Výzkumníci z Princentonu a belgické KU Leuven zdokumentovali nový způsob, jak sledovat uživatele napříč webem bez použití cookies, HTML5 storage či jakýchkoliv současných metod, proti kterým se už umíme poměrně efektivně bránit.
„Canvas fingerprinting“ spočívá v nakreslení skrytého obrázku prohlížečem a v získání unikátních informací, které pak dokáží konkrétní prohlížeč identifikovat. Metodu už objevili ti, kteří nás chtějí sledovat. Aktuálně ji využívá pět procent ze stovek tisíc největších webů na Internetu – včetně například www.whitehouse.gov, www.youporn.com či www.theblaze.com (přehled dalších hledejte zde).
Ještě zajímavější je, že podle objevitelů je zdrojem identifikace AddThis, což je ve skutečnosti kolekce dodatků pro web, která umožňuje návštěvníkům snadné sociální sdílení obsahu.
AddThis přitom uvádí, že metodu pouze zkoušelo a že jeho testy ukazují, že nefunguje dostatečně spolehlivě, takže se teď testování chystá ukončit. Podle jiných ale canvas fingerprinting dosahuje úspěšnost až 90 procent.
Propublica.org uvádí, že po uveřejnění informací o tom, že AddThis využívá tuto metodu identifikace, se ozvali z YouPorn.com s informací o stažení AddThis z jejich stránek. A také s tím, že neměli informace o tom, že AddThis na jejich web přináší něco, co může ohrožovat soukromí jejich uživatelů.
Ringier nás tajně šmíruje přímo, ostatní nevědomě
Pokud se domníváte, že u nás v Česku se nic takového nepoužívá, mýlíte se. Sami autoři studie upozorňují na skripty využívané například na webech Ringieru (dnes Czech News Center) (stat.ringier.cz/js/fingerprint.min.js) a pak samozřejmě na dalších doménách, které nasadily AddThis. V případě Ringier.cz je použití dost zjevně vědomé (skript hostují na vlastní doméně), v případě ostatních plyne z využívání AddThis.
Ve skriptu z domény Ringier si moc nepočtete.
Příklad AddThis v roli tajně šmirující služby ukazuje, jak může být nebezpečné používat internetové služby, o kterých netušíte, co vlastně dělají a jak zneužijí toho, že případně dosáhnete vyšších počtů uživatelů. AddThis své „testování“ nasadilo na 13 milionů webů, které jejich službu využívají, a samozřejmě o tom nikomu neřeklo.
Jak to funguje a proč je to potřeba
Kompletní studie o této identifikační metodě je k dispozici v PDF. Ostatně tato technologie byla popsána už v roce 2012 a nejde tedy o nic revolučně nového.
Nové metody identifikace uživatelů napříč Internetem se objevují hlavně kvůli tomu, že původně použvané způsoby začínají být neúčinné – klasické cookies je možné snadno blokovat, navíc mají velmi omezenou životnost a v mobilních zařízeních jsou ještě více problematické. Původní využití cookies z Flashe je už také hodně problematické, na mobilních zařízeních Flash není a v počítačích už to také není tak jednoduché.
„Canvas fingerprinting“ využívá toho, že moderní prohlížeče mají Canvas API, tedy rozhraní, které v tomto konkrétním případě umožňuje vykreslit neviditelný obrázek. A protože se v každém prohlížeči – teoreticky – tento obrázek projeví jinak, je možné prohlížeč identifikovat. To vše za zlomek sekundy a na základě parametrů získaných při vykreslení obrázku.
Canvas fingerpriting = namaluj mi obrázek.
Vykreslený obrázek ovlivňuje řada věci – fonty v počítači, software, rychlost a řada dalších, víceméně odpovídajících i jedné z dřívějších (a také používaných) metod získávání „otisku prstu“ prohlížeče. Ta byla zalžena na informacích, které prohlížeč poskytuje – tedy user agent, velikost obrazovky, barevnost, instalované pluginy, podporované MIME, časová zóna, úložiště, atd.
Jakkoliv canvas fingerpriting nemusí být hlavní metodou identifikace, může se stát výraznou pomůcku v oživování klasických cookies – ty jsou stále nejčastějším a nejspolehlivějším nástrojem, ale mají zásadní problém – ztrácejí se a je potřeba je pravidelně obnovovat. Nové metody identifikace jsou nejčastěji používány za tímto účelem, ostatně není bez zajímavosti, že ve studii najdete gemius.pl na prvním místě těch, kteří podobné technologie potřebuji (Gemius měří i český internet v rámci projektu Netmonitor).
HTML5 Canvas Fingerprinting můžete použít nejenom pro získání dalších informací, ale také pro otestování, jak to funguje, byť v tomto případě nejde o pokročilejší variantu, kterou využívá AddThis. Zajímavé je například to, proč vykreslují obrázek s textem „Cwm fjordbank glyphs vext quiz“. Obsahuje totiž všechna písmena abecedy.
Nemáte-li stále dost čtení na toto téma, můžeme ještě doporučit Pixel Perfect: Fingerprinting Canvas in HTML5 (PDF) a Valve na GitHubu.
Jak se bránit
Proti metodám založeným na otisku prohlížeče vás zpravidla neochrání ani incognito (Chrome) či privátní (Firefox) režimy. Částečně vás ochrání použití Internet Exploreru, protože je tam obtížné se dostat k jedné z podstatných složek, tedy přehledu pluginů.
V Česku Ringier přímo, ostatní prostřednictvím AddThis.
Je samozřejmě jasné, že můžete začít blokovat konkrétní skripty, které něco takového dělají (například výše zmíněný kousek od Ringieru) a také zablokovat vše, co pochází od AddThis. Bude to ale boj s větrnými mlýny a v mobilních zařízeních blokování není dostupné.
Obrana proti canvas fingerpritingu by mohla spočívat v zablokování příslušného API, ale to dost dobře není možné (a stejně to neblokuje ostatní metody). Jediné, co vám zbývá, je použít například Tor Project, kde selhávají i ostatní metody získávání otisku prohlížeče – detailní a identifikující informace jsou blokovány, respektive posílány v nějaké jednotné podobě.
Zdroj: Meet the Online Tracking Device That is Virtually Impossible to Block
