSL Pages + Disable formless login capture + Do not create screenshots of visited pages + Disable bookmarks backups + Disable downloading of favicons in response to favicon fingerprinting techniques + Enable OCSP Stapling support + Enable Online Certificate Status Protocol + Disable TLS Session Tickets + Enforce Public Key Pinning + Encrypted SNI

>>2136
anonim olayım dememiş ki? gizlilik istemiş

>>2137
gel buraya yanağından öpücem

>>2139
openWRT kuracak modem bulursan kendisine de zaten bir sürü paket kurabiliyorsun kurcalarsın. Sanal makineyi her kuracağın zaman da eğer VirtualBox kullanırsan resolution değiştir, CPU kullanımını kısıtla cap'i ayarla, farklı farklı hardware driverlarını simüle et, bazı hardware device'ları deaktive et (Bluetooth gibi).

hatta VirtualBox'ın manuelinde
https://www.virtualbox.org/manual/ch09.html
özellikle bu linkte olanları ve ayrıca
https://openwrt.org/docs/guide-user/virtualization/virtualbox-vm
openWRT guide'ını oku. hatta daha da ilginç bir proje haline getirmek istiyorsan sana görevim şu: her bir VirtualBox makinesi reboot edildiğinde data poisoning yapmak adına

1- Çözünürlüğü
2- Dil ve bölge ayarlarını
3- CPU kullanımını
4- External device'ları
5- Driverları
6- BIOS Version'unu
7- BIOS Release'ini
8- Machine Serial Number'ını
9- Yapılandırılan İşlemci Sayısını
10- Server Host Name'i
11- System Board UUID'sini
12- Time Stamp'ini
13- Son olarak Virtual Machine Identifier'ını (https://forums.virtualbox.org/viewtopic.php?t=99263)

rastgele atayacak bir kod yaz. Data Poisoning tüccarı domaltmak adına fake/random bilgiler yollamaktır. Gizliliğini arttırmak adına bunu kullanabilirsin. Açık kaynak kodlu olduğu için VirtualBox gayet iyi bir seçimdir.

bu yazdıklarımın çoğunu yapabiliyorsun zaten. mesela benim makinemde "MAGIKSTICK" isminde bir sanal makine ver. bunu 32-bit'e indirgemek için
>VBoxManage controlvm "Windows XP Pro" setvideomodehint 1024 600 32
bu kodu yazmam yetiyor. bunu otomatikleştirmek için mesela Python'da "subprocess" kullanabilirsin. sanırım yazdığım şeylerin hepsini VirtualBox'ın özelliklerini kullanarak yapabiliyorsun zaten.

https://www.virtualbox.org/manual/ch09.html#changedmi
https://www.virtualbox.org/browser/trunk/src/VBox/Devices/PC/DevPcBios.cpp
https://tothecore.sk/2018/08/20/changing-uuid-for-virtualbox-virtual-machines/

yalnızca yapman gereken şey her açılışta bunları random şekilde ayarlayacak kod yazman. Assembly ve C++ kullanacaksın. Hatta custom firmware dahi ekleyebilirsin. Bootstrapping için BIOS kullanmak zorunda değilsin EFI özelliği var VirtualBox'da.
https://www.virtualbox.org/manual/ch03.html

bunu yapmak için ama external bir board veya bir mikroişlemciye ihtiyacın olur. arada bridge görevi görerek fw'i compile edebiliyorsun böylece.

evet uzunca bir süre farklı ayarlar ile deney yapıp entropiyi finetune etmen gerekecek ama sana gizlilik sağlıyor. eğer daha da paranoyak gitmek istiyorsan sayaç cihazlarına proxyserver kurabilirsin ama ona o kadar para vermeye hiç gerek yok + hiç reliable olmaz.

>>2141
sen sordun ne tur onlemler alayim diye, hatta bak aklima gelmeyenleri simdi hatirladim

>Encrypted Client Hello
>Block HTTP Authentication

gizlilik için bunlar iyidir.

>>2142
sagol anon ama firefox nedense pek sevmiyorum chrome bazli tarayici ile ne yapabilirim

çıplak ip bebeğim

>>2143
Anon yazdığım şeylerin sadece yarısını chrome ayarlarından tweak edebiliyorsun (bazıları default olarak öyle geliyor ama). Chrome flags'lerden ayarları değiştirmen lazım. Ne bileyim strict origin isolation açarsın, üçüncü parti storage partioning açarsın, use dns https svcb alpn özelliğini açarsın, user agent'i azalt seçeneğini açarsın, cookieleri partition ettirirsin, origin isolation aç, encrypted client hello chromium'da da var onu açarsın, webview tag site isolation açarsın, webRTC için local IP'ni saklatırsın, bluetooth permission kapatırsın, frame sandboxını açarsın ki çok pis 0day yeme, dns-https-svcb açarsın, doc written script yüklemeyi engelletirsin, process reuse'u kapatırsın, extension-mime-request-handling açarsın, fingerprinting için noise seçenekleri var ungoogled chroimum'da onları açarsın, web sql erişimi kapat, web share ve bundle kapat, trust tokens kapat, keyboard lock kapat, autofill type predictions kapat, sameparty cookieleri first party algılamasını kapat, media router cast'in bütün IP'lere izin vermesisini kapat, full user agent ayarını kapat, file handling API kapat, font access kapat, fedcm kapat, geolocation kapat, webusb kapat, webRTC remote event log kapat, prerender2 kapat, generic sensor extra classes kapat, fenced frames kapat, async dns kapat, clipboard unsanitized content kapat.

yine de Firefox'dan şaşma derim ben, Mozilla iyidir. digdeeper denen salağının evil demesine. Download yaparken signature'ları zorluyorlar hüüü diye ağlıyor. Yarın öbür gün cihazına remote control system indiğinde ve bütün bilgilerin follo$h olduğunda keşke zamanında kafama vura vura güvenlik ayarlarını açtırsalardı diye ağlarsın. Veya yine aynı kişi diyor ki DNS over HTTPS cloudflare üzerinden olacak cloudflare hepimizin bilgilerini çalacak. Cloudflare tamam baya bir bilgi topluyor bu yalan değil, tamamen anonim olmak için de var olmuş değil ama ortada bir oç seni izliyorsa seni koruyor ki zaten biz NextDNS kullandığımız için DoH onun üzerinden olmuş oluyor. Ortalama teknoloji özürlüsü biri Cloudflare üzerinden DoH kullanmalı, ki Firefox'un korumaya çalıştığı da bu.

Her neyse yukarıda verdiğim ayarlar aklıma gelenler sen artık kurcalarsın. Ama şunu söyleyeyim Chromium'un Firefox kadar güvenli olacağını sanmıyorum. Sistemin içinde seni açık edebilecek bir sürü identifier var ve her birini nasıl kapatırsın bilmiyorum.

>>2145
anon otist seviye privacy tool ve sayfaları varsa ßostlar mısın

>>2146
>privacy tool
ücretsiz privacy tool yok maalesef. ya hayvan gibi para vereceksin ya da benim yaptığım gibi yapabildiğin bütün ayarları tweakleyeceksin, full özgür yazılım kullanacaksın, açık kaynak kodlu bütün araçların nasıl çalıştığını okuyacaksın, 0day'leri sık sık takip edeceksin, interneti scrape edip bulabildiğin bütün küçük küçük parçaları büyük puzzle'ı oluşturmak için kullanacaksın, bug bounty yapmayı kendin de öğreneceksin + bu konuda certification içeriklerine çalışacaksın.

ki bunlar bile sana %100 garanti vermiyor. paran yoksa her türlü risk altındasın. şu an Chrome'da çalışan remote code execution exploitleri var. mesela sırf WebP açtın diye bilgilerin folloş oluyor, veya sıfır-tıklama exploitleri yüzünden sisteminde default olarak çalışan bir kod yüzünden sistemine sızabilirler. sırf bu konularda uzmanlaşan, devlet tarafından yazılan exploitleri bile filtreleyen, hatta e-mail atma uzmanı işe alan kişiler var. sen bunların hiç birini yapamayacağın için her türlü tehlike altındasın. genel olarak disklerini şifreleyip + kullandığın os'u yapabildiğin kadar harden'layıp bu dediğim ayarları açarsan elde edebileceğin maksimum gizlilik ve güvenliği elde etmiş olursun. eğer biri Firefox'da exploit edebileceği bir yer bulursa senin bilgisayarına sızabilir, bu kadar basit. Windows11 bu konuda bir kaç yenilik deniyor, bilgisayarında çalışan her şey için stack-levelinde hardware enforced protection sağlıyor + internetten sürekli AI destekli CVE taraması yapıyor + Smart App Controll sağlıyor + Secure Launch yapıyor + Intel TDT kullanıyor. Intel TDT hardware telemetry verileri üzerinde yapay zeka kullanarak threat detection yapıyor hatta modeli GPU'ya indirip sürekli kontrol yaptırıyor + Microsoft hash computing yapıyor ve sinyali kendi de işliyor daha sonrasında quick assist ile saniyesinde blokluyor. Mesela WastedLocker grubunun Cobalt Strike JS backdoor'u normalde bulunması aşırı zor bir backdoor olmasına rağmen daha önceden bunlar kurulmuşsa direkt engelliyor. Ayrıca yine Windows'da Data Execution Prevention diye bir güvenlik var. Bütün protected memory location'ları koruyor bu. Bu sayede senin cihazına root izinlerini sahip alıp kendini kopyalayacak bir kod veya BIOS'a kendini koplayacak bir malware oralar ulaşamıyor. Microsoft sürekli olarak recommended driver block rules diye bir liste yayınlıyor bunu otomatik güncellemeye açabiliyorsun. Attack surface reduction (ARS) diye bir şey var, bu tek başına Adobe Reader ve Office programlarını, USB'den bulaşan virüsleri, Ressitance through WMI event subscription'ı, Javascript ve VBScript'in bir şeyler indirmesini, obfuscated script'lerin (yani bulanıklaştırılmış) çalıştırılmasını, emailclient ve webmailden executable indirmeni engelliyor. ELAM Early launch antimalware engine var içinde, bu bootup anında bilgisayarında bilinmeyen dependencieler varsa başlatmayı engelliyor (bu sayede profesyonel RAT'ler bile btfo).

yukarıda yazdıklarım seni malware'i karşı koruyor ama Intel ve Microsoft kendisi zaten malware xD. Çoğunun çalışması için lisansını online olarak doğrulaman lazım + bütün verilerini timestampli şekilde lisansının altında gönderiyorsun. Yani seni blachat orçolardan koruyor ama tüccara HER şeyini vermiş oluyorsun. Bence şu an /g/ deki trani piçlerin muh OS muh Gentoo muh Thinkpad diye havlaması yerine bunları implement etmeye çalışması lazım. Özgür yazılım olarak bunlar maintain edilmediği sürece otist seviye bir protection'a asla sahip olamayacaksın.

>>2147
ha şunu da söyleyeyim zaten Intel TDT Linux kerneli üzerinde çalışıyor. teorik olarak bu söylediklerimin hepsini Linux'a implement edebiliriz. ama projeyi yönetenler vizyonsuz olduğu için salak saçma felsefik konularda diretiyorlar işe yarayan bir şey inşa etmek yerine. CVE için public olan tek database hiç bir işe yaramıyor. neyse ki lordumuz ve kurtarıcımız Mozilla yakında bu gereksinimlerin ufak bir kısmını da olsa karşılamamıza yardım edecek.

>>2147
duvaryazın için sağ ol anon. benim meselem birilerinden korunmak değil açıkçası. biri bilgisayarıma girse ufak müzik arşivim, dewle neşid ve bir iki yazılım dokümanından başka bir şey bulamaz. poğaçacı değilim.

benim asıl meselem tücülmemek. her bir sikimi tüccarın bilmesinden bıktım. hayvan gibi reklamlar, boktan manipülasyon içeriklerinden bıktım. amacım bu aslında, yoksa encryption bile gerek yok bana. otist level big techten korunma toolları işime yarar daha çok.

şu ana kadar yaptıklarım:
telefondan boksal medya silin'd
chrome silin'd
linux kurul'd
firefox + badger + ublock kurul'd

>>2149
>biri bilgisayarıma girse ufak müzik arşivim, dewle neşid ve bir iki yazılım dokümanından başka bir şey bulamaz
kız arkadaşlarının nude'larına bakıp 31 çeken + kız arkadaşına blackmail yapan bi oç olsun istemiyorsan aslında lazım anon. çünkü olay sadece bilgisayarınla kalmıyor telefonuna da geçiyor. bu yüzden nerede olursan ol, kim olursan ol, istersen sadece karpuz satan köylü ol full özgür yazılım desteklemelisin. telefon mu alacaksın? custom fw içermeyen hiç bir şey alma. illa normal telefon alman gerekiyorsa aldığın gibi permissions.xml den bütün yetkileri kapat + bütün servislerini özgür yazılımla değiştir + play store falan bütün servisleri kapat + firmware güncellemelerini ihmal etme (normal telefonda mecbur açmak zorundasın) + zorunda olmadıkça uçak modunda çalıştır.

>her bir sikimi tüccarın bilmesinden bıktım
tüccarın her bir sikimini bilmesi onun boksal medyasını kullanmandan dolayı yoksa senin bilgisayarından fetch ettiği için değil. yukarıda dediğim ayarları kullan + google'dan arama yapma + strict mode reklam ekleyici kullan + nextdns kullan + fingerprintinge karşı dediğim önlemleri al böylece senin geçmişini track edemez.

>>2151
derhal ilgileniyorum anon. samsung kullanıyorum, normal telefon yani. işim ve sosyal ilişkilerden dolayı whatsapp kullanmak zorundayım sadece.

bu arada yarın sosyal kredi falan gelirse bizi zorbalarlar mı acaba tüclenmediğimiz için?

>>2152
valla her şey olabilir anon. zamanında nasıl ki dışarıya maskeyle çıkmak yasaktı, PKK sempatizanı muamelesi görüp tutuklanıyordun yarın öbür gün kendini bu kadar saklamak da sıkıntı çıkartabilir.

ha benim işim zaten bu olduğu için kafaya pek takmıyorum. ama kişisel kullanım yaparsan belki laf ederler de siktir et o döneme denk gelirsen zaten her şeyi bırak silah al moğolistana kaç.

>>2153
en azından kışın ölmek zorunda değilim.

>>2137
>>2145
Burada doğru öneriler var ama çok yanlış öneriler de var. Bazıları privacy'yi veya security'yi artırmıyor hatta tarayıcının parmak izinin daha da unique olmasına sebep olduğu için privacy'yi azaltıyor. Bazıları neredeyse 0 kazanç uğruna performansı çok büyük ölçüde baltalıyor. Bazıları ise direkt privacy'yi olumsuz etkiliyor.

Yine de bunu yazan kişi bir web dev değil de sadece privacy security meraklısı olduğu için bu kadar araştırıp öğrenmiş ise tebrik etmek lazım, çünkü burada adı geçen yeni API'ları ve ayarları çoğu web dev de bilmiyordur.

>Chameleon
User agent değiştirmek çok basit testler dışında hiçkimseyi kandıramaz. Sen firefox kullanırken istediğin kadar edge veya chrome kullanıyormuş gibi rp yap, ben sadece çeyrek satırlık kodla fake attığını öğrenebilirim. Ve bunu öyle bir şekilde yaparım ki burada adı geçen geçmeyen hangi önlemi alırsan al bunu engelleyemezsin.

Resimde kod örneğiyle açıkladım bunun ne kadar etkisiz olduğunu.

Şunu düşünebilirsin:
>User agent switcher eklentileriyle her siteyi kandıramam ama bazı siteleri kandırıp parmak izimi gizleyebilirim
Bu da çok yanlış. Çünkü senin bu yöntemle kandıracağın sitelerin derdi senin parmak izini toplamak olamaz. Onların derdi olsa olsa admin dashboardlarında tarayıcı kullanım oranlarını sergilemektir, belki senin tarayıcına en uyumlu css/s dosyasını gönderip hatayla karşılaşmanı engellemek veya tarayıcına sadece kullanabileceği kodları göndererek performansı optimize etmek falandır.

Peki site gerçekten senin parmak izini toplamak istiyorsa?
Sıradan bir Firefox kullanıcısıysan o sitedeki kullanıcıların arasında %2-3'lik dilimdesin, evet Firefox kullanımı bu kadar düşük.
Firefox Dev kullanıcısıysan ama User Agent değiştirerek Edge'in x versiyonu gibi göstermeye çalışıyorsan, site bunu fark ettiğinde sen artık %.00001'lik dilimdesin.
>https://www.youtube.com/watch?v=LevwqYL4VcM

>Disable Service Workers
Service workers belki de son 10 yıldaki en önemli gelişmelerden beri. Doğru kullanıldığında cache'i çok daha verimli kullanmaya olanak sağladığı için performansı kat kat arttırabilir, web uygulamalarının offline çalışmasını sağlayabilir, internetinin kesildiğini hiç anlamayabilirsin bile. http2'den http3'e geçişe oranla çok daha büyük gelişmedir service workers. Hala yaygın bir şekilde kullanılmaması yazık.

Service workerlar sayesinde tonla şey yapılabilir:
Mesela tarayıcıların henüz desteklemediği JXL gibi modern image formatları service worker ile indirilip, web worker ile ayrı bir threadde decode edilip tarayıcının anladığı BMP gibi basit formata çevrilerek kullanılması sağlanabilir.

Service Worker'ın ne tehlikesi var? Bir sitenin tüm sekmelerini kapatıldığında bile o siteye ait service worker arkaplanda bir süre daha çalışır. Disable eden kişi de buna istinaden disable edilmesi gerektiğini düşündü galiba. Ama service workerlar farklı bir context'te çalışır ve o context'te page context'te olan çoğu özel api yok çok kısıtlı bir ortam var, yani daha fazla fingerprinting için kullanılamaz. Ayrıca genelde service worker kodu çok basittir, tarayıcı ile server arasında proxy gibi çalıştığı için yani her network trafiği bunun üzerinden geçtiği için service workerda fazla bloat olmasını istemezsiniz. Ayrıca service worker kodunun uzun olması first load performansını da olumsuz etkiler çünkü sen bir siteye ait ilk sekmeyi açtığında eğer o sitenin service worker'ı senin tarayıcında kayıtlı ise, tarayıcı önce service worker'ın uyanmasını bekler, ondan sonra istediğin sayfayı açar...

>Disable DOM timing API + Disable resource timing API
Bunu diyeceğine privacy.resistFingerprinting = true yapsan daha iyi. Bunları ve daha fazlasını yapıyor. Timing attack yapılabilecek birden fazla metod var ve artmaya devam ediyor, hepsini bilemezsin takip edemezsin. Bırak firefox mühendisleri uygun gördükleri şekilde senin için bunları ayarlasın.

>Disable "beacon" asynchronous HTTP transfers
Bu mantıklı, bunu zaten ublock gibi eklentiler yapıyor

>>2155
devam

>Disable asm.js
Neden? Ne zamanın tavsiyesi bu?
Senin polymorphic ve megamorphic javascript kodun js compiler'ın kolayca optimize edebileceği şeyler değil. Number type'ı da aslında 64bit double-precision float. Eğer kodundaki çoğu değer 32/31bitlik smi (small signed integer) olsaydı daha performanslı machine code üretilebilirdi di mi? asm.js'in yaptığı bu. Değerler 0 ile bitwise or'landığı için 32bit smi'ye cast ediliyor. Aslında asm.js javascript'in bir strict subseti, yani kod önce js interpreter'inden geçiyor ama sonraki aşamalarda optimizing compilerlar bu kodu normal js koduna göre daha kolay optimize edebiliyor, yıllar önce geliştirilen olgunlaşan bir teknoloji, hatta bayatlayan bir teknoloji, yıllar önce yerini webassembly'ye bıraktı.

>gelocation kapat
Zaten tarayıcılar location spoofing yapmana izin veriyor. Konumu farklı gösterebilirsin, veya accuracy'yi düşürürsün, çemberin çapı büyük olur. Tamamen kapatmana gerek yok çünkü hiçbir site senden izin almadan konumunu öğrenemez. Site izin istediğinde senin bu izni manuel olarak reddetmen daha iyidir çünkü normal bir kullanıcı bunu yapardı. Ama sen bunu komple disable ettiğinde ya tarayıcı bu API'ın kullanımını direkt engelleyecek ya da site bu izni istediğinde neredeyse 0 ms saniye gecikmeyle bunu reddedecek, bu da senin browser ayarlarından gelocationı kapattığını açık edecek. Bunu yapan nadir insanlardan biri olacaksın.

Disable web notifications
üstteki ile aynı

>Disable "copy to clipboard" functionality via Javascript,
Bunun ne zararı var anlayamadım. Clipboard'dan okuma yapılırken tarayıcı izin ister ama clipboard'a yazma yapılırken sadece bir user interaction'unun (bir yere tıklamak gibi) olması yeterlidir. Çünkü clipboarduna bir şey yazarak sitenin elde edebileceği pek bir şey yok. Belki seni gıcık edebilir, sen farkında olmadan clipboarduna spam yaparsa.

>Disable gamepad API + Disable virtual reality devices APIs + Disable virtual reality devices APIs + Disable face detection....
>file handling API kapat, font access kapat, fedcm kapat, geolocation kapat, webusb kapat,
Bunlar da hep kullanıcı izni ile açılan API'lar eğer sen izin vermezsen sitenin yapabileceği hiçbir şey yok. Diyelim ki webusb kapattın, bir gün belki güvendiğin bir sayfada arduino'nun web ide'sini kullanmak istedin ne olacak? Güvenmediğin sayfalara zaten izin vermezsin. Ha tarayıcıda bir exploit olma ihtimalini düşünüyorsan ve ihtiyacım olduğunda ayarlara girip açar tekrar kaparım üşenmem diyorsan yap.

>font access kapat
normalde tarayıcılar senin local fontlarını listelemiyor, low level font datasına ulaşamıyor, ama bazı tasarım uygulamaları için bu gerekli olabiliyor. Kullandığın güvendiğin bir tasarım uygulaması varsa bu izni vermek isteyebilirsin, ama hiç işim olmaz diyorsan kapat.

>fedcm kapat
fedcm aslında privacy'yi arttırmaya çalışan bir teknoloji

>fenced frames kapat
fencedframe'e iframe'in güvenliği arttırılmış versiyonu diyebiliriz kısaca. iframe'lere izin verirken fencedframe'i kapatmayı anlayamadım.

>Referrer göndermeyi kapat
Komple referer göndermeyi kapatmak bazı kötü kodlanmış sitelerin çalışmamasına sebep olur.

>Disable prefetching of URLs + Disable DNS prefetching + Disable speculative pre-connections
performansı da düşürür. özellikle external font kullanan sitelerde daha çok content shift yaşarsınız.

>Disable disk cache
performansı önemli ölçüde düşürür, kotalı kullananları da etkiler, gerçekten ihtiyacı olmayan yapmasın bence.

>Enable OCSP Stapling support
bu zaten firefoxta default olarak açık diye biliyorum.

Her yazanı okumadım, değerlendirmedim. Değerlendirmediklerim doğru uygulamalardır demiyorum ama içlerinde doğrular da var. Ancak hiçbiri ne işe yaradığı bilinmeden körü körüne uygulanmamalı. Bazı ayarlar çoğu siteyi kullanılmaz yapabilir, sonra firefox'a ya da kendinize sövüp durursunuz, hangi ayardan dolayı sitenin çalışmadığını da anlayamazsınız. Önce iyice araştırın okuyun, anlamaya çalışın. Elbette hepsini anlamız mümkün değil çünkü bunları anlatan makaleler privacy geekleri için değil geliştiriciler için yazılıyor.

>>2156
bi konuda bu kadar bilgi sahibi nasıl olabiliyorsunuz

>>2156
Sizde bişeyler önerin üstadım

>>2155
>>2155
>User agent değiştirmek çok basit testler dışında hiçkimseyi kandıramaz
anon aslında yukarıda
<Sistemin içinde seni açık edebilecek bir sürü identifier var ve her birini nasıl kapatırsın bilmiyorum
demiştim. ama mantığım şu şekilde

Chameleon kullanarak Etag Tracking'i bloke et, Do not Track yolla, Accept Header'ları spoof et, X-Forwarded-For/Via IP'i Spoof et, Referer Policies kapat ve onun dışındaki font fingerpting, screen size, window.name, tab history vs vs spoof et ve her seferinde random user-agent yollayarak eğer user agent bazlı bir tracking varsa (mesela kereste'deki user agent banı gibi) engelle.

ve eğer sorun buysa user-agent string'de Firefox ile uyumlu olmayanlar yerine Firefox ile uyumlu ama diğer bütün stringleri değiştirsen sorun çözülmez mi? Mesela Firefox versiyonunu, platform tokenini, KHTML eklersin, mobildeymiş gibi gösterirsin vesaire vesaire. gerçi sanırım mobilde gibi gösterirsen çok hassas çalışan bir fingerprinting scripti onu da detect edebilir. eskiden ben açıkçası uMatrix kullanıyordum ama 2021'de dondurulduğu için şimdi Chameleon önerdim.

>Service Worker'ın ne tehlikesi var?
Push notification özelliğine sahip olması endişelendirici. Her siteden geliyor olabileceği de öyle. Hipotetik olarak yeni bulunan bir XSS explotine sahip ve JSONP endpoint'e sahip bir URL'ye tıkladığını düşünelim. Saldırgan CSP'yi bypass edebilir. Bir service worker register edebilir ve sonrasında importScripts ile 3. parti bir script indirebilir.

Dediğimin benzer bazı örnekleri:
https://nvd.nist.gov/vuln/detail/CVE-2016-1949
https://nvd.nist.gov/vuln/detail/CVE-2016-2812
https://nvd.nist.gov/vuln/detail/CVE-2016-5287
bu tür açıklar Service Workerlar üzerinde devam ediyor. Onun dışında söylediğin şeyler katılıyorum.

>Bunu diyeceğine privacy.resistFingerprinting = true yapsan daha iyi
katılıyorum ama resistFingerprinting'i enable ettiğinde her basit işlemde 30 tane captcha çözmen gerekiyor... zaten bunu önermiştim OP'a ama eğer interneti gezilmez hale getirirse hayatından bıkmasın diye bunu kullanabilir.

>asm.js kapatmak neden?
çünkü tam olarak ne execute ettiğini göremiyoruz, WASM'ın aksine güncellenmiyor (specificationı bile 2014'de yarım bırakılmış) ama hala güncel engine'lerin hepsinde çalışabiliyor.

https://www.mozilla.org/en-US/security/advisories/mfsa2015-29/
https://www.mozilla.org/en-US/security/advisories/mfsa2015-50/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2712
https://bugzilla.redhat.com/show_bug.cgi?id=1429778

bizi ilgilendirdiği kadarıyla en son 2017'de asm.js üzerinden bir açık bulunmuş (ki o da Linux'la alakalı) ama bu günlerde kimsenin hala çalışmasına rağmen asm.js ile ilgilenmediğini de göz önüne alınca bazı saldırganların henüz fark edilmemiş exploitlere sahip olabileceğinden endişeleniyorum.

>cpLocation
webRTC loccation share'lerinde veya bazı eski Firefox sürümlerinde geolocationın açık olması güvenlik açığıydı. Bu nedenle yalnızca emin olmak için kapatıyorum ama dediğin doğru sanırım

>copy to clipboard
<In Recipes, versions 1.0.5 through 1.2.5 are vulnerable to Stored Cross-Site Scripting (XSS), in copy to clipboard functionality. When a victim accesses the food list page, then adds a new Food with a malicious javascript payload in the ‘Name’ parameter and clicks on the clipboard icon, an XSS payload will trigger. A low privileged attacker will have the victim's API key and can lead to admin's account takeover.
hiç gerek yok bence izin vermesine, pratik olarak sana bir zararı yok kullanmamasının.

>Bunlar da hep kullanıcı izni ile açılan API'lar
>Ha tarayıcıda bir exploit olma ihtimalini düşünüyorsan ve ihtiyacım olduğunda ayarlara girip açar tekrar kaparım üşenmem diyorsan yap.
eğer dediğim gibi sanal makina içinde kullanılıyorsa erişseler de bir şey değiştirmez ama sanal makina dışında kullanacaksan
https://www.cvedetails.com/cve/CVE-2020-6569/
buradaki Chrome için olsa da Firefox'da da bu API'lara sen manuel izin versen bile 0day yemiş olma ihtimalin var. Genel bir kural olarak bunları disable etmeyi o yüzden tavsiye ediyorum.

>fedcm
evet cookie olmadan sign in için iyi ama aynı zamanda out of bond memory read okunması çok daha tehlikeli.

yalnızca 15 gün önce gönderilen CVE:
https://nvd.nist.gov/vuln/detail/CVE-2023-4761

bu nedenle fedCM kapatmayı daha uygun buluyorum.

>fencedframe
içindeki entity'lerin dışarıyla konuşabildiği gösterildi. bu nedenle kapatmasını önerdim. Restriction'ları crafted bir HTML üzerinden bypass edilebilmesi nedeniyle.

>Disable disk cache performansı önemli ölçüde düşürür
doğru

>bu zaten firefoxta default olarak açık diye biliyorum.
evet ama bağlantı devamlı mı değil mi ayarlardan değiştiriliyor

>>2135
tails harici hepsi larp Win 11 Enterprise kur dilediğin GPO'yu uygula normal Snowden değilsen böyle güvenli ve gizli paranoyaya gerek yok

>>2159
Genel olarak yazdıklarıma bir savunma yazacak olursam:

söylediğim şeyler bazı sitelerin çalışmamasına neden olabilir, eğer gerçekten ne olursa olsun girmek istediğiniz bir site varsa bu durumda ister arşiv scriptlerinden biriyle çekkerek veya yalnızca web'de çalışan proxyler ile girebilirsiniz. söylediğim şeylerin bazıları zaten standart uygulamaları, bazıları Firefox'un deneysel özelliklerini kapatıyor diğerleri ise son zamanlarda açık bulunan veya potansiyel olarak yeniden exploit edilebilecek teknolojileri engelliyor. hatta ayarların çoğunluğu Mozilla'nın kendisine bile güvenmediğinizi gösteriyor. WebAssembly kapatılması vesaire gibi wabt::Node::operator'da overflow olması tarzı exploitler zaten engelleyemeyeceğiniz kadar yaygın. Evet okumadan kullanılmaması konusuna katılıyorum ama bu kedi-fare oyununda hem kendinizi saklayıp hem de henüz hiç bilmediğimiz exploitlere sahip olması olası bütün teknolojileri kapatmak üzerine benim felsefem. Ha bu dediklerim tekrar söylüyorum yüzde yüz koruma sağlamıyor ama elimdeki verilere bakınca 2023'ün içinde bulunan bir avuç CVE'den sizi potansiyel olarak koruyacak ayarlar var (WebIDE kapatılması gibi). Sık sık CVE'leri, blogları ve GitHub issue'lerini inceleyerek kendi risk assessment'ınızı kendiniz yapmalısınız.

>>2135
merhaba anonlar ben op, gizlilik istemememin tek sebebi bir kere femboy pornosuna baktiktan sonra tum reklamlarim travesti pornosuna donmesiydi, cocuk icerikleri kullanmiyorum illegal işlerle alakam pek yok. w11 home var babamin is yerinden geldigi icin orjinal ve format atmak istemedim. onerileriniz icin tesekkurler ama bu kadar ekstrem seyler yapmayi dusunmuyorum basit ve etkili cozum onerileriniz varsa cok daha iyi olur

>>2163
ve proxy almak ne kadar mantikli sizce, eskiden rus sitesinden ucuza almistim 3 aylik onerileriniz var mi

>>2159
>Etag Tracking'i bloke et
If-None-Match request headerı otomatik olarak silinecek şekilde ayarlanabilir ama bu yine cache kullanımını azaltıp performansı düşürecek. Buna değer mi bilmiyorum. Yine privacy performance tradeoff'u var.

>Do not Track yolla
Ben art niyetli bir siteye böyle bir headerla rica edip buna uyulmasını beklemeyi anlamsız buluyorum. Bence byte israfı. Sadece entropy'yi arttırıyor beni daha unique yapıyor.

>Accept Header'ları spoof et
Accept-Language hakkında yalan söyleyebilirsin, çoğunluk gibi sadece ingilizce içerik istiyormuş gibi görünebilirsin. Ama şunun gibi methodlar türkçe desteklediğini veya işletim sisteminin türkçe olduğunu ortaya çıkarılabilir sanki. Denemedim fikir yürütüyorum:
'ı'.toLocaleUpperCase() // Yerel dil Türkçe ise İ olur, diğer dillerde I olur
speechSynthesis.getVoices()

>screen size'ı anlaşılmayacak şekilde spoof etmek için siteyi de mutlaka o boyutta görüntülemek lazım. Atıyorum 1440p monitörün varsa tarayıcı penceresi asla 1080p'den fazla olmayacak şekilde ayarlayacaksın. Ekranı daraltan sidebar eklentisi vs kullanmayacaksın. Yukarıda letterbox yazmıştın, eğer Screen Api'ı da spoofluyor ha işte anca o işe yarar.
İşte burada da konforundan ödün veriyorsun.

>her seferinde random user-agent yollayarak eğer user agent bazlı bir tracking varsa engelle
Sadece ama sadece user-agent string'e bakan siteyi kandırabilirsin. Ama gerçekten tracking niyeti ve motivasyonu olan hiçbir aktörü kandıramazsın. Ben daha önceden hiç böyle bir browser detector scripti yazmadım ama şimdi hem sana bunu kanıtlamak hem de kendi merakımı gidermek için aşırı basit bir tane yazdım. 5+1 tane basit test ile en popüler 5 tarayıcıyı tespit ediyor, ya da en azından chromium olduğunu tespit ediyor. Bu işi yapan kısım 1 satırlık kod. Azmeden biri test sayısını çoğaltarak versiyon tespiti de yapabilir.
https://codepen.io/blackhatbrony/pen/gOZvNOd?editors=1010

>>2167
devam

>eğer sorun buysa user-agent string'de Firefox ile uyumlu olmayanlar yerine Firefox ile uyumlu ama diğer bütün stringleri değiştirsen sorun çözülmez mi?
User-agent string'ler tarihi sebeplerden dolayı haddinden fazla karışık yazılıyor, o yüzden parser kütüphaneleri için bile bunu anlamlandırmak zorken çoğu kişi hangi kısmının ne anlama geldiğini bilmiyor. Mesela şu makaleden bir alıntı yapayım:
https://51degrees.com/blog/understanding-user-agent-string
>Why are User-Agent strings like this?
>The Mozilla/5.0 and (KHTML, like Gecko) parts of a User-Agent string can largely be ignored, but why were they included in the first place?
>Originally, the User-Agent string wasn't designed to be confusing, but it was a necessary evil to ensure compatibility between new and old browsers. For new browsers to ensure they got a slice of the browser market share pie, they need to make sure that they're not excluded because they're new.
>As an example, there's a new browser on the block called "VeryNewBrowser". Your User-Agent contains information that you are using VeryNewBrowser to access a website. Many sites will (incorrectly!) see that VeryNewBrowser is not PopularBrowser, so will serve you a crappy version of the website.
>To counteract this, the User-Agent could contain "PopularBrowser (actually VeryNewBrowser)" which fools the web server into thinking that you are using PopularBrowser.
>This addition to the User-Agent string continues for many many years, until eventually you end up where we are today. Everyone claims to be Mozilla 5.0; Android Chrome claims to be Mobile Safari; Mobile Safari claims to be Gecko. It can get very confusing, very quickly.
Bunun gibi sebeplerden dolayı kafana göre ua stringi değiştiremezsin. Hatta bir önceki Firefox sürümünü kullanıyormuş gibi görünmek istesen bile bir feature detection ile anlaşılabilir. Mesela senin tarayıcında yeni bir özellik destekleniyorsa ama sen o özelliğe sahip olmayan eski versiyon gibi rp yapıyorsan bu özelliğin varlığı test ediliyorsa anlaşılabilir.

>mobildeymiş gibi gösterirsin
>gerçi sanırım mobilde gibi gösterirsen çok hassas çalışan bir fingerprinting scripti onu da detect edebilir.
Evet mobil ile desktop arasında dağlar kadar fark olduğu için onu javascript kullanmadan sadece 1 satır CSS ile bile detect edebilirsin. Çünkü bazı media queryler sadece mobil tarayıcılar için geçerli olacaktır.

>çünkü tam olarak ne execute ettiğini göremiyoruz, WASM'ın aksine güncellenmiyor (specificationı bile 2014'de yarım bırakılmış) ama hala güncel engine'lerin hepsinde çalışabiliyor.
https://bugzilla.mozilla.org/show_bug.cgi?id=1145255
>Analyzing the source of the bug: This was added as part of an experimental optimization added in bug 1143794 that was, at the time correct b/c the heap size was a power of 2. Later, the power-of-2 restriction was relaxed in bug 911254 despite the implicit dependency from the first patch. Arg. I should have reviewed harder.
Bu basit bir hatadan kaynaklanan çok tehlikeli bir açıkmış

>copy to clipboard
<In Recipes, versions 1.0.5 through 1.2.5 are vulnerable to Stored Cross-Site Scripting (XSS), in copy to clipboard functionality. When a victim accesses the food list page, then adds a new Food with a malicious javascript payload in the ‘Name’ parameter and clicks on the clipboard icon, an XSS payload will trigger. A low privileged attacker will have the victim's API key and can lead to admin's account takeover.
Bunu da inceledim. Aslında burada clipboard api'nin hatası yoktu. Uygulama geliştiricileri birden fazla yerde kullanıcı inputunu sanitize etmeden kullanıyormuş. Zaten şu commit'te de belli oluyor mallıkları.
https://github.com/TandoorRecipes/recipes/commit/7b2117c0190d4f541ba4cc7ee4122f04738c4ac6
İnşAllah ileride herkes native sanitizer api kullanır da böyle basit ama tehlikeli açıklar olmaz.

Burada temel sorun şu:
Tarayıcı geliştiricileri daha iyi araçlar vermeye çalışıyor ama bunlar aynı zamanda daha çok sorumluluk gerektriyior. Uygulama geliştiricileri ise dikkat etmeden kullanmaya çalışıyor.

https://developer.chrome.com/blog/web-custom-formats-for-the-async-clipboard-api/
Mesela bu çok iyi bir özellik ama sanitization yapmayan birinin elinde de çok tehlikeli bir özellik.
>In some cases, though, it can be desirable to support unsanitized content on the clipboard:
>Situations where the application deals with the sanitization itself.
>Situations where it's crucial for the copied data to be identical with the pasted data.
Şimdi tekrar düşününce clipboard api'yi kapatmak bana da mantıklı geldi.

Bir ara vaktim olduğunda diğerlerine de bakıp yorum yazacağım

>>2157
Bu benim işim ve hobim olduğu için bilgi sahibiyim. Privacy, security ve performans konularına meraklı olduğum için belki ortalama geliştiriciden biraz daha fazla biliyorumdur ama benim bilmem garip veya takdir edilesi değil, sizin bunları bilmeniz öyle.

>>2158
Ben anonim olmaya çalışmıyorum çünkü benim için hem imkansız hem de gerçekten anonim olmanın neler gerektirdiğini bildiğim için anca bir dayı gibi kullanırsam anonim olabileceğimi biliyorum. Bunu da yapamam.

Benim için imkansız çünkü çoğu tarayıcının nadir kullanılan Dev/Canary/Nigthly kanallarını kullanıyorum, deneysel özelliklerini açıyorum daha da unique oluyorum. Bunları gizleyemem. Gizleyebileceğimi bilsem bile uğraşmazdım çünkü konfor ve performanstan çok ödün vermem gerekiyor. Çoğu web dev normal(default) firefoxla uyumlu kod yazmayı bile beceremezken, firefoxumu garip ayarlarla donatıp daha da weble uyumsuz yapmak istemiyorum.

>>2167
>Yine privacy performance tradeoff'u var
yani cookie'leri engellesen bile ETag user tracking için kullanılabiliyor. eğer çok büyük bir trade-off olur diyorsan (mesela ben Pinterest hesabımda 100'lerce resme bakıyorum) her zaman JSON olarak ETag'ları if-non-match header'ını bloklayarak kaydedebilirsin, yanılıyor muyum? mesela Python'da "flask" kütüphanesini kullanarak
>response.headers['ETag'] = etags.get(resource_id)
şu şekilde ETag'ı kaydedebilirsin. ama ben yine de yapmayı gereki bulmuyorum sonuçta private window'da siteyi açtığın zaman siteyi yine aynısı oluyor. büyük bir drawback görmüyorum.

>art niyetli site ve do not track
eğlenceli bir bilgi: Firefox kullanıcıları en yüksek DNT'yi always şeklinde kulan kullanıcı base'ine sahip. Bütün kullanıcıların %32'si kullanıyor ve en çok ikinci açık olan tarayıcı Safari %25'de. Ama evet, DNT'ye nasıl cevap vereceği sitenin kendisine kalmış. Yine de tanınmış (TüccarTube gibi) sitelerin DNT'ye düzgün bir cevap vereceğini umuyorum.

>Ama şunun gibi methodlar türkçe desteklediğini veya işletim sisteminin türkçe olduğunu ortaya çıkarılabilir sanki
O method vermese bile tüm projede seni açığa verebilecek identifier'lar olduğuna inanıyorum. Firefox'un kodunu baştan sona tek başına okumak bile çok zor. Bu yüzden sanal makinada söylediğim gibi bir kurulum yapmasını önerdim OP'a. Öyle bir şey varsa bile seni açığa vermeyecek şekilde randomize ediyorsun.

>codepen linki
evet gerçekten de Firefox'da user agenti Chrome yaptığım zana seninki doğru algılıyor, zaten beklenen bir şeydi kod güzel olmuş eline sağlık. Ama anladığım kadarıyla yarın öbür gün Safari math-depth:0'i desteklemeye başlarsa bu çalışmaz değil mi? Veya biri elle tarayıcıya gelen CSS özelliklerini başka bir tarayıcıyla aynı olacak şekilde değiştirseydi daha sonra bilerek bozduğu tarayıcıyı compile etseydi bu kodunu yine kandırabilirdi değil mi? Gerçi her bir site için hangi özelliklere göre sınıflandırma yaptırdığını bilemezsin (yani aralarında bir sürü metodda farklılık vardır) ama aradaki farkları minimalize edemez miyiz? mesela firefox'dan math-depth:0 özelliğini kaldır, Micros ekle gibi gibi? Mesela Sleipnir'de denediğim zaman senin kodun yanlış tespit etti. Bu yüzden eğer kodu elle değiştirip davranışını değiştirirsen kandırmaz mıyız siteleri?

Anladığım kadarıyla ne kadar tarayıcını modifiye edersen et tüccar bu savaşta üstünlüğü elinde tutuyor. Bütün özelliklere bakıp bir identification yazarsan senin tarayıcını modifiye ettiğin de gün yüzüne çıkabilir ve bu nedenle kendini daha da kabak gibi gösterebilirsin. Ama buna önerdiğim çözüm aşağıdaki gibi benim

>Firefox sürümlerinde user-string değiştirmek
ben eskiden daha önceden kopyalanmış Firefox stringlerini rastgele havuzdan seçiyordum. Hiç versiyon farklarına aldırış etmedim internetteki çoğu sitenin kontrol ettiğini düşünmüyorum ama evet sonuçta her Firefox versiyonu değiştiğinde bile bug'ları kapatıyorlar. Güncel olarak sırf bunu toplamak isteyen bir site bazı bugları bile bile tetikleyip yalan söyleyip söylemediğini anlamaya çalışabilir. ama bunu yapsa bile her seferinde farklı bir yalan söylediğin için (ve bunlar rastgele olduğu için) seni yakalayamaz. en kötü ihtimalle "güvenliğe önem verenler ne tür içerikleri tüketiyor" diye düşünebilir. eğer site senin yazdığının çok daha profesyonelini ve kapsamlısını yapıyorsa bile user-string olmadan toplayabildiği veriler havuzu azalmıyor mu? senin yazdığın kodda mesela tarayıcının imbile ettiği götten salladığı bilgiler asıl ayırt edici olanlar onun dışında firefox kullandığını bilmen ne gibi bir entropi oluşturacak ki?

ama şimdi düşündüm de daha da data poisoning yapmak istiyorsan 9-10 farklı sanal makineye elle compile ettiğin eski Firefox sürümlerini kurmak daha mantıklı gibime geldi. her kullanımdan sonra flushlarsın memory'i + clear state çekersin + herhangi bir oynama yapmadığın için ayarlar üzerinden kimse senin fake atmaya çalıştığını anlayamaz (diğer ayarları tabi yine yaparak) entropi oluşturmalarına karşı savaşabiliriz.

ve son olarak mesela fingerprinting.js kütüphanesini düşünelim, internetteki çoğu site o düzeyde bilgilerini almaya çalışıyor. senin yazdığın kodda bile tarayıcı + versiyon tespiti yapsan bile vendor test, webgl test, screen frame, resolution, private click, pdf viewer enabled test, monochrome, math, local storage vesaire gibi testleri yapamıyorsun. yapmaya kalksan bile verdiğim ayarlar + randomize etmek hem bilgilerini tüccara vermemiş oluyor ve seni track edememeleri için rastgele değer veriyor.

>>2170
ama evet ben web'de user-agent değiştirdikten sonra bu tür testler yapacak, yapsa bile Firefox user-agent havuzundaki bilgilere göre kontrol edecek siteler olduğunu düşünmüyordum. Özellikle en çok entropi toplayabilecekleri sitelerin bu tür bir şey peşinde koşacağını düşünmüyorum, yasal olarak bir karşılığı olur mu bilmiyorum. en kötü ihtimalle biri lulz için sizi track etmeye çalışırsa düşersiniz diye düşünüyorum.

>>2169
>benim bunları bilmem garip veya takdir edilesi değil, sizin bunları bilmeniz öyle
ben web geliştiricisi değilim. zaten tiradı okursan >>2140 şu postta verdiğim öneriler hep düşük level ile alakalı. güvenlik konusuna gelince son 1 ayda uğraştıklarım aşağı yukarı self-signed CA certificate kullanarak yalnızca CA'yı kullanarak SSL / TLS bağlantısı yapmak, MQTT broker host'u kurmak, SSL client ayarlarını yapmak, re-exchange procedure hatalarıyla uğraşmak, multiservice ISA ve ESA sistemlerini kullanmak (Layer 2 Tunneling kullanarak IP transport gibi gibi) bunun gibi işler. Security konusuna gelince de daha önce bug bounty yaptım ama sürekli olarak takip eden biri değilim. Benim kendimi korumaya çalıştığım şey bütün bilgilerimin salak bir geliştiricinin yaptığı hata yüzünden folloş olmaması ve tüccarın verilerini domaltmak. Çünkü tüccar kolayca web aramalarından profiling yapabiliyor ve en az 2015'den beri bunu düzenli olarak yaptığını biliyorum. Dünyada yalnızca bir kaç düzine insanın uğraştığı niche teknolojilerle uğraşıyorsan özellikle bu bir güvenlik sorunu olmaya başlıyor. Gerçi ben bile saldım artık buraya yazdıklarım yalnızca eski alışkanlıklar.

>>2145
librewolf.

>>2172
>librefox
anladığım kadarıyla custom bir user.js'den pek bi farkı yok.
https://librewolf.net/docs/features/#annoyances
burada yazan şeylerin hepsini yukarıda zaten yazdık + daha fazlasını yazdık. yine de güzel projeymiş beğendim, keşke kod bazınıda daha fazla iyileştirme yapsalardı Firefox'a daha işe yarar olurdu.

>>2170
>ama şimdi düşündüm de daha da data poisoning yapmak istiyorsan 9-10 farklı sanal makineye elle compile ettiğin eski Firefox sürümlerini kurmak daha mantıklı gibime geldi. her kullanımdan sonra flushlarsın memory'i + clear state çekersin + herhangi bir oynama yapmadığın için ayarlar üzerinden kimse senin fake atmaya çalıştığını anlayamaz (diğer ayarları tabi yine yaparak) entropi oluşturmalarına karşı savaşabiliriz.
Evet gerçekten 100% anon olmak isteyenin dediğin gibi her defasında farklı konfigürasyonlarla sanal makina başlatıp farklı tarayıcı ile temiz bir şekilde browse eyleyip ve tercihen firefox containers gibi özelllikler kullanıp olabildiğince farklı sitelerdeki aktivitelerini birbirinden izole etmesi lazım. Web'de yaramazlık yapacak olsam böyle yapardım ama onun dışında bu kadar zahmete de katlanamam.

>Evet gerçekten de Firefox'da user agenti Chrome yaptığım zana seninki doğru algılıyor, zaten beklenen bir şeydi kod güzel olmuş eline sağlık.
Eyv.

>Ama anladığım kadarıyla yarın öbür gün Safari math-depth:0'i desteklemeye başlarsa bu çalışmaz değil mi?
Evet doğru anlamışsın. Popüler tarayıcıların güncel sürümleri arasında yalnızca Safari CSS'de math-depth property'sini desteklemediği için test olarak onu kullandım. Ama yarın öbür gün bu durum değişebilir tabi, testleri de ona göre güncellemek lazım. Ben Mozilla Developer Network'te tek tek css property'lere bakarak yalnızca Safari'nin desteklediği veya desteklemediği property'yi bulmaya çalışmıştım.
https://developer.mozilla.org/en-US/docs/Web/CSS/math-depth
Burada sayfanın altındaki tabloda Safari'nin desteklemediği görülüyor.


Eğer amele olmasaydım manuel arama yapmak yerine tarayıcılardaki özelliklerin hangi tarayıcının hangi versiyonunda eklendiğini toplayan Browser Compat Data(BCD) içerisinde arama yapan bir script yazıp kolaylıkla bunun gibi özellikleri bulabilirdim.
https://github.com/mdn/browser-compat-data/blob/main/css/properties/math-depth.json

Hatta daha da profesyonel olsaydım, tek bir property'ye bakıp Safari olduğuna karar vermek yerine, şuradaki https://mdn-bcd-collector.gooborg.com/ neredeyse tüm BCD testlerini yaptırıp çıkan sonucu 1ler ve 0lar şeklinde ifade edip, bunu da run-length encoding ile sıkıştırıp çaktırmadan kendi sunucuma gönderir, sunucu tarafında bunu bir parmakizi gibi saklardım. Daha sonra bu veriye bakıp şunun gibi daha detaylı çıkarımlar yapabilirdim:
>feature testlere bakıldığında firefox 118.a.b.c kullanıyor
>şu an bu versiyonu kullanabildiğine göre göre dev veya nigthly channel'da
>tarayıcısının gönderdiği user-agent headerı gerçekte kullandığı tarayıcı ve versiyonu uyuşmuyor, ua randomizasyonu yaptığına göre privacy'ye önem veren biri
>x, y, z api'larının bu versiyonda açık olması beklenirken o ise about:config'den elle kapatmış
>şu headerları bir eklentiyle veya mitm-proxy ile engelliyor veya modifiye ediyor
>accept headerlarına bakılırsa avif resim formatı desteklemiyor ama 50 bytelik küçük bir avif resmi decode ettirmeye çalıştığımda başarılı oldu, yani bu konuda da yalan söylüyor

Bunun gibi verilerin hepsini beraber değerlendirdiğinde de yeterince unique oluyorsun.

>>2174 (devam)
Power user olduğun için muhtemelen onlarca eklenti de kullanıyorsun, eklentilerin çoğu bir şekilde detect edilebiliyor
https://www.reddit.com/r/hacking/comments/vfe1wm/i_made_a_website_can_detect_over_1000_extensions/
https://github.com/z0ccc/extension-fingerprints/
Bu arkadaşın yöntemi dışında başka yöntemler de var. Mesela bazı eklentiler direkt tüm web sayfalarına kendi kodunu enjekte ediyor, bazı elemanların css class'ını değiştiriyor, yani kolaylıkla gözlemlenebilecek değişiklikler yapıyor.

ublock'ta veya nextdns'te kullandığın filtre listeleri de tespit edilebilir. Mesela nextdns'te 30 günden yeni domainleri engelle gibi ayarlar var. safasgahbdvxz.com gibi taze bir domain alıp bu domain'e ulaşıp ulaşamadığına bakarım.

O yüzden gerçekten kullanıcısını fingerprintlemek isteyenden kaçış yok.

>eğlenceli bir bilgi: Firefox kullanıcıları en yüksek DNT'yi always şeklinde kulan kullanıcı base'ine sahip. Bütün kullanıcıların %32'si kullanıyor ve en çok ikinci açık olan tarayıcı Safari %25'de.
EFF'de şimdi bir fingerprint testi yaptım.
>One in x browsers have this value: 1.75
dedi. yani tüm kullanıcıların %57'si DNT disabled kullanıyormuş. Eğer firefoxcular arasında bu oran daha yüksekse o zaman DNT enabled kullanmak daha iyi olabilir.

>Veya biri elle tarayıcıya gelen CSS özelliklerini başka bir tarayıcıyla aynı olacak şekilde değiştirseydi daha sonra bilerek bozduğu tarayıcıyı compile etseydi bu kodunu yine kandırabilirdi değil mi?
CSS özelliklerinin bir kısmını da about:config'den disable edebiliyorsun ama tarayıcıda olmayan bir özelliği varmış gibi yapmak çok zor. Diyelim ki tarayıcı şu masonry özelliği varmış gibi rp yapıyor:
https://drafts.csswg.org/css-grid-3/#masonry-layout
Bu layout sistemine göre elemanları sayfaya yerleştir diyorum, ardından elemanların pozisyonunu sorguladığımda bunun yalan olduğunu anlayabilirim. Ama tabi kimse böyle bir test yazmaz, çünkü kimse senin dediğin şeyi yapma zahmetine girmez. Çünkü 1 değil binlerce farklılık var, hangi birini patchleyeceksin/fakeleyeceksin?

>Micros ekle gibi gibi?
Kodu yazarken 3 karakter tasarruf edeceğim diye kafanı karıştırmışım :D Orada Micros yerine aslında Microsoft yazmam gerekirdi. Bir tarayıcının Edge Desktop olduğunu anlayabilmek için şöyle bir yoldum, text-to-speech yapan Web Speech api'ı kullanarak bilgisayarda yüklü olan ve tarayıcının online olarak sunduğu seslendirmelerin listesine baktım, "eğer bu listede 9'dan fazla Microsoft ile başlayan seslendirici varsa bu Edge'dir" diye bir varsayımda bulundum.

>>2174
peki şu BCD collectoru çalıştırıp (user-agent'imi fakeleyecegim bir tarayicida mesela diyelim ki ben Firefox'un son sürümünü kullanıyorum ama Firefox 65deymiş gibi yalan söylüyorum) önce BCD collectoru alıp bütün propertyleri Firefox 65'de çalıştırıp, listeleyip daha sonrasında normalde tarayıcımın desteklediği özellikleri mesela CanvasRenderingContext2D.letterSpacing'i disable edemez miyim kolay bir şekilde?

yani daha yüksek bir model kullanırken bazı özellikleri daha düşük bir sürümdeki tarayıcının BCD listesiyle aynı hale getiremez miyim? bunu yapmamın nedeni her seferinde farklı bir profil yükleyip daha düşük bir sürümdeymiş gibi yalan söyleyebilmek. zaten user-agent'i de değiştireceğim için tutarlı bir yalan söylemiş olmaz mıyım? atıyorum sen dedin ya accept headerına göre avif resim formatı desteklemiyor ama 50 bytelık bir avif resmi decode ettirmeye çalışınca başarılı oldu. tarayıcıyı avif formatını drop etmesine zorlamanın bir yolu yok mu (source code'u değiştirmeden tabi ki, hepsi için tek tek gidip kodu değiştiremeyiz)

bir de şu extensionlara bakıp detect eden kod sanırım Firefox'da çalışmıyor. diğer yöntemler çalışıyor olabilir ama. o zaman kullandığımız extentensionların kodunu alıp değiştirdiği sınıf isimlerini, veya ekledikleri kodu obfuscate etmek mi lazım? bu sayede hangi eklenti olacağını tahmin etmeyiz.

>ublock'ta veya nextdns'te kullandığın filtre listeleri de tespit edilebilir
bu bence sorun değil güvenli internet ayarlarını açtığın her wifi aşağı yukarı aynı şeyi yapıyor sonuçta.

>ardından elemanların pozisyonunu sorguladığımda bunun yalan olduğunu anlayabilirim
öyle mi? pozisyonlarını nasıl sorguluyor? tarayıcının buna verdiği cevabı intercept etmek mümkün mü? mesela bazı ekranlarda ctrl+ yapıp çok fazla zoom yaptığında her şey iç içe giriyor ya, pozisyonu da bu şekilde shuffle etmek dolayısıyla sanki bir hata varmış gibi göstermek mümkün mü? tabi burada aklı başında biri kendini açık edecek bir şey yazmaz ama belki bunu bir eğer Javascript ile intercept etmek mümkünse TensorFlow.js kullanarak bir savunma mekanizamsı genel fingerprinting için kullanılabilir? ne tür bir test yürüttüğünü tahmin etmek ve yalan değer vermek gibi

ve kek micros = microsoft tahmin etmem gerekirdi. onu tarayıcının bir özelliği sandım. açıklama için teşekkürler.