Czy strona internetowa może zobaczyć / znać mój adres MAC, nawet jeśli korzystam z VPN? [duplikować]

Przeszukałem inne wyniki i przeczytałem wiele z nich, ale nie mogłem uzyskać wystarczającej ilości informacji.

Moje pytanie polega na tym, że witryna może zobaczyć mój adres MAC lub może zawierać informacje o tym, że jestem tą samą osobą na następujących warunkach:

1. Używam VPN i używam dwóch adresów IP: pierwszy jest normalny, drugi to adres IP VPN.

2. Korzystam z dwóch przeglądarek, aby ukryć się za odciskami palców przeglądarki. Korzystam z obu przeglądarek w trybie incognito. Zawsze używam jednego dla normalnego adresu IP, jednego dla adresu IP VPN.

3. Nie wiem, czy witryna korzysta z plików cookie, czy nie. Ale czy mogą zebrać wystarczającą ilość informacji, aby udowodnić, że te dwie tożsamości należą do tej samej osoby?

Czy istnieje inny sposób, by przekonać się, że jestem tą samą osobą? Używam różnych adresów IP, różnych przeglądarek i używam obu przeglądarek w trybie incognito. Zmieniłem nawet język przeglądarki na angielski. Więc nawet jeśli pobiorą moje informacje z przeglądarki, zobaczą dwie przeglądarki używające różnych języków.

(Dodanie po edycji): Zmieniłem więc mój adres IP i informacje o przeglądarce, a strona internetowa nie może już dotrzeć do tych informacji, aby udowodnić, że jestem tą samą osobą, która korzysta z dwóch kont. Przejdźmy więc do tytułu: czy widzą mój adres MAC? Ponieważ uważam, że jest to ostatni sposób, w jaki mogą mnie zidentyfikować, a moim głównym pytaniem jest to. Napisałem powyższe informacje, aby wspomnieć, że zmieniłem adresy IP i mam pewne środki ostrożności, aby uniknąć pobierania odcisków palców w przeglądarce (przy okazji mój dostawca VPN ma już usługę blokowania tego). Napisałem je, ponieważ przeczytałem podobne porady w niektórych powiązanych pytaniach, ale moje pytanie brzmi: czy widzą mój adres MAC (lub cokolwiek innego, co może mnie wykryć) pomimo tych wszystkich środków ostrożności.

I na koniec

4. Czy istnieje dodatkowy sposób na anonimowość, który mogę zrobić? Na przykład, czy mój zegar systemowy lub cokolwiek innego może dostarczyć informacji?

Z góry dziękuję.

Jedynymi witrynami, które mogą uzyskiwać dostęp do adresów MAC, są witryny, na które można pobrać komponent oprogramowania, aby się z nimi połączyć, co pozwala na obejście zwykłych reguł. Więc technicznie musisz najpierw wyrazić zgodę, robiąc to. ActiveX i WMI (interfejs Windows za pomocą Instrumentacji zarządzania Windows) dla Internet Explorera i Javy to metody, które mogą przekazywać adres MAC. ActiveX wymaga zainstalowanego WMI, aby to działało.

Oto skrypt używający WMI, który odczytuje adresy MAC: http://www.qualitycodes.com/tutorial.php?articleid=19&title=MAC-Address-Using-WMI-on-Internet-Explorer [UWAGA: ten link jest już nieaktualny , ale skrypt wcześniej hostowany w tej lokalizacji wykonał zadanie na komputerach z systemem Windows obsługujących WMI, więc nadal potrzebowałem informacji jako odpowiedzi na to pytanie.]

Oto pytanie z kodem do wykonania tego w Javie na StackOverflow: /programming/10962072/get-mac-address-in-java-using-gethardwareaddress-non-deterministic

Jak wspomniano w komentarzu Hennesa poniżej, adresy MAC są wyłącznie wewnętrzne. Serwery sieciowe zazwyczaj nie przekazują tych informacji ... tylko adresy IP, a nawet wtedy - użytkownicy często pokazują tylko adres IP swojej lokalizacji. Jeśli idziesz na przykład na stronę internetową, w kawiarni, pokazany adres IP to sklep z kawą, a nie użytkownik w sieci.

W odniesieniu do adresów IP - JavaScript może teraz używać WebRTC (te przykłady dla nowszych wersji Chrome i Firefox), aby wyświetlać wewnętrzne adresy IP, jak wyjaśniono w tym artykule: https://hacking.ventures/local-ip-discovery-w--mlml- webrtc-security-and-prywatność-ryzyko / Zobacz działające przykłady na żywo tutaj: http://net.ipcalf.com/ i taki, który próbuje wykryć wszystkie adresy IP w twoim lokalnym zasięgu tutaj: https://dl.dropboxusercontent.com /u/1878671/enumhosts.html Nie należy tego mylić z danymi adresu MAC. Jeśli JavaScript jest wyłączona, to oczywiście nie zadziała.

Ponieważ wspomniano w pytaniu, JavaScript odczytuje czas z zegara w twoim systemie. Kiedy publikujesz na jednej stronie w formie, może to opublikować czas z javascript, podając strefę czasową, w której się znajdujesz. Aplikacje, które używają w czasie rzeczywistym, podobnie jak aplikacje do licytacji online, robią to. Jeśli jest to inny czas niż czas, który widzi serwer, można by tak powiedzieć „flagą”. Rozwiązaniem jest zabicie JavaScript lub zmiana czasu zegara. Sam w sobie jednak nie daje wiele. Nie wszyscy mają poprawnie ustawiony zegar, ale większość ma automatyczną synchronizację z serwerami czasu rzeczywistego, zwłaszcza z telefonami komórkowymi.

W komentarzach poniżej specjalista wspomniał, że WMI można wyłączyć. Tak jak ActiveX, JavaScript i Java, które można po prostu odinstalować.

Same pliki cookie uzyskują czas serwera, a nie czas z przeglądarki internetowej. Jeśli potrzebujesz czasu po stronie klienta, metoda JavaScript, o której wspomniałem powyżej, jest na to sposobem.

Jeśli patrzysz na stronę, a dwie przeglądarki internetowe wychodzą z tego samego adresu IP (co zrobiłbyś, gdybyś nie używał serwerów proxy) - nie byłoby konieczne sprawdzanie pliku cookie, aby wiedzieć, że pochodzą z tej samej lokalizacji. Dziennik IP mówi im to. Nie mogą wiedzieć, że pochodzi z tego samego komputera w „laboratorium”, ale można się domyślić, ponieważ znajdują się w tym samym przedziale czasowym w dzienniku internetowym. To może nie pomóc - jedna osoba lub osoba ze wspólnikiem ... można to zobaczyć w tym świetle.

Serwery proxy rozwiązałyby oczywiście problem adresu IP dziennika serwera. Obie przeglądarki używające innej lokalizacji proxy, jak wspomniano, są świetne.

Strony internetowe w ogóle nie widzą twojego adresu MAC, więc nie musisz korzystać z VPN.

Inni odpowiedzieli już na główne pytania techniczne, a mój komentarz do niektórych z nich odpowiada na wasze wątpliwości dotyczące adresu MAC. Więc skoncentruję się na tym:

I na koniec

Czy istnieje dodatkowy sposób na anonimowość, który mogę zrobić? Na przykład, czy mój zegar systemowy lub cokolwiek innego może dostarczyć informacji?

Tak, jest jeszcze jedna rzecz, która może cię potknąć: twoja osobowość. To, co próbujesz zrobić, nazywa się sockpuppeting. Być może zauważyłeś, że niektóre strony, takie jak Stackoverflow i Reddit, mają moderatorów. Są ostatnią linią obrony przed marionetkami. Z mojego osobistego doświadczenia wynika, że ​​opierają swoje wykrywanie przede wszystkim na „przeczuciu”.

Gdy podejrzewają, że coś jest podejrzane, zwykle przekopują Twoją historię publikowania i znajdują zwroty, poglądy polityczne, błędne interpretacje lub dowolny spójny wzór. W ten sposób wykonuje się wykrywanie marionetek po przejściu obok auto-detektorów, takich jak wykrywanie odsyłaczy lub wykrywanie adresu IP lub wykrywanie podobieństwa nazwy użytkownika (to niesamowite, jak niektórzy ludzie upierają się przy użyciu wykrywalnych wzorców przy wybieraniu nazw użytkowników) itp.

Przeciw innemu człowiekowi trudno jest uniknąć wykrycia, chyba że twoje drugie konto w ogóle nie robi nic, co jest związane z twoim pierwszym kontem. Z drugiej strony, ogólnie rzecz biorąc, pokonuje to cel skarpetkowych lalek.

Adres MAC klienta jest wykorzystywany przez protokół warstwy 2, np. Ethernet, do jednoznacznej identyfikacji każdego węzła w sieci lokalnej. Najprawdopodobniej witryna internetowa, do której docierasz, NIE znajduje się w sieci lokalnej i dlatego nie zobaczy twojego adresu MAC.

Dla ilustracji załóżmy, że masz komputer w sieci LAN i chcesz uzyskać dostęp do strony internetowej, np. Google.com. Pierwszą rzeczą, którą musisz zrobić, to znaleźć najlepszą drogę do google.com. Będzie to przez router. najprawdopodobniej jakiś router szerokopasmowy. Jeśli korzystasz z sieci Ethernet, twoje systemy sieciowe umieszczają ramkę Ethernet wokół kawałków danych w żądaniu. W każdej ramce będzie znajdować się adres MAC i adres MAC. Adres MAC to adres MAC routera, a adres MAC to komputer MAC.

Router, gdy odbierze ramkę, zdejmie ramkę i zmieni jej ramkę na następny etap podróży. Nie wiem wiele na temat ramkowania ADSL, ale nadal będzie używana ramka - jakaś ramka typu dsl. Tym razem adres do MAC będzie MAC następnego węzła na trasie do google.com. Adres MAC będzie adresem MAC strony szerokopasmowej routera.

Widzisz, google.com nigdy nie zobaczy adresu MAC twojego komputera. Widzi twój adres IP, oczywiście, ale nie twój MAC.

Myślę, że to dość oczywiste, że oprogramowanie działające na twoim komputerze może dostarczyć praktycznie każdej informacji potrzebnej do złamania twojej anonimowości. Może to być przypadkowe zainstalowanie oprogramowania. Jeśli ma później dostęp do sieci i warstwy oprogramowania, prawdopodobnie może mówić do siebie, aby ustanowić połączenie przez obie sieci i zrezygnować z tożsamości. Uważam, że uruchomienie dwóch maszyn wirtualnych jest nieco silniejszą metodą, choć nie idealną. Istnieje niewielka szansa, że ​​oprogramowanie na maszynie wirtualnej przemówi do innej maszyny wirtualnej, jeśli zostanie odpowiednio skonfigurowane, jednak oczywiście oprogramowanie na maszynie wirtualnej może rozgłaszać adres MAC na coś, co można dopasować. Na koniec dnia mogą nadal pasować do podobnych nazw użytkowników lub innych wzorców i niewiele można na to poradzić.

To zależy od strony internetowej, do której uzyskujesz dostęp i specjalnych skryptów uruchamianych na ich serwerach.

Na przykład:

Po połączeniu się z hotspotem Wi-Fi najpierw zostaniesz przekierowany na stronę logowania, na której musisz podać swoje dane uwierzytelniające, aby uzyskać dalszy dostęp do Internetu. Jeśli zaznaczysz pasek adresu na tej stronie logowania, odkryjesz tam swój adres MAC i najprawdopodobniej adres MAC routera, z którym się łączysz. Nie musisz instalować żadnego specjalnego oprogramowania na swoim komputerze. Skrypt ten jest pobierany przez przeglądarkę z serwera, na którym znajduje się strona logowania. Oznacza to, że skrypt odczytuje informacje o karcie sieciowej i tworzy złożony ciąg znaków umieszczony w pasku adresu przeglądarki.

Po zalogowaniu informacje o adresie MAC wysłane przez komputer oraz dane uwierzytelniające (identyfikator użytkownika i hasło) są umieszczane w bazie danych przez dostawcę hotspotu Wi-Fi. Od tego momentu, za każdym razem, gdy łączysz się z tą siecią Wi-Fi (niezależnie od fizycznego punktu dostępowego), twój adres MAC będzie sprawdzany względem bazy danych. Jeśli poświadczenia są nadal aktualne i ważne, otrzymasz dostęp do Internetu, bez potrzeby ponownego logowania.

Twój adres MAC i / lub dane uwierzytelniające mogą być dalej wykorzystywane przez dostawcę hotspotu Wi-Fi do monitorowania i ograniczania twojego dostępu do sieci na podstawie długości dostępu, czasu dostępu, ilości przesyłanych danych, rodzaju danych, do których uzyskano dostęp itp.

Aby odpowiedzieć na pierwotne pytanie, strona internetowa może odczytać twój adres MAC, ale muszą mieć specjalne skrypty na swoich serwerach i zmusić przeglądarkę do ich pobrania.