Цифровой отпечаток с использованием Canvas

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску

Цифровой отпечаток с использованием Canvas — это один из методов получения цифрового отпечатка устройства для отслеживания онлайн-пользователей, позволяющий веб-сайтам идентифицировать и отслеживать посетителей с помощью HTML5 Canvas без использования cookie-файлов или других подобных средств. Этот метод получил широкое освещение в СМИ в 2014[1][2][3][4] году после того, как исследователи из Принстонского университета и Левенского католического университета описали его в своей статье Сеть никогда не забудет[5].

Цифровой отпечаток с использованием Canvas работает за счет использования элемента HTML5 Canvas. Как описал Гюнеш Акар и другие[5]:

Варианты, в которых установлен графический процессор (GPU), или графический драйвер, могут привести к изменению цифрового отпечатка. Цифровой отпечаток может храниться и передаваться партнёрам для идентификации пользователей при посещении аффилированных веб-сайтов. Профиль может быть создан на основе активности пользователя в Интернете, что позволяет рекламодателям нацеливать рекламу на предполагаемые демографические данные и предпочтения пользователя[3][6].

К январю 2022 года эта концепция была расширена до определения характеристик производительности графического оборудования, которое исследователи назвали DrawnApart[7].

Уникальность

[править | править код]

Поскольку цифровой отпечаток в основном зависит от комбинаций возможных параметров браузера, операционной системы и установленного графического оборудования, он не идентифицирует пользователей однозначно. В небольшом исследовании с 294 участниками из Amazon Mechanical Turk, наблюдалась экспериментальная энтропия в 5,7 бит. Авторы исследования предполагают, что в свободных условиях можно наблюдать большее значение неопределённости распределения вероятностей и с большим количеством параметров, используемых в фингерпринте. Хотя одного этого цифрового отпечатка недостаточно для идентификации отдельных пользователей, его можно комбинировать с другими источниками энтропии для получения уникального идентификатора. Утверждается, что, поскольку этот метод эффективно снимает цифровой отпечаток графического процессора, мера неопределённости распределения вероятностей «ортогональна» энтропии предыдущих методов получения цифрового отпечатка браузера, таких как разрешение экрана и возможности браузера обрабатывать JavaScript-запросы[8].

Более уникальная идентификация с использованием DrawnApart опубликована в 2022 году. И при использовании для улучшения других методов увеличивает продолжительность отслеживания индивидуальных цифровых отпечатков на 67 %[7].

В мае 2012 года Китон Мауэри и Ховав Шахам, исследователи из Калифорнийского университета в Сан-Диего, написали статью «Идеальный пиксель: дактилоскопический холст в HTML5», описывающую, как Canvas HTML5 можно использовать для создания цифровых отпечатков пальцев онлайн-пользователей[3][8].

Компания AddThis, занимающаяся технологиями социальных закладок, начала экспериментировать со определением цифрового отпечатка с использованием Canvas в начале 2014 года в качестве потенциальной замены cookie-файлам. 5 % из 100 000 лучших веб-сайтов использовали определение цифрового отпечатка с использованием Canvas на своей серверной инфраструктуре.[9] По словам генерального директора AddThis Ричарда Харриса, компания использовала данные, полученные в ходе этих тестов, только для проведения внутренних исследований. Пользователи смогут установить отказ от сбора данных cookie-файлов на любом компьютере, чтобы AddThis не отслеживал их с помощью сбора цифрового отпечатка с использованием Canvas[3].

Разработчик программного обеспечения заявил в Forbes, что определение цифрового отпечатка устройств использовалось с целью предотвращения несанкционированного доступа к системам задолго до того, как оно стало использоваться для отслеживания пользователей без их согласия[2].

По состоянию на 2014 год этот метод широко распространён на многих веб-сайтах и используется по крайней мере дюжиной известных поставщиков веб-рекламы и отслеживания пользователей[10].

В 2022 году возможности определением цифрового отпечатка с использованием Canvas были значительно расширены за счёт учёта незначительных различий между номинально идентичными блоками одной и той же модели графического процессора. Эти различия коренятся в производственном процессе, что делает единицы более детерминированными с течением времени, чем между идентичными копиями[7].

Уменьшение рисков

[править | править код]
Уведомление браузера Tor о веб-сайте, пытающемся прочитать холст.

В справочной документации Tor говорится: «После плагинов и информации, предоставляемой плагинами, мы считаем, что HTML5 Canvas является самой большой угрозой для браузеров с отпечатками пальцев, с которой сегодня сталкиваются браузеры»[11]. Браузер Tor уведомляет пользователя о попытках чтения Canvas и предоставляет возможность вернуть пустые данные изображения, чтобы предотвратить определением цифрового отпечатка устройства[5]. Однако в настоящее время Tor Browser не может отличить законное использование элемента Canvas от усилий по определению цифрового отпечатка, поэтому его предупреждение нельзя рассматривать как доказательство намерений веб-сайта идентифицировать и отслеживать своих посетителей. Надстройки браузера, такие как Privacy Badger[9], DoNotTrackMe[12] или Adblock Plus[13], дополненные вручную списком EasyPrivacy, могут блокировать сторонние трекеры рекламных сетей и могут быть настроены на блокировку определение цифрового отпечатка с использованием Canvas при условии, что трекер обслуживается сторонним сервером (как в отличие от реализации самим посещаемым веб-сайтом). Браузерное расширение Canvas Defender для Firefox и Chrome использует технологию создания уникального и постоянного шума устройств, не блокируя вызовы JS-API, подделывает цифровой отпечаток с использованием Canvas. Ряд антидетект браузеров браузеров базируются на схожей технологии[14].

Браузерный проект LibreWolf включает в себя технологию, блокирующую доступ к Canvas (HTML5) по умолчанию, разрешая его только в определённых случаях, разрешённых пользователем.

  • Evercookie — тип файла cookie браузера, который трудно намеренно удалить
  • Локальные общие объекты — обычно называемые флеш-куки, являются фрагментами данных, которые сайты, использующие Adobe Flash, могут сохранить на компьютере пользователя
  • Web storage — это программные методы и протоколы веб-приложения, используемые для хранения данных в веб-браузере

Примечания

[править | править код]
  1. Knibbs, Kate. What You Need to Know About the Sneakiest New Online Tracking Tool. Gizmodo (21 июля 2014). Дата обращения: 21 июля 2014. Архивировано 22 июля 2014 года.
  2. 1 2 Joseph Steinberg. You Are Being Tracked Online By A Sneaky New Technology -- Here's What You Need To Know. Forbes (23 июля 2014). Дата обращения: 15 ноября 2014. Архивировано 5 августа 2022 года.
  3. 1 2 3 4 Angwin, Julia. Meet the Online Tracking Device That is Virtually Impossible to Block. ProPublica (21 июля 2014). Дата обращения: 21 июля 2014. Архивировано 18 августа 2022 года.
  4. Kirk, Jeremy. Stealthy Web tracking tools pose increasing privacy risks to users. PC World (21 июля 2014). Дата обращения: 21 июля 2014. Архивировано 21 сентября 2021 года.
  5. 1 2 3 *Acar, Gunes; Eubank, Christian; Englehardt, Steven; Juarez, Marc; Narayanan, Arvind The Web never forgets: Persistent tracking mechanisms in the wild. Дата обращения: 24 июля 2014. Архивировано 1 сентября 2022 года.
  6. Nikiforakis, Nick; Acar, Günes Browser Fingerprinting and the Online-Tracking Arms Race. ieee.org. IEEE (25 июля 2014). Дата обращения: 31 октября 2014. Архивировано 14 июня 2021 года.
  7. 1 2 3 Laor, Tomer; Mehanna, Naif; Durey, Antonin; Dyadyuk, Vitaly; Laperdrix, Pierre; Maurice, Clémentine; Oren, Yossi; Rouvoy, Romain; Rudametkin, Walter; Yarom, Yuval (2022). "DRAWNAPART: A Device Identification Technique based on Remote GPU Fingerprinting". Proceedings 2022 Network and Distributed System Security Symposium. doi:10.14722/ndss.2022.24093. Архивировано 8 мая 2022. Дата обращения: 5 августа 2022.
  8. 1 2 Mowery, Keaton. Pixel Perfect: Fingerprinting Canvas in HTML5. Дата обращения: 22 марта 2018. Архивировано 19 января 2022 года.
  9. 1 2 Davis, Wendy. EFF Says Its Anti-Tracking Tool Blocks New Form Of Digital Fingerprinting. MediaPost (21 июля 2014). Дата обращения: 21 июля 2014. Архивировано 5 августа 2022 года.
  10. Websites using HTML5 canvas fingerprinting. WebCookies.org. Дата обращения: 28 декабря 2014. Архивировано из оригинала 28 декабря 2014 года.
  11. The Design and Implementation of the Tor Browser [DRAFT]. www.torproject.org. Дата обращения: 25 мая 2018. Архивировано 15 августа 2014 года.
  12. Kirk, Jeremy. 'Canvas fingerprinting' online tracking is sneaky but easy to halt. PC World (25 июля 2014). Дата обращения: 9 августа 2014. Архивировано 16 сентября 2021 года.
  13. Smith, Chris Adblock Plus: We can stop canvas fingerprinting, the 'unstoppable' new browser tracking technique. BGR. PMC. Архивировано из оригинала 28 июля 2014 года.