Digitális nyomtatás Canvas segítségével

A vászon ujjlenyomat  az egyik olyan online felhasználókövető eszköz ujjlenyomat -vételi módszere , amely lehetővé teszi a webhelyek számára, hogy cookie-k vagy más hasonló eszközök használata nélkül azonosítsák és nyomon kövessék a HTML5 Canvast használó látogatókat. Ez a módszer 2014-ben kapott jelentős médiavisszhangot [1] [2] [3] [4] , miután a Princeton Egyetem és a KU Leuven kutatói leírták a The Web Never Forgets című tanulmányukban . [5]

Leírás

A Canvas digitális ujjlenyomat-vétele a HTML5 Canvas elem használatával működik . Gunesh Akar és mások leírása szerint: [5]

A grafikus feldolgozó egységgel (GPU) vagy grafikus meghajtóval felszerelt változatok megváltoztathatják a digitális ujjlenyomatot. Ujjlenyomat tárolható, és megosztható a partnerekkel, hogy azonosítsa a felhasználókat, amikor kapcsolt webhelyeket látogatnak meg. A felhasználó online tevékenysége alapján profilt lehet létrehozni, amely lehetővé teszi a hirdetők számára, hogy hirdetéseiket a felhasználó kívánt demográfiai és preferenciái szerint célozzák meg. [3] [6]

2022 januárjára ez a koncepció a grafikus hardver teljesítményspecifikációjává bővült, amelyet a kutatók DrawnApartnak neveztek el . [7]

Egyediség

Mivel az ujjlenyomat elsősorban a lehetséges böngészőbeállítások, az operációs rendszer és a telepített grafikus hardver kombinációitól függ, nem azonosítja egyértelműen a felhasználókat. Az Amazon Mechanical Turk 294 résztvevőjével végzett kis tanulmányban 5,7 bites kísérleti entrópiát figyeltek meg. A tanulmány szerzői azt sugallják, hogy szabad körülmények között a valószínűségi eloszlás bizonytalanságának nagyobb értéke figyelhető meg, és az ujjlenyomatban használt paraméterek nagy száma mellett. Bár ez az ujjlenyomat önmagában nem elegendő az egyes felhasználók azonosításához, más entrópiaforrásokkal kombinálva egyedi azonosítót állíthat elő. Azzal érvelnek, hogy mivel ez a módszer hatékonyan rögzíti a GPU ujjlenyomatát, a valószínűség-eloszlási bizonytalanság mértéke "ortogonális" a korábbi böngésző ujjlenyomat-vételi módszerek entrópiájára, mint például a képernyőfelbontás és a böngésző JavaScript-kérések feldolgozásának képessége. [nyolc]

Egyedibb azonosítás a 2022-ben megjelent DrawnApart segítségével . És ha más módszerek javítására használják, 67%-kal növeli az egyes digitális ujjlenyomatok követési idejét. [7]

Történelem

2012 májusában Keaton Mowery és Hovav Shaham, a San Diego-i Kaliforniai Egyetem kutatói a "Pixel Perfect: HTML5 Fingerprint Canvas" című könyvet írták le, amelyben leírják, hogyan használható a HTML5 Canvas az online felhasználók digitális ujjlenyomatainak generálására. [3] [8]

Az AddThis közösségi könyvjelző-technológiai vállalat 2014 elején kezdett kísérletezni a digitális ujjlenyomat-vétellel a Canvas használatával a cookie -k lehetséges helyettesítőjeként . A 100 000 legnépszerűbb webhely 5%-a használt Canvas-ujjlenyomatot a háttér-infrastruktúráján. [9] Az AddThis vezérigazgatója, Richard Harris szerint a vállalat ezeknek a teszteknek az adatait csak belső kutatásokhoz használta fel. A felhasználók bármely számítógépen leiratkozhatnak a cookie-k adatgyűjtéséről, hogy az AddThis ne kövesse őket ujjlenyomat-vétellel a Canvas használatával. [3]

A szoftverfejlesztő a Forbes-nak elmondta, hogy az eszközök ujjlenyomatát a rendszerekhez való jogosulatlan hozzáférés megakadályozására használták jóval azelőtt, hogy a felhasználók beleegyezése nélküli nyomon követésére használták volna. [2]

2014-től kezdve ezt a módszert számos webhely széles körben alkalmazza, és legalább egy tucat jól ismert webes hirdetési és felhasználókövetési szolgáltató használja. [tíz]

2022-ben a vászon ujjlenyomat-vételi képességei nagymértékben javultak, mivel figyelembe vették az azonos GPU-modell névlegesen azonos blokkjai közötti kisebb különbségeket. Ezek a különbségek a gyártási folyamatban gyökereznek, így az egységek időben meghatározóbbak, mint az azonos másolatok között. [7]

Kockázatcsökkentés

A Tor súgódokumentációja ezt írja: "A beépülő modulok és a beépülő modulok által szolgáltatott információk után úgy gondoljuk, hogy a HTML5 Canvas jelenti a legnagyobb ujjlenyomat-böngészési fenyegetést, amellyel manapság szembesülnek a böngészők." [11] A Tor Browser értesíti a felhasználót a Canvas olvasására tett kísérletekről, és lehetőséget biztosít az üres képadatok visszaküldésére, hogy megakadályozza az eszköz ujjlenyomatát. [5] A Tor Browser azonban jelenleg nem tudja megkülönböztetni a Canvas elem jogszerű használatát az ujjlenyomatvételi erőfeszítésektől, így a figyelmeztetése nem tekinthető bizonyítéknak a webhely azon szándékára, hogy azonosítsa és nyomon kövesse látogatóit. Az EasyPrivacy listával manuálisan hozzáadott böngészőbővítmények, mint például a Privacy Badger, [9] DoNotTrackMe, [12] vagy az Adblock Plus [13] blokkolhatják a harmadik féltől származó hirdetési hálózatok nyomkövetőit, és beállíthatók úgy, hogy blokkolják az ujjlenyomatvételt a Canvas használatával, feltéve, hogy a nyomkövető harmadik fél szervere szolgálja ki (ellentétben azzal, hogy maga a meglátogatott webhely valósítja meg). A Canvas Defender böngészőbővítmény a Firefoxhoz és a Chrome -hoz technológiával egyedi és tartós eszközzajt hoz létre a JS-API hívások blokkolása nélkül, digitális ujjlenyomatot hamisít a Canvas segítségével. Számos böngésző felismerésgátló böngésző hasonló technológián alapul. [tizennégy]

A LibreWolf böngészőprojekt olyan technológiát tartalmaz, amely alapértelmezés szerint blokkolja a Canvas (HTML5) elérését, és csak a felhasználó által engedélyezett bizonyos esetekben teszi lehetővé.

Lásd még

Jegyzetek

  1. Knibbs, Kate. Mit kell tudni a legszigorúbb új online nyomkövető eszközről . Gizmodo (2014. július 21.). Letöltve: 2014. július 21.
  2. 12 Joseph Steinberg . Egy alattomos új technológia követi online – Íme, amit tudnod kell . Forbes (2014. július 23.). Hozzáférés időpontja: 2014. november 15.
  3. 1 2 3 4 Angwin, Julia. Ismerje meg az online nyomkövető eszközt, amelyet gyakorlatilag lehetetlen blokkolni . ProPublica (2014. július 21.). Letöltve: 2014. július 21.
  4. Kirk, Jeremy. A rejtett webes nyomkövető eszközök növekvő adatvédelmi kockázatokat jelentenek a felhasználók számára . PC World (2014. július 21.). Letöltve: 2014. július 21.
  5. 1 2 3
  6. Nikiforakis, Nick; Acar, Günes Browser Ujjlenyomat és az Online-Tracking Arms Race . www.ieee.org . IEEE (2014. július 25.). Letöltve: 2014. október 31.
  7. ↑ 1 2 3 Laor, Tomer; Mehanna, Naif; Durey, Antonin; Djadjuk, Vitalij; Laperdrix, Pierre; Maurice, Clémentine; Oren, Yossi; Rouvoy, Romain; Rudametkin, Walter; Yarom, Yuval (2022). „DRAWNAPART: A távoli GPU ujjlenyomatán alapuló eszközazonosító technika” . Proceedings 2022 Network and Distributed System Security Symposium . DOI : 10.14722/ndss.2022.24093 .
  8. 12 Mowery , Keaton. Pixel Perfect: Ujjlenyomat vászon HTML5-ben . Letöltve: 2018. március 22.
  9. 12. Davis, Wendy . Az EFF szerint a nyomkövető eszköze blokkolja a digitális ujjlenyomatvétel új formáját . MediaPost (2014. július 21.). Letöltve: 2014. július 21.
  10. HTML5 vászon ujjlenyomatot használó webhelyek . webcookies.org. Hozzáférés dátuma: 2014. december 28. Az eredetiből archiválva : 2014. december 28.
  11. A Tor böngésző tervezése és megvalósítása [TERVEZET ] . www.torproject.org . Letöltve: 2018. május 25.
  12. Kirk, Jeremy. A „vászon ujjlenyomat-vétel” online követése alattomos, de könnyen leállítható . PC World (2014. július 25.). Letöltve: 2014. augusztus 9.
  13. Smith, Chris Adblock Plus: Megállíthatjuk a vászon ujjlenyomat-vételét, a „megállíthatatlan” új böngészőkövetési technikát . B.G.R. _ PMC. Archiválva az eredetiből 2014. július 28-án.

Linkek