Tarayıcının Sizin Hakkınızda Verdiği Her Şeyi Gösteren Web Sayfası

 (sinceyouarrived.world)
1 puan yazan GN⁺ 1 시간 전 | 1 yorum | WhatsApp'ta paylaş
  • Bu sayfa, ziyaretin hemen ardından ilk milisaniye içinde tarayıcının ilettiği verilerle konum, cihaz, tarayıcı, dil, GPU, pil, yazı tipleri ve kullanıcı tercihlerini gösteriyor; exploit veya hack olmadan, yalnızca herkese açık biçimde belgelenmiş standart özellikleri kullanıyor
  • Tüm istek başlıklarındaki IP adresini ip-api.com · Free tier · CC-BY-SA hizmetine gönderip şehir ve internet sağlayıcısı adına dönüştürüyor; sorgunun kaydedilmediğini, ekranda yalnızca bazı oktetlerin gösterildiğini ama geri kalanının da bilinebileceğini belirtiyor
  • Yazı tipi parmak izi, render edilmiş metin genişliğiyle kurulu yazı tiplerini tespit ediyor; Electronic Frontier Foundation · Cover Your Tracks tarayıcı benzersizliğini kontrol eden bir araç sunuyor ve Princeton'un 2014 tarihli araştırması, ilk 100.000 web sitesinin %5'inde canvas parmak izi tespit etti
  • Sayfada çalıştırılmasa da, tek bir kullanıcı hareketiyle son kopyalanan içeriği okumayı istemeye izin veren Clipboard API, pil seviyesi ve deşarj süresiyle 30 dakikaya kadar takip olasılığı gösteren “The Leaking Battery” ve favicon üzerinden giriş yapılmış siteleri tespit etme tekniği bulunuyor
  • Sunucuya gönderilen tek şey varış ve tamamlanma olmak üzere iki anonim olay; cookies, localStorage, sessionStorage, IndexedDB veya service worker önbelleğinde hiçbir şey saklanmıyor ve sekme kapatılınca ziyaretçinin unutulduğu belirtiliyor

Tarayıcının gelir gelmez verdiği bilgiler

  • taken. içindeki tüm gözlemler, ziyaretçinin tarayıcısından ziyaretin hemen ardından ilk milisaniye içinde alınan verilere dayanıyor ve exploit, açık ya da hack olmadan yalnızca herkese açık biçimde belgelenmiş standart özellikleri kullanıyor

  • Konum

    • Tüm istek başlıklarında yer alan IP adresi, ip-api.com · Free tier · CC-BY-SA servisine gönderilerek şehir ve internet sağlayıcısı adına dönüştürülüyor
    • Sorgu geçici; iki taraf da kaydetmiyor ve ekranda IP'nin yalnızca ilk ve son okteti gösteriliyor, ancak geri kalanının da bilinebileceği belirtiliyor
    • GDPR kapsamında IP adresi, takip amacıyla kullanıldığında kişisel veri sayılabiliyor; taken. ise takip, saklama veya log tutma yapmıyor

  • Tarayıcı API'leri

    • Ekran, tarayıcı, dil, GPU, çekirdek sayısı, pil, yazı tipleri ve kullanıcı tercihleri gibi cihaz gözlemleri, MDN Web Docs · Mozilla · CC-BY-SA 2.5 üzerinde herkese açık olarak belgelenmiş standart JavaScript API'leriyle alınıyor
    • Bu davranış, tarayıcının tasarlandığı şekilde mümkün; sonuç da “sorun tasarımın kendisi” noktasına varıyor

  • Yazı tipi ve canvas parmak izi

    • Kurulu yazı tiplerini render edilmiş metin genişliğinden tespit eden yazı tipi parmak izi tekniği 2010'dan beri belgeleniyor; Electronic Frontier Foundation · Cover Your Tracks ise tarayıcının ne kadar benzersiz olduğunu kontrol eden bir araç sunuyor
    • Çoğu tarayıcı, çerez olmadan bile açık web'de takip edilebilecek kadar benzersiz; yazı tipi kombinasyonu da en güçlü sinyallerden biri
    • Princeton University · Web Transparency & Accountability Project tarafından yapılan 2014 tarihli araştırma, canvas parmak izini gerçek web üzerinde ilk kez belgeledi ve ilk 100.000 web sitesinin %5'inde buldu
    • Canvas parmak izi, ziyaretçinin tarayıcısına gizli bir görsel çizdirip ardından render edilen pikselleri bir tanımlayıcı olarak geri okuyarak çalışıyor; taken. bu tekniği çalıştırmadı ama tarayıcı bunu destekliyor

  • Pano ve pil

    • MDN · Clipboard API specification uyarınca, tıklama veya dokunma gibi tek bir kullanıcı hareketiyle sayfa son kopyalanan içeriği okumak için izin isteyebiliyor
    • Son kopyalanan içerik parola, adres veya taslak mesaj olabilir; taken. bunu istemedi ama özelliğin kendisi modern tarayıcılarda mevcut
    • Olejnik, Englehardt ve Narayanan'ın 2015 tarihli “The Leaking Battery” makalesi, yalnızca pil seviyesi ve deşarj süresi birleşimiyle, çerez veya hesap olmadan ziyaretçilerin birden fazla web sitesinde 30 dakikaya kadar takip edilebildiğini gösterdi
    • Firefox bu API'yi 2016'da kaldırdı, ancak Chrome ve Edge hâlâ sunuyor

Çalıştırılmayan teknikler ve bırakılmayan veriler

  • Giriş yapılmış siteleri tespit etme

    • taken. bunu çalıştırmadı; ancak tarayıcıya belirli bir servisin favicon URL'sini yükletip başarı veya başarısızlığı gözlemleyerek hangi sitelerde oturum açıldığını tespit eden tekniğin belgelenmiş, yasal ve yaygın biçimde dağıtılmış olduğu belirtiliyor
    • Giriş yapılmış ve çıkış yapılmış durumda farklı görseller döndürülmesi farkından yararlanıyor; böylece izin olmadan Facebook, Google, X, GitHub, Reddit, LinkedIn gibi birçok serviste oturum açık olup olmadığı anlaşılabiliyor

  • Tarayıcı içinde hesaplanan barkod

    • Sayacın altında görünen 16 çizgi, GPU, yazı tipleri, ekran boyutu, dil, saat dilimi, işletim sistemi, tarayıcı ve renk derinliğinden türetilen yüksekliklerden oluşuyor
    • Aynı veri aynı barkodu üretiyor, farklı ziyaretçiler farklı barkodlar görüyor; hesaplama yalnızca tarayıcı içinde yapılıyor ve gönderilmiyor
    • Tam olarak aynı parmak izine sahip biri varsa aynı çubukları görebilir, ancak bunun olasılığı düşük

  • Cümlelerin üretilme biçimi

    • Tüm cümleleri Matt kendi yazdı; çalışma anında hiçbir dil modeli cümleleri yazmıyor veya düzeltmiyor
    • Kod, tarayıcının döndürdüğü değerlere göre önceden yazılmış cümle şablonlarından birini seçiyor; insan tarafından yazılmış cümlelerle ele alınamayacak bir koşul varsa hiçbir şey söylemeyecek şekilde tasarlanmış

  • Sunucuya gönderilenler

    • Sunucuya gönderilen olaylar yalnızca varış ve tamamlanma olmak üzere iki anonim olay; çerez, tanımlayıcı veya saklanan IP yok
    • Sunucu her isteğin gövdesini atıyor ve hiçbir şey döndürmüyor; isteğin var olduğuna dair aktarım katmanı kayıtları, barındırma sağlayıcısının varsayılan saklama süresi olan genellikle birkaç gün boyunca loglarda kalabilir
    • Çoğu site reklam şirketlerine, parmak izi toplayıcılarına, oturum yeniden oynatma araçlarına ve tag manager'lara yüzlerce ek beacon gönderiyor; taken. ise yalnızca kendi sunucusuna iki tane gönderiyor ve bunu açıkça bildiriyor

  • Cihaza kaydedilenler

    • cookies, localStorage, sessionStorage, IndexedDB ve service worker önbelleğinde hiçbir şey saklanmıyor
    • Ekranda görülen veriler tarayıcı içinde hesaplandı ve IP coğrafi konum sorgusu ile iki anonim olay dışında cihazı terk etmedi
    • Sekme kapatıldığında taken. ziyaretçiyi unutuyor ve kaynak kodunu açarak bunu “çoğu sayfa söyleyemez” ifadesiyle bitiriyor

  • Serinin bağlamı ve üretimi

    • Vol. I, ziyaretçi sitedeyken dünyada olanları; Vol. II, kaçırılan gökyüzünü; Vol. III, zaten ayakların altında olan şeyi; Vol. IV ise giderek daralarak ziyaretçinin kendisini konu alıyor
    • Sayfa, Matt tarafından Rise Up Labs bünyesinde yapıldı ve sonraki sürümler X ile Bluesky üzerinde paylaşılacak

İlgili okumalar

1 yorum

 
GN⁺ 1 시간 전
Hacker News yorumları

  • O şehirde bile değilim. En geniş hâliyle, Linux benzeri bir şey üstünde Chrome benzeri bir şey çalıştırıyorum; ne zaman çalıştığımı ne zaman uyuduğumu da kimse çıkaramaz. Ben bile bilmiyorum
    Sözde son model gelişmiş ekran da 5 yıl önce süpermarketten aldığım ucuz tablet ekranı ve buna rağmen tarayıcı parmak izi toplama sinir bozucu. Light mode'u algılayabiliyorsa bari o ayara saygı duysun, olmaz mı?

    • Bu sayfanın gösterdiği parmak izi toplama seviyesi, gerçek web'de olanların yanında devede kulak
    • Pil yüzdesi de yanlış, şarj durumu da yanlış. Light mode'u algılayabiliyorsa saygı duysun kısmı doğru ama öyle yapsa bile muhtemelen yine düşük kontrastlı çöp bir ekran olurdu
    • Beni “Los Angeles'tasın” diye gösterdi ama sadece saat dilimim orası. İki giriş dili var diye de sanki beni “yakaladık” puanı kazanmış gibi davranıyor ama ben sadece ikinci dili sık kullanıyorum
      “English · Chinese” deyip tarayıcının birincil diliyle ek dillerin büyüdüğün yeri, yaşadığın yeri, hatta birlikte yaşadıklarını anlattığını söylüyor ama İngilizce ve Çince giriş dilleri bunları söylemez. Bu, “telefondan internete baktığın gerçeği telefondan internete erişebilen biri olduğunu ortaya koyuyor” demek gibi bir şey. Teknolojiler birbiriyle etkileşir; teknolojinin çalışma şekli budur. Orwellvari olduğu doğru ama Rusya/Çin/Kuzey Kore gibi gözetim devletlerinden daha Orwellvari olup olmadığı ayrı mesele. Konum paylaşımıyla telefon, araba ve cihaz bulunabiliyor; çevrimiçi etkinliklerle suçlular bulunabiliyor; suç ya da polisin hesap vermesini gerektiren olaylar kayda alınabiliyor. Teknolojinin aşırı müdahaleciliğini bir felaket gibi görmek bilişsel bir tercih ama teknolojimizin bizim hakkımızda ne “bildiğinin” farkında olmak iyi bir şey
    • Apple Private Relay VPN kullanınca konum yüzlerce mil saptı. Web sitesi ya da servislerin konum veritabanına göre beni nerede gördüğünü kontrol etmek her zaman ilginç oluyor; kapatınca birkaç mil içinde tutturuyor. Neyse ki Apple VPN'i engelleyen yer çok az, o yüzden kapatmam gerekmiyor
      Light mode meselesine gerçekten katılıyorum. 30'larımın ortasındayım ama bazı dark mode siteler bana kendimi 80'lerimin ortasındaymışım gibi hissettiriyor. Bu sitede gerçekten hiçbir şey görünmüyor
    • Ben de değilim. Brussels görünüyor ama aslında Antwerp'teyim. Ekran çözünürlüğü de yanlış

  • Keşke gizlilik savunucuları bir kez olsun normal konuşsa. Tarayıcının saat dilimine erişmesini şeytani bir şey gibi paketleyerek kimseyi ikna edemezsin

    • “Koyu arayüzü tercih ediyorsunuz — işletim sistemi bize söyledi.” Yani ayarım tam amaçlandığı gibi çalıştı diye korkutucu mu oluyor?
    • Katılıyorum. Dilim, dark mode kullanıp kullanmadığım, saat dilimim gibi bilgiler daha iyi kullanıcı deneyimi için kullanılabiliyorsa pek umursamıyorum
    • Her şeyi dramatik gösteren tipik kısa LLM üslubu, tırnakla tahtayı kazımak gibi geliyor
    • Ama dünyada bu saat diliminde olan tek kişi ben olsaydım, o zaman beni benzersiz biçimde tanımlamış olurlardı!

  • Bilginin doğru olup olmaması asıl mesele değil. Mesele, çerez olmadan bile beni tanımlamanın bir yolu olması. Daha iyi sitelere bakınca EFF tarafını faydalı buldum
    Tarayıcı parmak izim son 45 günün ziyaretçileri arasında benzersiz çıktı: https://coveryourtracks.eff.org/

    • Bende “web takibine karşı güçlü korumanız var” diyor. JavaScript'i kapatmadan, yani siteler çalışır durumdayken bile, gelişmiş modda Firefox + uBlock Origin sevilmeyecek gibi değil
    • Böyle siteleri birkaç kez çalıştırınca her seferinde benzersiz olmaması gerekmez mi?
    • En azından Avrupa'da, çerez yerine parmak izi toplama kullansan bile GDPR yine geçerli. Bu bilgiyi kullanacaksan açıklaman ve veriyi yasaya uygun işlemen gerekir
    • “Korku, belirsizlik ve şüphe doğru olmasa da olur” demek biraz tuhaf
    • Yine de bilginin yanlış olması daha iyi olurdu. Siteler kaba şekilde beni izlemeye çalışıyorsa, en azından onlara benzersiz çöp veri yedirebilirim

  • JavaScript olmadan girince “JavaScript kapalıysa sayfa, tarayıcının neyi ifşa ettiğini size söyleyemez. Veri hâlâ orada. İfşa hâlâ gerçekleşiyor. Duran tek şey bunun söylenmesi.” diyor
    Bu abartılı LLM üslubu çok rahatsız edici ama en azından tamamen görmezden gelebileceğime dair sinyal verdiği için teşekkürler

  • Ya yaşlandım ya da neredeyse 30 yıldır internet yazılımı yaptığım için bilmiyorum ama bunların hiçbiri bana şaşırtıcı ya da endişe verici gelmiyor
    Biri bağlantı alan bir sunucu kuruyor, biri de o sunucuya bağlantı isteği gönderiyor. Arada bir sözleşme yok; beklenti ya da kural da belirlenmiş değil. Sunucunun her bağlantı isteğini kabul etmesi gerekmiyor, kimsenin de o sunucuya bağlantı isteği göndermesi gerekmiyor. Sunucunun ne döndüreceği ve istemcinin bunu nasıl işleyeceği tarafların kendi meselesi
    Bu mutabakat ya da mutabakat eksikliği iki taraf için de geçerli gibi geliyor. Bir web sitesinin bağlantı isteği bilgisini istediği gibi kullanmasına kullanıcıların kızmaması gerektiğini düşünüyorum ama web sitesi de benim aldığı veriyi istediğim gibi işlememe kızmamalı. Yani web sitesi IP adresimi ve istek ayrıntılarını istediği kadar hatırlayabilir; ben de yanıtta gelen şeyi istediğim gibi kullanabilirim. Reklam engelleyebilirim, sitenin talep ettiği sonraki istekleri reddedebilirim ya da yanıtı istediğim biçimde gösterebilirim. Veriyi isteyen bendim, veriyi gönderen de karşı taraftı
    Benim hakkımda bilinmesini istemediğim bilgi varsa, isteğin içine koyup göndermemeliyim. Veriyi sadece reklam göstereceği zaman vermemi istiyorsa, veriyi göndermeden önce bunu kabul etmemi sağlamalı. Elbette pratikte çoğu insan tarayıcının ne yaptığını bilmiyor, tarayıcının ne gönderdiği üzerinde de gerçek anlamda fazla seçeneği yok ve internet artık hayatın isteğe bağlı bir parçası değil. DDoS gibi şeyler yüzünden tam anlamıyla “her şey serbest” yapısı da gerçekçi değil. Yine de internet isteği yaparken iki taraftan da fazla şey beklememek gerektiğine dair bir sezgim var

    • Asıl temel sorun bu. Tarayıcı kullanıcının temsilcisi olmalı. Zaten adı User Agent. Kullanıcı için çalışmalı; kullanıcı tarayıcının ne yaptığını bilmeli ve tarayıcı, kullanıcının anlamadığı ya da açıkça onaylamadığı şeyleri yapmamalı. Tarayıcımın ne gönderdiği konusunda son söz bende olmalı ve tarayıcı bu yetkiyi kullanmayı önemsiz derecede kolaylaştırmalı
      Gerçekte tarayıcı başkasının temsilcisi gibi davranıyor. Web geliştiriciler için çalışıyor, onların hayatını kolaylaştıran her türlü şeyi sunuyor. Reklamverenler için çalışıyor, izleme ipuçları ve parmak izi toplama olanakları sağlıyor. Tarayıcı geliştiricileri için çalışıyor, metrikler ve telemetriyle başka kim bilir ne veriler topluyor. Ama artık gerçekten benim için çalışmıyor. Arabadaki bir yolcudan ibaretim
      IP adresi tarayıcının kontrol ettiği bir şey değil ve bir web sitesine bağlanmak için ister istemez görünür olması gerektiğini anlıyorum. Ama VPN olmadan varsayılan durumda IP adresinin ülke, eyalet/il ve bazen şehir düzeyine kadar istikrarlı biçimde eşlenebilmesi korkunç bir tasarım kusuru. IP'nin dağıtım biçimindeki büyük bir tasarım sorunu. Daha iyi bir dünyada, yalnızca IP adresine bakarak birinin coğrafi konumu ortaya çıkmamalı
    • “Geri kalanını da biliyoruz. Göstermemeyi seçtik. Çoğu sayfa muhtemelen bunu seçmezdi” gibi ifadeler çocuk korkutmak için yazılmış gibi duruyor. Üstelik gösterilen şey benim internet servis sağlayıcım bile değil. Belki ISP'nin üst sağlayıcısı olabilir
    • Ben de yaşlıyım ama belki de idealist olduğum için bu özelliklerin önemli bir kısmının net bir amaçla eklendiğini düşünüyorum
      İstemcinin dil başlığı ya da desteklenen yazı tipi listesini göndermesi, sunucunun “bu veriyle canın ne isterse yap” demesi değildi. Standartları oluştururken gerçek nedenlerimiz vardı. Web sitesi sağlayıcılarının, daha doğrusu reklam ağlarının, bunları başka amaçlarla kullanmaya karar vermesi o örtük anlaşmayı bozuyor. Tabii belki de ben fazla şey bekliyorumdur
    • Konum komik derecede yanlıştı ve burada yazan biri olarak nedenini de biliyorum. IP adresini sansürlemeleri biraz çocukçaydı ama aşağı indikçe daha iyi oluyor
      Telefonumun pil seviyesini bildi ve cihazla ilgili çıkarımı da doğruydu. Jiroskopu, dokunmatik ekran etkileşimini doğru okudu ve bunların kimlik tespitiyle çıkarım için nasıl kullanılabildiğini gösterdi. Oturuyor musun, ayakta mısın, uzanıyor musun gibi şeylere kadar gidebiliyor. Başlangıç yavaştı ama ilerledikçe ilginçleşti
    • Bizim gibi eski teknik insanlar galiba eski web'in teknolojik özgürlükçü idealine hâlâ inanmak istiyoruz
      Ama bunu yapabilmek için modern web'in kapitalist ve otoriter ideallerini epey görmezden gelmek gerekiyor. Kimsenin kimseye bir şey borçlu olmadığı yaklaşımı, çoğunluğun iyi niyetli aktörler olduğu varsayıldığında eskiden gayet iyi işliyordu. Ama internetin para ve güç tarafı gerçeğe dönüşünce ilişki çok daha çatışmacı oldu. Güven varsayımları ve sorumluluk eksikliği, bir tarafın diğerinin iyi niyetini sömürmesini kolaylaştırıyor. Web'in sunucu-istemci yapısındaki teknik ve güç asimetrisi yüzünden kötüye kullanım da tek yönde akmaya daha yatkın

  • Site güzel ve abartılı cümleler eğlenceli ama daha iyi parmak izi toplama demoları çok var
    Burada gösterilen veri noktası sayısı az. Kontrol edilebilecek çok daha fazla şey var ve önemli bir kısmı yanlış görünüyor. Açıkça “withheld” diye algıladığı sadece bir şey vardı ama aslında birkaç şey gizlenmiş gibiydi, bu da çıktıyı bozmuş olabilir. Biraz kalite kontrol lazım

    • Abartılı ton bayağı komik. “Siz [yanlış şehir]'desiniz. İstersek hemen bir ninja timi gönderip sizi öldürebilirdik ama göndermemeyi seçtik. Minnettar olun” hissi veriyor
    • Özeti şu: bir tane daha AI üretimi ıvır zıvır proje. Bu UI stilini artık onlarca kez gördüm ve yanında hep o belli olan geveze, abartılı cümleler geliyor

  • EFF Cover Your Tracks vibe coding ile yapılmış gibi. Bunun ana sayfaya çıkmış olması, içeriğinin kendisinden daha korkutucu

    • Aynen. “Bunu göze batmayacak şekilde kopyala ve üstüne gösterişli bir landing page teması ekle” denmiş gibi duruyor. Çirkin
    • Gönderiyi, hesabını açalı 21 gün olan biri paylaşmış; daha önce hiç yorum yazmamış ve bu başlığı da takip etmiyor. Hiç yanıt vermemiş, muhtemelen bundan sonra da vermeyecek. Böyle gönderilerin şikâyet edilmemesi Hacker News'i bozuyor

  • Burada görülebilecek çok daha fazla şey var. Super cookie ve parmak izi toplama konusunda çok sayıda önceki çalışma da mevcut
    https://coveryourtracks.eff.org/
    https://amiunique.org/

    • İlginç. EFF sitesini çalıştırınca birçok bilgi arasında benim “MacIntel” olduğumu söyledi. Hâlâ Firefox'un x86 derlemesini çalıştırdığımı sanıp şaşırdım
    • İkisine de alttaki Sources & Confessions modalında bağlantı verilmiş. Cover Your Tracks bu işin manevi atası, amiunique ise daha titiz. Bu da onun özel yapım kuzeni gibi
    • Bilgi sızıntısını kontrol etmek için başka bir araç daha: https://www.ipleak.com/full-report/

  • Vay, sanki ChatGPT kullanan biri tarayıcı başlıkları kavramını keşfetmiş ve üstüne garip şekilde “bunu söylememeyi seçtik” gibi ifadeler eklemiş
    Tarayıcının gerçekten ne gönderdiğini görmek istiyorsan buraya bak:
    https://browserleaks.com/
    https://coveryourtracks.eff.org/

  • “Konumunuzu istemedik. Adresiniz sizden önce geldi” lafı saçmalık. IP adresimi anahtar olarak kullanıp bir konum API'si/hizmetinde sorguladılarsa, konumumu istemiş oldular
    Ayrıca internet iletişiminin çalışması için IP neredeyse zorunlu. Bunu gizleyen servisler kullanmanın yolları var ama o zaman da sizin bilginiz o servislerde oluyor

    • Hayır. Tarayıcıda konum bilgisini istemenin ayrı bir mekanizması var ve burada söylenen “istemek”, onun yapılmadığı anlamına geliyor. Önemli nokta kullanıcıya sorulmamış olması
      Sözlük varsa karşındaki kişiden duyduğun kelimenin ne anlama geldiğini mutlaka ona sormana gerek yok; sözlükten bakabilirsin. Kelimenin birden fazla anlamı olabilir ya da argo olabilir, dolayısıyla yanlış çıkarım yapabilirsin. Bu yanlışlığı düzeltmek için konuşma bağlamı gibi başka veri noktaları gerekebilir ya da doğrudan karşı tarafa sorup doğrulayabilirsin
    • Bunu yanlış okumuş gibisin. Kastedilen “kimseye sormadık” değil, doğrudan kullanıcıya sormadık
      Hem tabii ki adres önce geliyor. Yoksa istenen veriyi nereye geri göndereceksin?
    • Tor benzeri çok atlamalı proxy yapılarında, tasarıma bağlı olarak kaynak IP ile hedef IP'nin eşleştirilemediği biliniyor