- Otisak prsta kombinuje više tehničkih signala iz pretraživača i uređaja kako bi se kreirao jedinstveni identifikator bez upotrebe kolačića.
- Postoje pasivne (HTTP zaglavlja) i aktivne (canvas, WebGL, audio, TLS, ponašanje) tehnike koje povećavaju jedinstvenost profila.
- Koristi se za praćenje, personalizaciju i sigurnost (prevaru, autentifikaciju), sa složenim i stalno promjenjivim pravnim okvirom.
- Ublažavanje uticaja zahteva generalizaciju/randomizaciju, odbranu pretraživača, blokatore, kontrole dozvola i testiranje sa AmIUnique.
Ako ste zabrinuti zbog privatnosti na internetu, otisak prsta preglednika Trebalo bi da to bude na vašem radaru. Pored kolačića, postoje tihe tehnike koje vas mogu identificirati kombiniranjem desetina tehničkih signala s vašeg uređaja i preglednika.
Čak i ako izbrišete kolačiće ili pregledavate u anonimnom načinu rada, otisak sastavljen od detalja kao što su vremenska zona, instalirani fontovi ili način na koji vaša grafička kartica prikazuje slike To vas može učiniti praktično jedinstvenim na webu. A s tom jedinstvenošću dolazi praćenje na više stranica, agresivna personalizacija i skriveni rizici za vašu privatnost.
Šta je otisak prsta u pregledniku?
Otisak prsta preglednika (također se naziva otisak prsta uređaja ili otisak prsta preglednika) je skup tehnika koje prikupljaju, bez vidljive intervencije korisnika, informacije o vašem računaru i vašem softveru kako bi sastavile vrlo karakterističan identifikator. To nije datoteka koja se pohranjuje kao kolačić: to je kombinacija tehničkih atributa koji vas odaju.
Među podacima koji se mogu spojiti su: operativni sistem, preglednik i njegova verzija, instalirana proširenja, jezik, vremenska zona, rezolucija i dubina boja, popis fontova, detalji o grafičkoj kartici i njenoj vozači, multimedijske mogućnosti, prisustvo blokatora oglasa i još mnogo toga.
Razmislite kako biste opisali osobu u gomili koristeći prepoznatljive karakteristike; s dovoljno atributa, pronaći ga je trivijalnoOtisak prsta radi istu stvar s vašim uređajem: uz pomoć desetina tehničkih signala, vaš profil postaje izuzetno prepoznatljiv iz sesije u sesiju, čak i među milionima korisnika.
Po čemu se razlikuje od kolačića?
Kolačići zahtijevaju pristanak u mnogim zemljama i može se izbrisati; nadalje, njegova upotreba je regulirana (npr. GDPR u EU). S druge strane, otisci prstiju su ugrađeni u pozadinu, bez upozorenja i bez skladištenje vidljivoj lokaciji, tako da korisnik obično to ne primjećuje ili to može direktno eliminirati.
Posljedica je da čak i ako obrišete historiju ili aktivirate privatni način rada, još uvijek si prepoznatljiv/a ako kombinacija tehničkih atributa ostane stabilna. Stoga se koristi za praćenje na više web-stranica, profiliranje oglašavanja i naprednu analizu ponašanja.
Kako funkcionira uzimanje otisaka prstiju: pasivno i aktivno
Stranice učitavaju skripte koje koriste API-je preglednika za prikupljanje funkcija i, pomoću njih, generiraju heš ili identifikatorUopšteno govoreći, postoje dva pristupa: pasivni (korištenje podataka koji su već prisutni u zahtjevima) i aktivni (pokretanje koda u vašem pregledniku za upite za više signala).
U pasivno uzimanje otisaka prstiju HTTP zaglavlja koja prate svaki zahtjev se pregledavaju: IP adresa, korisnički agent, preferirani jezici i prihvaćeni formati, između ostalog. Ove informacije putuju sa svakim učitavanjem stranice bez potrebe za dodatnim skriptama.
Najkorisniji zaglavlja za profiliranje uključuju: referer (izvorna stranica), Korisnički agent (preglednik i često operativni sistem), prihvatiti (vrste sadržaja), Accept-Charset (skupovi znakova), Prihvati kodiranje (kompresije poput gzip ili br), i Accept-Language (preferirani jezici). Ovi dijelovi, zajedno, već pružaju signale za razlikovanje.
U aktivno uzimanje otisaka prstiju Stranica koristi JavaScript kako bi eksplicitno tražila više detalja: verziju i platformu preglednika, da li imate omogućene kolačiće, tačan jezik, vremensku zonu, karakteristike ekrana (širina/visina, dostupan prostor, dubina boja), listu dodataka, instalirane fontove itd.
Mehanizmi poput AJAX-a omogućavaju izvršavanje ovih upita u pozadini bez ponovnog učitavanja stranice, a objekti poput navigator y ekran Oni otkrivaju veliki dio informacija. Na primjer: navigator.userAgent, navigator.language, navigator.platform, screen.width o screen.colorDepth otkriti detaljne informacije o vašem okruženju.
Čak i vremensku zonu može se izvesti sa new Date().getTimezoneOffset(), a određene vrijednosti sistemskih boja mogu se zaključiti putem izračunatih CSS stilova, dodajući još jedan sloj neobičnosti koje, kada se saberu, pojačati jedinstvenost vašeg otiska.
Uobičajene tehnike uzimanja otisaka prstiju
Nekoliko naprednih tehnika dopunjuje osnovne zaglavlja i svojstva kako bi se uređaji vrlo precizno razlikovali. Mnoge rade "izvan ekrana", tako da ništa ne shvataš dok trče.
- Uzimanje otisaka prstiju na platnuPrisiljava preglednik da nacrta sliku ili tekst na HTML5 platnu. Male razlike u fontovima, GPU-ima i drajverima uzrokuju da se binarni izlaz razlikuje ovisno o uređaju, pružajući vrlo robustan signal.
- WebGL i renderiranje: generira nevidljivu (često 3D) grafiku i mjeri kako se ona renderira. Varijacije između GPU-ova, vozači y operativni sistemi oni izdaju hardver sa velikom preciznošću.
- Audio otisak prstaAnalizira kako sistem obrađuje zvuk. Zvučni kanal (drajveri, hardver i softver) proizvodi suptilne razlike koje služe kao identifikatori; postoje i legitimne upotrebe povezane sa DRM i kontrolu kopiranja.
- Otisak prsta medija/uređajaNabrajanje medijskih uređaja (kamere, mikrofoni, slušalice) i njihovi identifikatori. Obično zahtijeva korisničku dozvolu, pa je rjeđe, ali vrlo informativno kada se dobije.
- Praćenje ponašanjaobrasci korištenja kao što su pokreti miša, ritam tipkanja ili način na koji skrolujete po stranici. Ovi bihevioralni signali, često poboljšani sa veštačka inteligencija, pomažu u definiranju preferencija i otkrivanju automatizacija.
- Otisak prsta u više pregledača: pokušava prikačiti identifikator na hardver već sistemske atribute za prepoznavanje korisnika u različitim preglednicima ili čak srodnih uređaja.
- TLS otisak prstaIspituje rukovanje TLS protokolom (šifri, ekstenzije, redoslijed i postavke) kako bi utvrdio specifičnosti klijentskog softvera i mrežnog steka.
- WebRTCDizajniran za komunikaciju u realnom vremenu, može otkriti IP adrese (uključujući i lokalne), što pruža vrlo konzistentne mrežne signale ako nije pravilno konfigurisano.
Da li su IP adresa i portovi važni?
Iako se IP adresa pojavljuje u svakom zahtjevu, njena vrijednost za čisto uzimanje otisaka prstiju je ograničena iz praktičnih i pravnih razloga. S jedne strane, dinamička alokacija mijenja vašu adresu sa el tiempoS druge strane, tehnike poput NAT-a podrazumijevaju da nekoliko korisnika dijeli istu javnu IP adresu.
TCP portovi također ne pružaju pouzdan identifikator: luka porijekla Bira se nasumično za svaku vezu, a odredišni portovi za web servise (kao što su 80 ili 443) su standarde i podijeljeno od strane svih.
Za šta se koristi: između korisnosti i rizika
Glavna svrha je praćenje više web-lokacija Za oglašavanje i personalizaciju. Uz dovoljnu historiju pregledavanja, mogu se izgraditi vrlo precizni profili o interesima, navikama potrošača, pa čak i osjetljivim aspektima (npr. zdravstvene teme izvedene iz pretraga).
To se također odnosi na sigurnost: otkrivanje prevara (anomalne rezolucije, ranjivi stariji preglednici, obrasci automatizacije), autentifikacija web aplikacija i rano upozorenje na neobično ponašanje. Čak pomaže u prepoznavanju karakteristike botnetova i ublažiti DDoS napade.
Dinamičko određivanje cijena ilustruje drugu stranu priče: na osnovu izvedenih socioekonomskih signala (lokacija, uobičajeni uređaji), neki trgovci se prilagođavaju cijene u stvarnom vremenu, što izaziva zabrinutost u vezi s pravednošću ovih praksi.
Osim toga, posrednici podataka mogu kombinirati informacije iz fizičkog svijeta (javne evidencije, programi lojalnosti) s vašim digitalnim otiskom, poboljšavajući ponovna identifikacija čak i ako se nikada ne prijavite na uslugu.
Trenutni pravni okvir
Danas se otisci prstiju legalno u većini jurisdikcija, ali regulatorni okvir je složen. U EU, GDPR reguliše obradu ličnih podataka, a Direktiva o e-privatnosti (u raspravi) nastoji da obuhvati prakse kao što je uzimanje otisaka prstiju izvan tradicionalnih kolačića.
U Sjedinjenim Američkim Državama ne postoji sveobuhvatan savezni zakon o privatnosti. Propisi poput CCPA Zakon o posrednicima podataka u Kaliforniji ili Vermontu bavi se aspektima prikupljanja i trgovanja podacima, ali se ne bavi konkretno korištenjem ovih tehnika.
Mjere za smanjenje vašeg ekološkog otiska
Potpuno eliminisanje nije realno, ali je moguće. ublažiti vrijednost identifikatora. Postoje dvije ključne tehničke strategije na nivou preglednika: generalizacija i randomizacija.
La generalizacija Homogenizira API odgovore tako da mnogi korisnici "izgledaju slično" jedni drugima, smanjujući jedinstvenost. randomizacija uvodi male, kontrolirane varijacije atributa tokom vremena, što otežava trajno praćenje.
Neki preglednici već uključuju odbranu: Tor potiče sve korisnike da pošalju jednoličan otisakBrave primjenjuje randomizaciju i blokira više vektora; Firefox blokira poznate tragače prema zadanim postavkama kao dio svoje poboljšane zaštite od praćenja.
u VPN Proxyji pomažu u skrivanju IP adrese i informacija o lokaciji, ali ne sprječavaju aktivne tehnike (Canvas, WebGL, audio, API-je preglednika). Oni su koristan dodatak, a ne potpuno rješenje protiv otisaka prstiju.
Ekstenzije usmjerene na privatnost mogu blokirati skripte i alate za praćenje (uBlock Origin, Privacy Badger) ili čak korištenje JavaScripta na nepouzdanim stranicama (NoScript). Dobro je znati da onemogućavanjem JavaScripta mnoge usluge su degradirane ili prestaju s radom.
Što se tiče navigacije, pretraživači kao što su DuckDuckGo spriječiti praćenje upita. I vrijedi zapamtiti da što više dodataka, tema i prilagodbi primijenite, to je lakše razlikovati vaš uređaj ostalo.
Preporuke vlasti i dobre prakse
Za korisnike: izrazite svoje preferencije pomoću Ne prati (iako njegovo poštovanje nije univerzalno), instalirajte pouzdane blokatore, razmislite o promjeni preglednika prema kontekstu i koristite privatno pregledavanje znajući njegova ograničenja u pogledu otiska prsta.
Za programere: Pruža jasne opcije za prihvatanje ili odbijanje Dozvole i praćenje, primjenjuju najprivatnije postavke prema zadanim postavkama i omogućuju korisniku da ih po želji smanji.
Za subjekte koji iskorištavaju otiske: transparentno izvještavati, tražiti saglasnost gdje je to primjereno, olakšava ostvarivanje prava, evidentira aktivnosti obrade i vrši analizu rizike zaštitu podataka prije primjene ovih tehnika.
Provjera vaše jedinstvenosti: korisni alati
Ako želite procijeniti svoju izloženost, projekti poput AmIUnique Oni vam pokazuju koji vas atributi čine jedinstvenim i koliko je vaša kombinacija rijetka u poređenju s milionima otisaka prstiju. Vidjet ćete odjeljke s HTTP-om, JavaScriptom i grafikom (WebGL/Canvas), pa čak i detekcijom blokiranja preglednika.
Ove usluge pomažu u identifikaciji slabe tačke: instalirani fontovi, uočljive ekstenzije, izloženi API-ji, curenje WebRTC IP adresa i još mnogo toga. Podešavanjem postavki i ekstenzija možete značajno smanjiti svoju jedinstvenost.
Više signala koje otisci prstiju koriste
Kod mobilnih telefona, pored modela i verzije Androida/iOS-a, relevantno je sljedeće: rezolucija, status baterije, mreža i aplikacije preglednika. Uređaji kao što su pametni televizor Oni također mogu pružati signale. Na radnoj površini, pored dodataka, istaknuta je i lista izvora, audio/video kodeci i broj monitora.
Postoje i indirektne tehnike detekcije, kao što je umetanje resursa iz privatnih područja servisa (npr. sa društvene mreže) u DOM i posmatranje da li učitavanje ili neuspjeh s događajima učitavanje/greška, kako bi se utvrdilo da li ste autentificirani u pozadini.
Na nivou mreže, otisak prsta TLS ispituje parametre rukovanja (šifre, ekstenzije i njihov redoslijed) kako bi profilirao klijente. Uz zaglavlja i ponašanje keširanja/kompresije, ovo je još jedan sloj diferencijacije.
Alati za analizu prometa i sigurnosti (snifferi poput Wireshark ili paketi poput Ettercap/Nessus) igraju drugu ulogu: oni nisu otisci prstiju preglednika u strogom smislu, ali omogućavaju posmatrajte saobraćaj, otkrivaju sisteme i detektuju ranjivosti koje, u kombinaciji s identifikacijom klijenta, poboljšavaju profiliranje.
Oportunitetni trošak i ravnoteža
Smanjenje vašeg otiska može utjecati na vaše iskustvo: neke web stranice će zahtijevati omogući skripte, odobriti medijske dozvole ili ublažiti ograničenja za funkcioniranje. Vrijeme je da pronađete ravnotežu između privatnosti, sigurnosti i praktičnosti na osnovu vašeg slučaja upotrebe.
Razuman pristup je imati jedan "ojačani" preglednik za osjetljive zadatke, a drugi, permisivan za svakodnevnu upotrebu, s diferenciranim ekstenzijama i pravilima. Minimizirajte nepotrebna prilagođavanja i periodično pregledajte instalirane aplikacije.
Vaš preglednik i vaš uređaj otkrivaju više nego što mislite. Poznavanje kako se taj otisak gradi, šta ga pokreće i Koji alati smanjuju vašu jedinstvenost daje vam kontrolu: ograničavanje izloženih signala i homogenizacija vašeg profila znatno će otežati vaše praćenje.
Strastveni pisac o svijetu bajtova i tehnologije općenito. Volim dijeliti svoje znanje kroz pisanje, a to je ono što ću raditi na ovom blogu, pokazivati vam sve najzanimljivije stvari o gadžetima, softveru, hardveru, tehnološkim trendovima i još mnogo toga. Moj cilj je pomoći vam da se krećete u digitalnom svijetu na jednostavan i zabavan način.