Tapak web dan syarikat pengiklanan suka mengetahui siapa diri anda dan apa yang anda bangun di web. Semakin mereka dapat mengetahui tentang anda dan apa yang anda suka, semakin baik mereka boleh menyasarkan iklan pada anda. Sudah tentu, kebanyakan pengguna internet tidak begitu berminat untuk memberikan mereka maklumat intim dan privasi-invasif sedemikian. Ini mengakibatkan perlumbaan senjata yang semakin meningkat antara pengiklan yang berminat mengenal pasti pengunjung laman web secara unik dan menjejaki mereka semasa mereka melayari web, dan pengguna internet biasa ingin melindungi privasi mereka. Senjata yang semakin menonjol di arsenal pengiklan adalah cap jari ...


Saya telah membincangkan sidang jari pelayar sebelum ini. Teknik invasif ini menggunakan atribut yang menjadikan pelayar web anda berbeza daripada pelayar pengguna lain (seperti nama pelayar, sistem pengendalian, dan nombor versi sebenar penyemak imbas, fon dan pemalam yang dipasang, jenis data yang disokong (jenis MIME yang dipanggil), skrin resolusi, warna sistem dan banyak lagi) secara unik mengenal pasti anda apabila anda melawat laman web. Dan sekali lagi dikenal pasti secara unik, anda boleh dikesan semasa anda melawat laman web lain.

Saya juga telah membincangkan sidik jari kanvas, satu bentuk khas sidik jari pelayar yang menggunakan skrip yang meminta penyemak imbas anda untuk menarik imej tersembunyi, dan kemudian menggunakan variasi kecil bagaimana imej ditarik untuk menghasilkan kod ID unik, yang kemudiannya boleh digunakan untuk mengesan anda.

Percetakan cap Audio (atau AudioContext)

Para penyelidik di Princeton University telah menemui (.pdf) bahawa penggunaan variasi baru pada idea ini, sidik jari audio, menjadi semakin biasa. Teknik ini memanfaatkan API AudioContect JavaScript untuk membantu mengenal pasti pengguna secara unik,

"Isyarat audio yang diproses pada mesin atau pelayar yang berbeza mungkin mempunyai sedikit perbezaan kerana perkakasan atau perbezaan perisian antara mesin, manakala kombinasi mesin dan pelayar yang sama akan menghasilkan output yang sama ... Menggunakan AudioContext API untuk cap jari tidak mengumpul bunyi yang dimainkan atau dirakam oleh mesin anda. Cap jari AudioContext adalah harta tumpuan audio mesin anda sendiri. "

Butiran sidik jari audio

Jika anda ingin melihat cap jari audio anda, para penyelidik telah mencipta Laman Ujian Cap jari AudioContext, yang menyediakan visualisasi cap jari anda berdasarkan maklumat yang dikumpul menggunakan AudioContext dan API Kanvas yang dipasang pada sistem anda.

Cap jari Audiocontext

Bateri (API Status) Cap jari

Teknik ini menggunakan "ciri" HTML5 yang dikenali sebagai API Status Bateri untuk mengesan berapa banyak kuasa bateri yang ditinggalkan komputer riba, tablet atau telefon pintar apabila anda melawat laman web.

Konsortium World Wide Web rasmi (W3C, organisasi yang mengawasi perkembangan piawaian web) menyatakan bahawa API ini mempunyai dampak minimum terhadap privasi. Walau bagaimanapun, kertas (.pdf) oleh penyelidik keselamatan Perancis dan Belgium mendapati itu,

"Skrip pihak ketiga yang terdapat di beberapa laman web boleh menghubungkan kunjungan pengguna dalam selang masa yang singkat dengan mengeksploitasi maklumat bateri yang disediakan untuk skrip Web. Untuk melakukan itu, skrip boleh menggunakan nilai paras bateri, melepaskan Waktu dan pengecasanTime. Pembacaan akan konsisten pada setiap tapak, kerana hakikat bahawa selang masa kemas kini (dan masa mereka) adalah sama. Ini membolehkan skrip pihak ketiga menghubungkan lawatan serentak ini. Selain itu, sekiranya pengguna meninggalkan laman-laman ini tetapi kemudian, selepas itu, melawat tapak lain dengan skrip pihak ketiga yang sama, pembacaan itu mungkin akan digunakan untuk membantu menghubungkan lawatan semasa dengan yang sebelumnya. "

Para penyelidik juga menyatakan bahawa sebagai tambahan kepada pengesan pelawat laman web yang menggunakan paras bateri mereka, kapasiti bateri juga boleh digunakan sebagai vektor penjejakan. Percetakan cap bateri disebut juga kertas Princeton, walaupun mereka penyelidik hanya mendapati dua skrip yang dieksploitasi.

Petua: Terima kasih kepada pembaca Pogue, yang dihantar dalam hujung berikut untuk melumpuhkan API Status Baterai di Firefox. Dalam: config set dom.battery.enabled = false

Teknik pengesanan gabungan

Mungkin penemuan yang paling menarik dalam kertas Princeton adalah bahawa laman web dan syarikat analisis iklan menggunakan pelbagai teknik, yang secara kombinasi dapat mengalahkan percubaan pengguna yang lebih bersemangat untuk mencegah pengesanan tersebut,

"Ghostery dan gabungan EasyList dan EasyPrivacy kedua-duanya melakukan sama dalam kadar blok mereka. Alat privasi menghalang cap jari kanvas di lebih dari 80% tapak, dan menghalang cap jari fon kanvas pada lebih dari 90%. Walau bagaimanapun, hanya sebahagian kecil daripada jumlah skrip yang menggunakan teknik yang disekat (diantara 8% dan 25%) menunjukkan bahawa pihak ketiga yang kurang popular tidak terjawab. Teknik kurang dikenali, seperti penemuan IP WebRTC dan sidik jari Audio mempunyai kadar pengesanan yang lebih rendah. "

Sidik jari fon kanvas adalah ciri cap jari pelayar "biasa" (menggunakan senarai font penyemak imbas untuk membantu mengenal pasti pengguna), dan penemuan IP WebRTC adalah "ciri" yang sama yang membolehkan laman web ke alamat IP sebenar pengguna walaupun menggunakan VPN ( WebRTC "bug").

Kesimpulannya

Ia adalah tepat kerana penggunaan meluas taktik yang menyerang dan benar-benar licik oleh pengiklan yang semakin meningkat bilangan pengguna internet beralih kepada adblockers. Laman web dan syarikat pengiklanan merosakkan kehilangan pendapatan, tetapi kesalahan mereka sendiri.

Kami tidak memberi mereka izin untuk mengintip kami, membina profil yang lebih tepat dan menyeramkan daripada kami semasa kami melayari internet, untuk lebih baik menyerang kami. Apabila kami mengambil langkah-langkah yang jelas untuk mengelakkan perkara ini (seperti belajar menguruskan kuki kita), laman web secara berkesan berperang melawan pengunjung mereka sendiri (dan pelanggan).

Kaedah-kaedah yang lebih teliti untuk mengintip pengguna minat telah dibangunkan, walaupun menentang kedua-dua kepentingan terbaik dan keinginan kami (sebenarnya, mereka telah dibangunkan dengan tepat kerana percubaan kami untuk mengelakkan pengesanan sedemikian).

Laman web perlu membuat wang daripada kandungan atau perkhidmatan yang sering mereka sediakan, tetapi sehingga mereka melakukannya dengan jujur, telus dan menggunakan model yang tidak menyerang privasi kami terhadap keinginan kami, kebangkitan pengguna yang mengundi dengan penyekat iklan mereka hanya akan kenaikan.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me