Дактилоскопия холста

Метод снятия отпечатков браузера

Снятие отпечатков пальцев с помощью Canvas — один из методов снятия отпечатков пальцев с помощью браузера для отслеживания пользователей в Интернете , позволяющий веб-сайтам идентифицировать и отслеживать посетителей с помощью элемента HTML5 Canvas вместо файлов cookie браузера или других подобных средств. ^[1] Метод получил широкое освещение в СМИ в 2014 году ^{[2] [3] [4] [5]} после того, как исследователи из Принстонского университета и Университета Католического университета Лёвена описали его в своей статье «Сеть никогда не забывает» . ^[6]

Описание

Отпечатки Canvas работают, используя элемент HTML5 canvas . Как описано Акаром и др. в: ^[6]

Когда пользователь посещает страницу, скрипт снятия отпечатков сначала рисует текст шрифтом и размером по своему выбору и добавляет фоновые цвета (1). Затем скрипт вызывает метод ToDataURL API Canvas, чтобы получить данные пикселей холста в формате dataURL (2), который по сути является представлением двоичных данных пикселей в кодировке Base64. Наконец, скрипт берет хэш данных пикселей в текстовой кодировке (3), который служит в качестве отпечатка ...

Изменения, в которых установлен графический процессор (GPU) или графический драйвер , могут вызывать изменение отпечатка пальца. Отпечаток пальца может быть сохранен и передан рекламным партнерам для идентификации пользователей при посещении ими аффилированных веб-сайтов. Профиль может быть создан на основе активности пользователя в браузере, что позволяет рекламодателям нацеливать рекламу на предполагаемые демографические данные и предпочтения пользователя. ^{[4] [7]}

К январю 2022 года концепция была расширена до снятия отпечатков характеристик производительности графического оборудования, названных исследователями DrawnApart. ^[8]

Уникальность

Поскольку отпечаток в первую очередь основан на браузере, операционной системе и установленном графическом оборудовании, он не идентифицирует пользователей однозначно. В небольшом исследовании с 294 участниками из Amazon's Mechanical Turk была обнаружена экспериментальная энтропия в 5,7 бит. Авторы исследования предполагают, что в дикой природе, вероятно, можно было бы наблюдать большую энтропию и с большим количеством шаблонов, используемых в отпечатке. Хотя этого недостаточно для идентификации отдельных пользователей, этот отпечаток можно объединить с другими источниками энтропии, чтобы предоставить уникальный идентификатор. Утверждается, что, поскольку метод эффективно снимает отпечатки с графического процессора, энтропия «ортогональна» энтропии предыдущих методов снятия отпечатков браузеров, таких как разрешение экрана и возможности браузера JavaScript . ^[9]

Гораздо более уникальная идентификация становится возможной с помощью DrawnApart, опубликованного в 2022 году, который, как было показано, увеличивает продолжительность отслеживания отдельных отпечатков пальцев на 67% при использовании для улучшения других методов. ^[8]

История

В мае 2012 года Китон Мауэри и Ховав Шахам, исследователи из Калифорнийского университета в Сан-Диего , написали статью «Pixel Perfect: Fingerprinting Canvas in HTML5», в которой описали, как HTML5 Canvas может использоваться для создания цифровых отпечатков пальцев веб-пользователей. ^{[4] [9]}

Компания AddThis, занимающаяся технологиями социальных закладок, начала экспериментировать с отпечатками холста в начале 2014 года в качестве потенциальной замены файлов cookie . 5% из 100 000 крупнейших веб-сайтов использовали отпечатки холста, пока они были развернуты. ^[10] По словам генерального директора AddThis Ричарда Харриса, компания использовала только данные, собранные в ходе этих тестов, для проведения внутренних исследований. Пользователи смогут установить файл cookie opt-out на любом компьютере, чтобы предотвратить отслеживание AddThis с помощью отпечатков холста. ^[4]

Разработчик программного обеспечения, пишущий в Forbes, заявил, что снятие отпечатков пальцев с устройств использовалось для предотвращения несанкционированного доступа к системам задолго до того, как оно стало использоваться для отслеживания пользователей без их согласия. ^[3]

По состоянию на 2014 год эта технология широко распространена на многих веб-сайтах и ​​используется по крайней мере дюжиной известных поставщиков веб-рекламы и отслеживания пользователей. ^[11]

В 2022 году возможности снятия отпечатков пальцев с холста были значительно расширены за счет учета мельчайших различий между номинально идентичными блоками одной и той же модели GPU. Эти различия коренятся в производственном процессе, делая блоки более детерминированными с течением времени, чем между идентичными копиями. ^[8]

Смягчение

Типичное уведомление браузера Tor о попытке веб-сайта выполнить чтение холста.

Справочная документация Tor Project гласит: «После плагинов и предоставляемой плагинами информации мы считаем, что HTML5 Canvas является самой большой угрозой снятия отпечатков, с которой сталкиваются браузеры сегодня». ^[12] Tor Browser уведомляет пользователя о попытках чтения холста и предоставляет возможность возвращать пустые данные изображения для предотвращения снятия отпечатков. ^[6] Однако в настоящее время Tor Browser не может отличить законное использование элемента холста от попыток снятия отпечатков, поэтому его предупреждение не может быть принято как доказательство намерения веб-сайта идентифицировать и отслеживать своих посетителей. Надстройки браузера, такие как Privacy Badger , ^[10] DoNotTrackMe , ^[13] или Adblock Plus ^{, [14]} вручную улучшенные с помощью списка EasyPrivacy, способны блокировать сторонние трекеры рекламных сетей и могут быть настроены для блокировки снятия отпечатков холста, при условии, что трекер обслуживается сторонним сервером (а не внедряется самим посещаемым веб-сайтом). ^{[ требуется ссылка ]} Canvas Defender , надстройка браузера, подделывает отпечатки Canvas. ^[15]

Проект браузера LibreWolf включает технологию, которая блокирует доступ к HTML5 Canvas по умолчанию, разрешая его только в определенных случаях, разрешенных пользователем.

Смотрите также

• Evercookie – тип cookie-файлов браузера, которые намеренно трудно удалить.
• Локальный общий объект — постоянный файл cookie браузера, также известный как Flash cookie.
• Веб-хранилище – методы и протоколы программного обеспечения веб-приложений, используемые для хранения данных в веб-браузере.

Ссылки

1. Обайдат, Муат (2020). «Обманщик холста — новый механизм защиты от снятия отпечатков пальцев с холста». Журнал системики, кибернетики и информатики . 18 (6): 66–74.
2. Knibbs, Kate (21 июля 2014 г.). «Что вам нужно знать о самом хитром новом инструменте онлайн-отслеживания». Gizmodo . Получено 21 июля 2014 г.
3. Джозеф Стейнберг (23 июля 2014 г.). «Вас отслеживают в сети с помощью новой хитрой технологии — вот что вам нужно знать». Forbes . Получено 15 ноября 2014 г.
4. Angwin, Julia (21 июля 2014 г.). «Встречайте устройство онлайн-отслеживания, которое практически невозможно заблокировать». ProPublica . Получено 21 июля 2014 г.
5. Кирк, Джереми (21 июля 2014 г.). «Скрытые инструменты веб-отслеживания представляют растущие риски для конфиденциальности пользователей». PC World . Получено 21 июля 2014 г.
6. • Акар, Гунес; Юбэнк, Кристиан; Энглхардт, Стивен; Хуарес, Марк; Нараянан, Арвинд; Диас, Клаудия. «Сеть никогда не забывает: постоянные механизмы отслеживания в дикой природе» (PDF) . Получено 24 июля 2014 г.
   • «Постоянные механизмы отслеживания в дикой природе». 24 июля 2014 г. Архивировано из оригинала 27 июля 2014 г. Получено 24 июля 2014 г.
   • «Сайты со скриптами отпечатков пальцев Canvas на своих домашних страницах по состоянию на 1–5 мая 2014 г.». URL-адреса отпечатков пальцев Canvas — The Web never forgets: Persistent tracking mechanisms in the wild . Архивировано из оригинала 28 июля 2014 г. . Получено 27 августа 2021 г. .
7. Никифоракис, Ник; Акар, Гюнес (2014-07-25). «Отпечатки браузера и гонка вооружений онлайн-отслеживания». IEEE . IEEE . Получено 31 октября 2014 г. .
8. Laor, Tomer; Mehanna, Naif; Durey, Antonin; Dyadyuk, Vitaly; Laperdrix, Pierre; Maurice, Clémentine; Oren, Yossi; Rouvoy, Romain; Rudametkin, Walter; Yarom, Yuval (2022). "DRAWNAPART: Метод идентификации устройств на основе удаленного снятия отпечатков пальцев с графического процессора". Труды Симпозиума по безопасности сетей и распределенных систем 2022 г. arXiv : 2201.09956 . doi : 10.14722/ndss.2022.24093 . ISBN 978-1-891562-74-7.
9. Mowery, Keaton; Shacham, Hovav. "Pixel Perfect: Fingerprinting Canvas in HTML5" (PDF) . Получено 22 марта 2018 г. .
10. Davis, Wendy (21 июля 2014 г.). "EFF заявляет, что ее антиотслеживающий инструмент блокирует новую форму цифровой дактилоскопии". MediaPost . Получено 21 июля 2014 г.
11. "Веб-сайты, использующие HTML5 Canvas Fingerprinting". WebCookies.org. Архивировано из оригинала 2014-12-28 . Получено 2014-12-28 .
12. "Проект и реализация браузера Tor [ЧЕРНОВИК]". www.torproject.org . Получено 25.05.2018 .
13. Кирк, Джереми (25 июля 2014 г.). «Онлайн-отслеживание с помощью «отпечатков пальцев холста» — это хитро, но легко остановить». PC World . Получено 9 августа 2014 г.
14. Смит, Крис. «Adblock Plus: Мы можем остановить отпечатки пальцев Canvas, «неостановимую» новую технологию отслеживания браузера». BGR . PMC. Архивировано из оригинала 28 июля 2014 г.
15. • Canvas Defender от: multiloginapp.com в интернет-магазине Chrome
    • Canvas Defender от: multiloginapp.com на addons.mozilla.org
    • Canvas Defender на multiloginapp.com

Внешние ссылки

• https://browserleaks.com/canvas