Hlavní navigace

Canvas fingerprinting: nový způsob sledování, proti kterému není obrana

 Autor: Isifa
Daniel Dočekal 29. 7. 2014

Zapomeňte na cookies, HTML5 storage a všechny staré metody, jak vás na internetu identifikovat. Nová metoda umí obejít všechna omezení. A pozor, pokud používáte AddThis.

Výzkumníci z Princentonu a belgické KU Leuven zdokumentovali nový způsob, jak sledovat uživatele napříč webem bez použití cookies, HTML5 storage či jakýchkoliv současných metod, proti kterým se už umíme poměrně efektivně bránit.

Canvas fingerprinting“ spočívá v nakreslení skrytého obrázku prohlížečem a v získání unikátních informací, které pak dokáží konkrétní prohlížeč identifikovat. Metodu už objevili ti, kteří nás chtějí sledovat. Aktuálně ji využívá pět procent ze stovek tisíc největších webů na Internetu – včetně například www.whitehouse.gov, www.youporn.com či www.theblaze.com (přehled dalších hledejte zde).

Ještě zajímavější je, že podle objevitelů je zdrojem identifikace AddThis, což je ve skutečnosti kolekce dodatků pro web, která umožňuje návštěvníkům snadné sociální sdílení obsahu.

AddThis přitom uvádí, že metodu pouze zkoušelo a že jeho testy ukazují, že nefunguje dostatečně spolehlivě, takže se teď testování chystá ukončit. Podle jiných ale canvas fingerprinting dosahuje úspěšnost až 90 procent.

Propublica.org uvádí, že po uveřejnění informací o tom, že AddThis využívá tuto metodu identifikace, se ozvali z YouPorn.com s informací o stažení AddThis z jejich stránek. A také s tím, že neměli informace o tom, že AddThis na jejich web přináší něco, co může ohrožovat soukromí jejich uživatelů.

Ringier nás tajně šmíruje přímo, ostatní nevědomě

Pokud se domníváte, že u nás v Česku se nic takového nepoužívá, mýlíte se. Sami autoři studie upozorňují na skripty využívané například na webech Ringieru (dnes Czech News Center) (stat.ringier.cz/js/finger­print.min.js) a pak samozřejmě na dalších doménách, které nasadily AddThis. V případě Ringier.cz je použití dost zjevně vědomé (skript hostují na vlastní doméně), v případě ostatních plyne z využívání AddThis.

Ve skriptu z domény Ringier si moc nepočtete.

Příklad AddThis v roli tajně šmirující služby ukazuje, jak může být nebezpečné používat internetové služby, o kterých netušíte, co vlastně dělají a jak zneužijí toho, že případně dosáhnete vyšších počtů uživatelů. AddThis své „testování“ nasadilo na 13 milionů webů, které jejich službu využívají, a samozřejmě o tom nikomu neřeklo.

Jak to funguje a proč je to potřeba

Kompletní studie o této identifikační metodě je k dispozici v PDF. Ostatně tato technologie byla popsána už v roce 2012 a nejde tedy o nic revolučně nového.

Nové metody identifikace uživatelů napříč Internetem se objevují hlavně kvůli tomu, že původně použvané způsoby začínají být neúčinné – klasické cookies je možné snadno blokovat, navíc mají velmi omezenou životnost a v mobilních zařízeních jsou ještě více problematické. Původní využití cookies z Flashe je už také hodně problematické, na mobilních zařízeních Flash není a v počítačích už to také není tak jednoduché.

„Canvas fingerprinting“ využívá toho, že moderní prohlížeče mají Canvas API, tedy rozhraní, které v tomto konkrétním případě umožňuje vykreslit neviditelný obrázek. A protože se v každém prohlížeči – teoreticky – tento obrázek projeví jinak, je možné prohlížeč identifikovat. To vše za zlomek sekundy a na základě parametrů získaných při vykreslení obrázku.

Canvas fingerpriting = namaluj mi obrázek.

Vykreslený obrázek ovlivňuje řada věci – fonty v počítači, software, rychlost a řada dalších, víceméně odpovídajících i jedné z dřívějších (a také používaných) metod získávání „otisku prstu“ prohlížeče. Ta byla zalžena na informacích, které prohlížeč poskytuje – tedy user agent, velikost obrazovky, barevnost, instalované pluginy, podporované MIME, časová zóna, úložiště, atd.

Jakkoliv canvas fingerpriting nemusí být hlavní metodou identifikace, může se stát výraznou pomůcku v oživování klasických cookies – ty jsou stále nejčastějším a nejspolehlivějším nástrojem, ale mají zásadní problém – ztrácejí se a je potřeba je pravidelně obnovovat. Nové metody identifikace jsou nejčastěji používány za tímto účelem, ostatně není bez zajímavosti, že ve studii najdete gemius.pl na prvním místě těch, kteří podobné technologie potřebuji (Gemius měří i český internet v rámci projektu Netmonitor).

HTML5 Canvas Fingerprinting můžete použít nejenom pro získání dalších informací, ale také pro otestování, jak to funguje, byť v tomto případě nejde o pokročilejší variantu, kterou využívá AddThis. Zajímavé je například to, proč vykreslují obrázek s textem „Cwm fjordbank glyphs vext quiz“. Obsahuje totiž všechna písmena abecedy.

Nemáte-li stále dost čtení na toto téma, můžeme ještě doporučit Pixel Perfect: Fingerprinting Canvas in HTML5 (PDF) a Valve na GitHubu.

Jak se bránit

Proti metodám založeným na otisku prohlížeče vás zpravidla neochrání ani incognito (Chrome) či privátní (Firefox) režimy. Částečně vás ochrání použití Internet Exploreru, protože je tam obtížné se dostat k jedné z podstatných složek, tedy přehledu pluginů.

V Česku Ringier přímo, ostatní prostřednictvím AddThis.

Je samozřejmě jasné, že můžete začít blokovat konkrétní skripty, které něco takového dělají (například výše zmíněný kousek od Ringieru) a také zablokovat vše, co pochází od AddThis. Bude to ale boj s větrnými mlýny a v mobilních zařízeních blokování není dostupné.

WT100

Obrana proti canvas fingerpritingu by mohla spočívat v zablokování příslušného API, ale to dost dobře není možné (a stejně to neblokuje ostatní metody). Jediné, co vám zbývá, je použít například Tor Project, kde selhávají i ostatní metody získávání otisku prohlížeče – detailní a identifikující informace jsou blokovány, respektive posílány v nějaké jednotné podobě.

Zdroj: Meet the Online Tracking Device That is Virtually Impossible to Block 

Našli jste v článku chybu?
Podnikatel.cz: Slevu na dani na EET neuplatní každý

Slevu na dani na EET neuplatní každý

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Podnikatel.cz: Letáky? Lidi zuří, ale ony stále fungují

Letáky? Lidi zuří, ale ony stále fungují

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

DigiZone.cz: Nejnovější špičkové TV ve videu

Nejnovější špičkové TV ve videu

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

DigiZone.cz: Test: brýle pro virtuální realitu Exos Urban

Test: brýle pro virtuální realitu Exos Urban

DigiZone.cz: Digi2GO: výborný základ, ale...

Digi2GO: výborný základ, ale...

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

DigiZone.cz: O2 TV doplnilo kanály HBO v HD

O2 TV doplnilo kanály HBO v HD

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

120na80.cz: Zázrak ze smetiště: co léčí lopuch?

Zázrak ze smetiště: co léčí lopuch?

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Podnikatel.cz: Babišovy firmy a registr smluv. Co odhalil?

Babišovy firmy a registr smluv. Co odhalil?

DigiZone.cz: Na jaká videa se vlastně díváme

Na jaká videa se vlastně díváme