Цифровой отпечаток с использованием Canvas: различия между версиями
[непроверенная версия] | [непроверенная версия] |
Нет описания правки |
м Форматирование дат согласно Википедия:Техническое соглашение о датах и времени и Википедия:Обсуждение правил/Википедия:Техническое соглашение о датах и времени |
||
Строка 27: | Строка 27: | ||
== Уменьшение рисков == |
== Уменьшение рисков == |
||
[[Файл:Typical_Tor_Browser_notification_of_a_canvas_read_attempt.png|мини|Уведомление браузера Tor о веб-сайте, пытающемся прочитать холст.]] |
[[Файл:Typical_Tor_Browser_notification_of_a_canvas_read_attempt.png|мини|Уведомление браузера Tor о веб-сайте, пытающемся прочитать холст.]] |
||
В справочной документации [[Tor]] говорится: «После плагинов и информации, предоставляемой плагинами, мы считаем, что HTML5 Canvas является самой большой угрозой для браузеров с отпечатками пальцев, с которой сегодня сталкиваются браузеры».<ref>{{Cite web|url=https://www.torproject.org/projects/torbrowser/design/#fingerprinting-linkability|title=The Design and Implementation of the Tor Browser [DRAFT]|website=www.torproject.org|access-date=2018-05-25}}</ref> Браузер Tor уведомляет пользователя о попытках чтения Canvas и предоставляет возможность вернуть пустые данные изображения, чтобы предотвратить определением цифрового отпечатка устройства.<ref name="WebNeverForgets" /> Однако в настоящее время Tor Browser не может отличить законное использование элемента Canvas от усилий по определению цифрового отпечатка, поэтому его предупреждение нельзя рассматривать как доказательство намерений веб-сайта идентифицировать и отслеживать своих посетителей. Надстройки браузера, такие как Privacy Badger, DoNotTrackMe или [[Adblock Plus]], Browser add-ons like Privacy Badger,<ref name="Davis" /> DoNotTrackMe,<ref name="Kirk2" /> or [[Adblock Plus]]<ref name="Adblock">{{cite web|url=http://bgr.com/2014/07/23/how-to-disable-canvas-fingerprinting/|title=Adblock Plus: We can stop canvas fingerprinting, the 'unstoppable' new browser tracking technique|website=BGR|publisher=PMC|archiveurl=https://web.archive.org/web/20140728014705/http://bgr.com/2014/07/23/how-to-disable-canvas-fingerprinting/|archivedate= |
В справочной документации [[Tor]] говорится: «После плагинов и информации, предоставляемой плагинами, мы считаем, что HTML5 Canvas является самой большой угрозой для браузеров с отпечатками пальцев, с которой сегодня сталкиваются браузеры».<ref>{{Cite web|url=https://www.torproject.org/projects/torbrowser/design/#fingerprinting-linkability|title=The Design and Implementation of the Tor Browser [DRAFT]|website=www.torproject.org|access-date=2018-05-25}}</ref> Браузер Tor уведомляет пользователя о попытках чтения Canvas и предоставляет возможность вернуть пустые данные изображения, чтобы предотвратить определением цифрового отпечатка устройства.<ref name="WebNeverForgets" /> Однако в настоящее время Tor Browser не может отличить законное использование элемента Canvas от усилий по определению цифрового отпечатка, поэтому его предупреждение нельзя рассматривать как доказательство намерений веб-сайта идентифицировать и отслеживать своих посетителей. Надстройки браузера, такие как Privacy Badger, DoNotTrackMe или [[Adblock Plus]], Browser add-ons like Privacy Badger,<ref name="Davis" /> DoNotTrackMe,<ref name="Kirk2" /> or [[Adblock Plus]]<ref name="Adblock">{{cite web|url=http://bgr.com/2014/07/23/how-to-disable-canvas-fingerprinting/|title=Adblock Plus: We can stop canvas fingerprinting, the 'unstoppable' new browser tracking technique|website=BGR|publisher=PMC|archiveurl=https://web.archive.org/web/20140728014705/http://bgr.com/2014/07/23/how-to-disable-canvas-fingerprinting/|archivedate=2014-07-28|last1=Smith|first1=Chris|url-status=dead}}</ref> дополненные вручную списком EasyPrivacy, могут блокировать сторонние трекеры рекламных сетей и могут быть настроены на блокировку определение цифрового отпечатка с использованием Canvas при условии, что трекер обслуживается сторонним сервером (как в отличие от реализации самим посещаемым веб-сайтом). Браузерное расширение ''Canvas Defender'' для [[Mozilla Firefox|Firefox]] и [[Google Chrome|Chrome]] использует технологию создания уникального и постоянного шума устройств, не блокируя вызовы JS-API, подделывает цифровой отпечаток с использованием Canvas. Ряд [[антидетект браузер]]ов браузеров базируются на схожей технологии.<ref name="multiloginapp" /> |
||
Браузерный проект LibreWolf включает в себя технологию, блокирующую доступ к Canvas (HTML5) по умолчанию, разрешая его только в определённых случаях, разрешённых пользователем. |
Браузерный проект LibreWolf включает в себя технологию, блокирующую доступ к Canvas (HTML5) по умолчанию, разрешая его только в определённых случаях, разрешённых пользователем. |
||
Строка 38: | Строка 38: | ||
== Примечания == |
== Примечания == |
||
{{примечания|30em|refs=<ref name=WebNeverForgets> |
{{примечания|30em|refs=<ref name=WebNeverForgets> |
||
*{{cite web | url=https://securehomes.esat.kuleuven.be/~gacar/persistent/the_web_never_forgets.pdf | title=The Web never forgets: Persistent tracking mechanisms in the wild |accessdate= |
*{{cite web | url=https://securehomes.esat.kuleuven.be/~gacar/persistent/the_web_never_forgets.pdf | title=The Web never forgets: Persistent tracking mechanisms in the wild |accessdate=2014-07-24 | author=Acar, Gunes | author2=Eubank, Christian | author3=Englehardt, Steven | author4=Juarez, Marc | author5=Narayanan, Arvind | author6=Diaz, Claudia }} |
||
*{{cite web | url=https://securehomes.esat.kuleuven.be/~gacar/persistent/index.html | title=Persistent tracking mechanisms in the wild | date= |
*{{cite web | url=https://securehomes.esat.kuleuven.be/~gacar/persistent/index.html | title=Persistent tracking mechanisms in the wild | date=2014-07-24 |archive-url=https://web.archive.org/web/20140727035124/https://securehomes.esat.kuleuven.be/~gacar/persistent/index.html |archive-date=2014-07-27 |url-status=live |accessdate=2014-07-24 }} |
||
*{{cite web |title=Sites with canvas fingerprinting scripts on their homepages as of May 1-5, 2014 |url=https://securehomes.esat.kuleuven.be/~gacar/sticky/index.html <!-- https://multiloginapp.com/sites-track-canvas/ -->|website=Canvas Fingerprinting URLs - The Web never forgets: Persistent tracking mechanisms in the wild |access-date= |
*{{cite web |title=Sites with canvas fingerprinting scripts on their homepages as of May 1-5, 2014 |url=https://securehomes.esat.kuleuven.be/~gacar/sticky/index.html <!-- https://multiloginapp.com/sites-track-canvas/ -->|website=Canvas Fingerprinting URLs - The Web never forgets: Persistent tracking mechanisms in the wild |access-date=2021-08-27 |archive-url=https://web.archive.org/web/20140728052434/https://securehomes.esat.kuleuven.be/~gacar/sticky/index.html |archive-date=2014-07-28}} |
||
</ref> |
</ref> |
||
<ref name=Steinberg>{{cite web | url=https://www.forbes.com/sites/josephsteinberg/2014/07/23/you-are-being-tracked-online-by-a-sneaky-new-technology-heres-what-you-need-to-know/ | title=You Are Being Tracked Online By A Sneaky New Technology -- Here's What You Need To Know | date= |
<ref name=Steinberg>{{cite web | url=https://www.forbes.com/sites/josephsteinberg/2014/07/23/you-are-being-tracked-online-by-a-sneaky-new-technology-heres-what-you-need-to-know/ | title=You Are Being Tracked Online By A Sneaky New Technology -- Here's What You Need To Know | date=2014-07-23 | work=[[Forbes]] | accessdate=2014-11-15 | author=Joseph Steinberg | authorlink= }}</ref> |
||
<ref name=Knibbs>{{cite web | url=https://gizmodo.com/what-you-need-to-know-about-the-sneakiest-new-online-tr-1608455771 | title=What You Need to Know About the Sneakiest New Online Tracking Tool | publisher=[[Gizmodo]] | date= |
<ref name=Knibbs>{{cite web | url=https://gizmodo.com/what-you-need-to-know-about-the-sneakiest-new-online-tr-1608455771 | title=What You Need to Know About the Sneakiest New Online Tracking Tool | publisher=[[Gizmodo]] | date=2014-07-21 | accessdate=2014-07-21 | author=Knibbs, Kate}}</ref> |
||
<ref name=Angwin>{{cite web | url=https://www.propublica.org/article/meet-the-online-tracking-device-that-is-virtually-impossible-to-block | title=Meet the Online Tracking Device That is Virtually Impossible to Block | publisher=[[ProPublica]] | date= |
<ref name=Angwin>{{cite web | url=https://www.propublica.org/article/meet-the-online-tracking-device-that-is-virtually-impossible-to-block | title=Meet the Online Tracking Device That is Virtually Impossible to Block | publisher=[[ProPublica]] | date=2014-07-21 | accessdate=2014-07-21 | author=Angwin, Julia | author-link=Julia Angwin }}</ref> |
||
<ref name=multiloginapp> |
<ref name=multiloginapp> |
||
Строка 55: | Строка 55: | ||
</ref> |
</ref> |
||
<ref name=Kirk>{{cite web | url=http://www.pcworld.com/article/2456640/stealthy-web-tracking-tools-pose-increasing-privacy-risks-to-users.html | title=Stealthy Web tracking tools pose increasing privacy risks to users | publisher=[[PC World]] | date= |
<ref name=Kirk>{{cite web | url=http://www.pcworld.com/article/2456640/stealthy-web-tracking-tools-pose-increasing-privacy-risks-to-users.html | title=Stealthy Web tracking tools pose increasing privacy risks to users | publisher=[[PC World]] | date=2014-07-21 | accessdate=2014-07-21 | author=Kirk, Jeremy}}</ref> |
||
<ref name=Kirk2>{{cite web | url=http://www.pcworld.com/article/2458280/canvas-fingerprinting-tracking-is-sneaky-but-easy-to-halt.html | title='Canvas fingerprinting' online tracking is sneaky but easy to halt | publisher=[[PC World]] | date= |
<ref name=Kirk2>{{cite web | url=http://www.pcworld.com/article/2458280/canvas-fingerprinting-tracking-is-sneaky-but-easy-to-halt.html | title='Canvas fingerprinting' online tracking is sneaky but easy to halt | publisher=[[PC World]] | date=2014-07-25 | accessdate=2014-08-09 | author=Kirk, Jeremy}}</ref> |
||
<ref name=Davis>{{cite web | url=http://www.mediapost.com/publications/article/230430/eff-says-its-anti-tracking-tool-blocks-new-form-of.html | title=EFF Says Its Anti-Tracking Tool Blocks New Form Of Digital Fingerprinting | publisher=MediaPost | date= |
<ref name=Davis>{{cite web | url=http://www.mediapost.com/publications/article/230430/eff-says-its-anti-tracking-tool-blocks-new-form-of.html | title=EFF Says Its Anti-Tracking Tool Blocks New Form Of Digital Fingerprinting | publisher=MediaPost | date=2014-07-21 | accessdate=2014-07-21 | author=Davis, Wendy}}</ref> |
||
<ref name=Mowery>{{cite web | url=https://www.ieee-security.org/TC/W2SP/2012/papers/w2sp12-final4.pdf | title=Pixel Perfect: Fingerprinting Canvas in HTML5 | accessdate= |
<ref name=Mowery>{{cite web | url=https://www.ieee-security.org/TC/W2SP/2012/papers/w2sp12-final4.pdf | title=Pixel Perfect: Fingerprinting Canvas in HTML5 | accessdate=2018-03-22 | author=Mowery, Keaton | author2=Shacham, Hovav}}</ref> |
||
<ref name=Nikiforakis>{{cite web |url=https://spectrum.ieee.org/computing/software/browser-fingerprinting-and-the-onlinetracking-arms-race |title=Browser Fingerprinting and the Online-Tracking Arms Race |last1=Nikiforakis |first1=Nick |last2=Acar |first2=Günes |date=2014-07-25 |website=ieee.org |publisher=IEEE | accessdate= |
<ref name=Nikiforakis>{{cite web |url=https://spectrum.ieee.org/computing/software/browser-fingerprinting-and-the-onlinetracking-arms-race |title=Browser Fingerprinting and the Online-Tracking Arms Race |last1=Nikiforakis |first1=Nick |last2=Acar |first2=Günes |date=2014-07-25 |website=ieee.org |publisher=IEEE | accessdate=2014-10-31}}</ref>}} |
||
== Ссылки == |
== Ссылки == |
Версия от 13:15, 16 сентября 2023
Цифровой отпечаток с использованием Canvas — это один из методов получения цифрового отпечатка устройства для отслеживания онлайн-пользователей, позволяющий веб-сайтам идентифицировать и отслеживать посетителей с помощью HTML5 Canvas без использования cookie-файлов или других подобных средств. Этот метод получил широкое освещение в СМИ в 2014[1][2][3][4] году после того, как исследователи из Принстонского университета и Левенского католического университета описали его в своей статье Сеть никогда не забудет.[5]
Описание
Цифровой отпечаток с использованием Canvas работает за счет использования элемента HTML5 Canvas. Как описал Гюнеш Акар и другие:[5]
Варианты, в которых установлен графический процессор (GPU), или графический драйвер, могут привести к изменению цифрового отпечатка. Цифровой отпечаток может храниться и передаваться партнёрам для идентификации пользователей при посещении аффилированных веб-сайтов. Профиль может быть создан на основе активности пользователя в Интернете, что позволяет рекламодателям нацеливать рекламу на предполагаемые демографические данные и предпочтения пользователя.[3][6]
К январю 2022 года эта концепция была расширена до определения характеристик производительности графического оборудования, которое исследователи назвали DrawnApart.[7]
Уникальность
Поскольку цифровой отпечаток в основном зависит от комбинаций возможных параметров браузера, операционной системы и установленного графического оборудования, он не идентифицирует пользователей однозначно. В небольшом исследовании с 294 участниками из Amazon Mechanical Turk, наблюдалась экспериментальная энтропия в 5,7 бит. Авторы исследования предполагают, что в свободных условиях можно наблюдать большее значение неопределённости распределения вероятностей и с большим количеством параметров, используемых в фингерпринте. Хотя одного этого цифрового отпечатка недостаточно для идентификации отдельных пользователей, его можно комбинировать с другими источниками энтропии для получения уникального идентификатора. Утверждается, что, поскольку этот метод эффективно снимает цифровой отпечаток графического процессора, мера неопределённости распределения вероятностей «ортогональна» энтропии предыдущих методов получения цифрового отпечатка браузера, таких как разрешение экрана и возможности браузера обрабатывать JavaScript-запросы.[8]
Более уникальная идентификация с использованием DrawnApart опубликована в 2022 году. И при использовании для улучшения других методов увеличивает продолжительность отслеживания индивидуальных цифровых отпечатков на 67 %.[7]
История
В мае 2012 года Китон Мауэри и Ховав Шахам, исследователи из Калифорнийского университета в Сан-Диего, написали статью «Идеальный пиксель: дактилоскопический холст в HTML5», описывающую, как Canvas HTML5 можно использовать для создания цифровых отпечатков пальцев онлайн-пользователей. [3][8]
Компания AddThis, занимающаяся технологиями социальных закладок, начала экспериментировать со определением цифрового отпечатка с использованием Canvas в начале 2014 года в качестве потенциальной замены cookie-файлам. 5 % из 100 000 лучших веб-сайтов использовали определение цифрового отпечатка с использованием Canvas на своей серверной инфраструктуре.[9] По словам генерального директора AddThis Ричарда Харриса, компания использовала данные, полученные в ходе этих тестов, только для проведения внутренних исследований. Пользователи смогут установить отказ от сбора данных cookie-файлов на любом компьютере, чтобы AddThis не отслеживал их с помощью сбора цифрового отпечатка с использованием Canvas.[3]
Разработчик программного обеспечения заявил в Forbes, что определение цифрового отпечатка устройств использовалось с целью предотвращения несанкционированного доступа к системам задолго до того, как оно стало использоваться для отслеживания пользователей без их согласия.[2]
По состоянию на 2014 год этот метод широко распространён на многих веб-сайтах и используется по крайней мере дюжиной известных поставщиков веб-рекламы и отслеживания пользователей.[10]
В 2022 году возможности определением цифрового отпечатка с использованием Canvas были значительно расширены за счёт учёта незначительных различий между номинально идентичными блоками одной и той же модели графического процессора. Эти различия коренятся в производственном процессе, что делает единицы более детерминированными с течением времени, чем между идентичными копиями.[7]
Уменьшение рисков
В справочной документации Tor говорится: «После плагинов и информации, предоставляемой плагинами, мы считаем, что HTML5 Canvas является самой большой угрозой для браузеров с отпечатками пальцев, с которой сегодня сталкиваются браузеры».[11] Браузер Tor уведомляет пользователя о попытках чтения Canvas и предоставляет возможность вернуть пустые данные изображения, чтобы предотвратить определением цифрового отпечатка устройства.[5] Однако в настоящее время Tor Browser не может отличить законное использование элемента Canvas от усилий по определению цифрового отпечатка, поэтому его предупреждение нельзя рассматривать как доказательство намерений веб-сайта идентифицировать и отслеживать своих посетителей. Надстройки браузера, такие как Privacy Badger, DoNotTrackMe или Adblock Plus, Browser add-ons like Privacy Badger,[9] DoNotTrackMe,[12] or Adblock Plus[13] дополненные вручную списком EasyPrivacy, могут блокировать сторонние трекеры рекламных сетей и могут быть настроены на блокировку определение цифрового отпечатка с использованием Canvas при условии, что трекер обслуживается сторонним сервером (как в отличие от реализации самим посещаемым веб-сайтом). Браузерное расширение Canvas Defender для Firefox и Chrome использует технологию создания уникального и постоянного шума устройств, не блокируя вызовы JS-API, подделывает цифровой отпечаток с использованием Canvas. Ряд антидетект браузеров браузеров базируются на схожей технологии.[14]
Браузерный проект LibreWolf включает в себя технологию, блокирующую доступ к Canvas (HTML5) по умолчанию, разрешая его только в определённых случаях, разрешённых пользователем.
См. также
- Evercookie — тип файла cookie браузера, который трудно намеренно удалить
- Локальные общие объекты — обычно называемые флеш-куки, являются фрагментами данных, которые сайты, использующие Adobe Flash, могут сохранить на компьютере пользователя
- Web storage — это программные методы и протоколы веб-приложения, используемые для хранения данных в веб-браузере
Примечания
- ↑ Knibbs, Kate. What You Need to Know About the Sneakiest New Online Tracking Tool . Gizmodo (21 июля 2014). Дата обращения: 21 июля 2014.
- ↑ 1 2 Joseph Steinberg. You Are Being Tracked Online By A Sneaky New Technology -- Here's What You Need To Know . Forbes (23 июля 2014). Дата обращения: 15 ноября 2014.
- ↑ 1 2 3 4 Angwin, Julia. Meet the Online Tracking Device That is Virtually Impossible to Block . ProPublica (21 июля 2014). Дата обращения: 21 июля 2014.
- ↑ Kirk, Jeremy. Stealthy Web tracking tools pose increasing privacy risks to users . PC World (21 июля 2014). Дата обращения: 21 июля 2014.
- ↑ 1 2 3
- Acar, Gunes. The Web never forgets: Persistent tracking mechanisms in the wild . Дата обращения: 24 июля 2014.
- Persistent tracking mechanisms in the wild (24 июля 2014). Дата обращения: 24 июля 2014. Архивировано 27 июля 2014 года.
- Sites with canvas fingerprinting scripts on their homepages as of May 1-5, 2014 . Canvas Fingerprinting URLs - The Web never forgets: Persistent tracking mechanisms in the wild. Дата обращения: 27 августа 2021. Архивировано 28 июля 2014 года.
- ↑ Nikiforakis, Nick; Acar, Günes Browser Fingerprinting and the Online-Tracking Arms Race . ieee.org. IEEE (25 июля 2014). Дата обращения: 31 октября 2014.
- ↑ 1 2 3 Laor, Tomer; Mehanna, Naif; Durey, Antonin; Dyadyuk, Vitaly; Laperdrix, Pierre; Maurice, Clémentine; Oren, Yossi; Rouvoy, Romain; Rudametkin, Walter; Yarom, Yuval (2022). "DRAWNAPART: A Device Identification Technique based on Remote GPU Fingerprinting". Proceedings 2022 Network and Distributed System Security Symposium. doi:10.14722/ndss.2022.24093.
- ↑ 1 2 Mowery, Keaton. Pixel Perfect: Fingerprinting Canvas in HTML5 . Дата обращения: 22 марта 2018.
- ↑ 1 2 Davis, Wendy. EFF Says Its Anti-Tracking Tool Blocks New Form Of Digital Fingerprinting . MediaPost (21 июля 2014). Дата обращения: 21 июля 2014.
- ↑ Websites using HTML5 canvas fingerprinting . WebCookies.org. Дата обращения: 28 декабря 2014. Архивировано из оригинала 28 декабря 2014 года.
- ↑ The Design and Implementation of the Tor Browser [DRAFT] . www.torproject.org. Дата обращения: 25 мая 2018.
- ↑ Kirk, Jeremy. 'Canvas fingerprinting' online tracking is sneaky but easy to halt . PC World (25 июля 2014). Дата обращения: 9 августа 2014.
- ↑ Smith, Chris Adblock Plus: We can stop canvas fingerprinting, the 'unstoppable' new browser tracking technique . BGR. PMC. Архивировано из оригинала 28 июля 2014 года.
- ↑
- Canvas Defender by: multiloginapp.com at chrome web store
- Canvas Defender by: multiloginapp.com at addons.mozilla.org
- Canvas Defender at multiloginapp.com
Ссылки
- https://browserleaks.com/canvas
- Canvas Defender by: multiloginapp.com at chrome web store
- Canvas Defender by: multiloginapp.com at addons.mozilla.org