Hlavní navigace

Canvas fingerprinting: nový způsob sledování, proti kterému není obrana

 Autor: Isifa
Daniel Dočekal 29. 7. 2014

Zapomeňte na cookies, HTML5 storage a všechny staré metody, jak vás na internetu identifikovat. Nová metoda umí obejít všechna omezení. A pozor, pokud používáte AddThis.

Výzkumníci z Princentonu a belgické KU Leuven zdokumentovali nový způsob, jak sledovat uživatele napříč webem bez použití cookies, HTML5 storage či jakýchkoliv současných metod, proti kterým se už umíme poměrně efektivně bránit.

Canvas fingerprinting“ spočívá v nakreslení skrytého obrázku prohlížečem a v získání unikátních informací, které pak dokáží konkrétní prohlížeč identifikovat. Metodu už objevili ti, kteří nás chtějí sledovat. Aktuálně ji využívá pět procent ze stovek tisíc největších webů na Internetu – včetně například www.whitehouse.gov, www.youporn.com či www.theblaze.com (přehled dalších hledejte zde).

Ještě zajímavější je, že podle objevitelů je zdrojem identifikace AddThis, což je ve skutečnosti kolekce dodatků pro web, která umožňuje návštěvníkům snadné sociální sdílení obsahu.

AddThis přitom uvádí, že metodu pouze zkoušelo a že jeho testy ukazují, že nefunguje dostatečně spolehlivě, takže se teď testování chystá ukončit. Podle jiných ale canvas fingerprinting dosahuje úspěšnost až 90 procent.

Propublica.org uvádí, že po uveřejnění informací o tom, že AddThis využívá tuto metodu identifikace, se ozvali z YouPorn.com s informací o stažení AddThis z jejich stránek. A také s tím, že neměli informace o tom, že AddThis na jejich web přináší něco, co může ohrožovat soukromí jejich uživatelů.

Ringier nás tajně šmíruje přímo, ostatní nevědomě

Pokud se domníváte, že u nás v Česku se nic takového nepoužívá, mýlíte se. Sami autoři studie upozorňují na skripty využívané například na webech Ringieru (dnes Czech News Center) (stat.ringier.cz/js/finger­print.min.js) a pak samozřejmě na dalších doménách, které nasadily AddThis. V případě Ringier.cz je použití dost zjevně vědomé (skript hostují na vlastní doméně), v případě ostatních plyne z využívání AddThis.

Ve skriptu z domény Ringier si moc nepočtete.

Příklad AddThis v roli tajně šmirující služby ukazuje, jak může být nebezpečné používat internetové služby, o kterých netušíte, co vlastně dělají a jak zneužijí toho, že případně dosáhnete vyšších počtů uživatelů. AddThis své „testování“ nasadilo na 13 milionů webů, které jejich službu využívají, a samozřejmě o tom nikomu neřeklo.

Jak to funguje a proč je to potřeba

Kompletní studie o této identifikační metodě je k dispozici v PDF. Ostatně tato technologie byla popsána už v roce 2012 a nejde tedy o nic revolučně nového.

Nové metody identifikace uživatelů napříč Internetem se objevují hlavně kvůli tomu, že původně použvané způsoby začínají být neúčinné – klasické cookies je možné snadno blokovat, navíc mají velmi omezenou životnost a v mobilních zařízeních jsou ještě více problematické. Původní využití cookies z Flashe je už také hodně problematické, na mobilních zařízeních Flash není a v počítačích už to také není tak jednoduché.

„Canvas fingerprinting“ využívá toho, že moderní prohlížeče mají Canvas API, tedy rozhraní, které v tomto konkrétním případě umožňuje vykreslit neviditelný obrázek. A protože se v každém prohlížeči – teoreticky – tento obrázek projeví jinak, je možné prohlížeč identifikovat. To vše za zlomek sekundy a na základě parametrů získaných při vykreslení obrázku.

Canvas fingerpriting = namaluj mi obrázek.

Vykreslený obrázek ovlivňuje řada věci – fonty v počítači, software, rychlost a řada dalších, víceméně odpovídajících i jedné z dřívějších (a také používaných) metod získávání „otisku prstu“ prohlížeče. Ta byla zalžena na informacích, které prohlížeč poskytuje – tedy user agent, velikost obrazovky, barevnost, instalované pluginy, podporované MIME, časová zóna, úložiště, atd.

Jakkoliv canvas fingerpriting nemusí být hlavní metodou identifikace, může se stát výraznou pomůcku v oživování klasických cookies – ty jsou stále nejčastějším a nejspolehlivějším nástrojem, ale mají zásadní problém – ztrácejí se a je potřeba je pravidelně obnovovat. Nové metody identifikace jsou nejčastěji používány za tímto účelem, ostatně není bez zajímavosti, že ve studii najdete gemius.pl na prvním místě těch, kteří podobné technologie potřebuji (Gemius měří i český internet v rámci projektu Netmonitor).

HTML5 Canvas Fingerprinting můžete použít nejenom pro získání dalších informací, ale také pro otestování, jak to funguje, byť v tomto případě nejde o pokročilejší variantu, kterou využívá AddThis. Zajímavé je například to, proč vykreslují obrázek s textem „Cwm fjordbank glyphs vext quiz“. Obsahuje totiž všechna písmena abecedy.

Nemáte-li stále dost čtení na toto téma, můžeme ještě doporučit Pixel Perfect: Fingerprinting Canvas in HTML5 (PDF) a Valve na GitHubu.

Jak se bránit

Proti metodám založeným na otisku prohlížeče vás zpravidla neochrání ani incognito (Chrome) či privátní (Firefox) režimy. Částečně vás ochrání použití Internet Exploreru, protože je tam obtížné se dostat k jedné z podstatných složek, tedy přehledu pluginů.

V Česku Ringier přímo, ostatní prostřednictvím AddThis.

Je samozřejmě jasné, že můžete začít blokovat konkrétní skripty, které něco takového dělají (například výše zmíněný kousek od Ringieru) a také zablokovat vše, co pochází od AddThis. Bude to ale boj s větrnými mlýny a v mobilních zařízeních blokování není dostupné.

Obrana proti canvas fingerpritingu by mohla spočívat v zablokování příslušného API, ale to dost dobře není možné (a stejně to neblokuje ostatní metody). Jediné, co vám zbývá, je použít například Tor Project, kde selhávají i ostatní metody získávání otisku prohlížeče – detailní a identifikující informace jsou blokovány, respektive posílány v nějaké jednotné podobě.

Zdroj: Meet the Online Tracking Device That is Virtually Impossible to Block 

Našli jste v článku chybu?

29. 7. 2014 8:08

xt (neregistrovaný)

"Je potřeba říct, že bez schopnosti identifikovat uživatele mají webové aplikace omezené možnosti dosáhnout uspokojivého UX. Nemůžeme chtít, aby nám krejčí ušil kvalitní oblek a nedovolit mu si nás změřit."

Prominte, ale to mi prijde jako nesmysl. Pokud chci, aby mne stranka identifikovala, proste se prihlasim svym jmenem a heslem.

29. 7. 2014 7:54

_pepak (neregistrovaný)

pravidelné updatování prohlížeče (např. nové Safari na Macu je každou chvíli) musí taky metodu nabourávat. Je to tak?

IMHO ne nezbytně. Když budu uvažovat zásadní techniku spočívající ve vykreslování textu, tak na tu mají vliv zejména věci, které jsou v rámci prohlížeče poměrně konstantní - konkrétní verze fontu (jak často aktualizujete Times New Roman?), vykreslovací jádro (prohlížeč sem tam přejde z GDI na DirectWrite, ale moc časté to není), ovladače grafické karty (ale jak často v changelog…

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: Vláknina: Rozpustná, nebo nerozpustná?

Vláknina: Rozpustná, nebo nerozpustná?

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Podnikatel.cz: Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Přivýdělek u Airbnb nebo Uberu? Čekejte kontrolu

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Vitalia.cz: Manželka je bio, ale na sex moc není

Manželka je bio, ale na sex moc není

Vitalia.cz: Naučí vás péct kváskový chléb bez lepku i s lepkem

Naučí vás péct kváskový chléb bez lepku i s lepkem

120na80.cz: 5 poporodních problémů a jejich řešení

5 poporodních problémů a jejich řešení

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?