Wirtualny ślad – niewidoczne pliki cookie, których nie można usunąć
Historycznie, techniki śledzenia ruchu internautów w obrębie sieci opierają się na cookie HTTP. Finalna decyzja o tym czy zgadzamy się na śledzenie za pomocą cookies co jest szczególnie istotne dla marketerów spoczywa na użytkowniku, który może je bez problemu usunąć. Nie jest sekretem, że niektórzy producenci wykorzystują pamięć lokalną urządzenia, flashowe cookies, etagi jako "zamienniki oficjalnych cookies". Techniki takie bywały skuteczne przez swoją niejasność, jednak posiadają jedną cechą wspólną - można je usunąć.
Fingerprinting – niewidoczny wirtualny ślad
Idealnym narzędziem do sprawdzenia jakie ślady zostawiamy w sieci jest Panoptclick. Zadaje ono przeglądarce serie pytań dotyczących między innymi: zainstalowanych czcionek, nagłówków HTTP wysyłanych przeglądarce, rozmiaru ekranu, strefy czasowej. Ten zbiór informacji zmienia się tak bardzo, że praktycznie niemożliwe jest znalezienie dwóch takich samych przeglądarek. Działanie Panoptclick służy uświadamianiu użytkownikom, że mają 1 szansę na 286,777 na dzielenie się swoim wirtualnym odciskiem palca z inną osobą w sieci.
Fingerprinting poza przeglądarką
W podobnym okresie do projektu Panoptclick, duża firma internetowa z 13 milionami stron internetowych przeprowadziła eksperyme nt z jedną z ginących technik zostawiania fingerprintingu. Wykorzystano AddThis – społecznościowy widget którego kod jest wbudowany w milionach stron internetowych co czyni z niego szeroką platformę dotarcia. Pomiędzy lutym, a lipcem 2014 roku za pomocą tej technologii przeprowadzono test zjawiska fingerpirintingu na żywo. Aby zilustrować tezę o zostawianiu realnych śladów, poniżej znajdują się dwa zdjęcia litery T z skrótem SHA1. Jedno wydano w Firefox 33 na OS X, zaś drugi na Safari 8 na tym samym komputerze. Canvas jest cechą języka HTML5, dokładnie powierzchownym rysunkiem na którym małe programy napisane w języku JavaScript i osadzone na tej samej strony, dzięki którym można malować obrazy, animacje i inne elementy wizualne. Często najrozsądniejszym sposobem na przeglądarki internetowe obsługujące grafiki canvas są renderowane czcionki i komponowanie 2D do podstawowego systemu operacyjnego oraz sprzętu graficznego. Jednak różne karty graficzne i systemy operacyjne działają nieco inaczej co oznacza, że odmienne przeglądarki co do takiej samej instrukcji projektują nieco inne zdjęcia.
W roku 2012 naukowcy Keaton Mowery i Hovav Shacham opublikowali referat pt. Pixel Perfect: Fingerprinting Canvas w HTML5, które ukazały, że było wystarczająco dużo konfiguracji aby stworzyć niezawodny odcisk przeglądarki. Zachowanie <Canvas> i WeBGL na nowoczesnych przeglądarkach, tworzy nowy odcisk systemu. Nowy wirtualny fingerprint jest spójny, posiada wysoki stopień entropii i jest łatwo dostępny i niewidoczny dla użytkownika – komentuje Chester Wisniewski, Sophos. Co ciekawe nie trzeba zbytnio się starać aby wydobyć ró żnicę pomiędzy kartami graficznymi. Doświadczenia pokazują, że karty graficzne pozostawiają wykrywalne odciski podczas renderowania nawet najprostszej sceny. Należy dodać, że ten proces może obejmować również czcionki, wynik testu przeprowadzonego na Arial, która istnieje ponad 30 lat zależał od systemu operacyjnego oraz przeglądarki.
Finalnie, porównywanie zdjęć zostało starannie wykonane przez konwersję obrazu renderowanego na ciąg danych Base64 (za pomocą metody Data URL) i uruchomienie funkcji, która tworzy stałą długość identyfikatora. To sprawia, że radzenie sobie z odciskami na Canvas jest tak samo proste jak w przypadku Cookies.
Fingerprinting na wolności
W 2014 roku grypa naukowców z Princeton i University of Leuven badali czy Fingerprinting Canvas był używany w środowisku naturalnym. W tym celu przeszukali blisko 100 tysięcy popularnych stron internetowych i znaleźli 20 odrębnych wdrożeń canvas fingerprintingu. Zdecydowana większość tych skryptów pochodzi od jednego dostawcy – firmy AddThis (zob. The Web never forgets: Persistent tracking mechanisms in the wild).
Dolna linia
Ciasteczka zapewniają doskonały sposób identyfikacji użytkowników – są wiarygodne oraz łatwe w implementacji. Jedyny problem z wyższą formą cookies czy fingerprintingu pole ga na tym, że użytkownicy chcą posiadać możliwość wysłania informacji zwrotnej w postaci – braku zgody na śledzenie. Sprzedawcy wykorzysujący fingerprinting szukają sposób aby zagłuszyć ten komunikat.
Jak chronić siebie
Fingerprinting to realna alternatywa dla plików cookies, używa w naturalnym środowisku sieciowym. Techniki ukazane przez naukowców: Mowery i Shacham oraz instytut EFF, jeśli rozpatrujemy je indywidualnie wydają się przydatne, lecz badacze potwierdzają, że mogą być wykonane jeszcze lepiej. Dana praca została już wykonana i biblioteka zawierająca różne techniki fingerprinting jest dostępna za darmo na GitHub. Według autorów projektu istniejące środki zaradcze mają ograniczone zastosowanie. P rzeglądanie prywatne czy w trybie incognito nie zmieniają danych papilarnych przeglądarki.
Prywatność świadomych użytkowników, którzy stosują różnego rodzaju wtyczki w przeglądarkach do zarządzania plikami cookies oraz niwelowania mechanizmów śledzenia jest również narażona na efekt fingerprintingu. Nie ma jednego sposobu na ochronę siebie przed zostawianiem śladów w wirtualnej rzeczywistości, można jednak zastosować techniki, które uczynią nas bardziej niewidocznymi. Wyłączenie Flasha, Javy, WebGL i JavaScript, zmniejsza to ilość śladów zostawianych w sieci, lecz może to uczynić internetową przeglądarkę bezużyteczną. Rozsądnym kompromisem jest wyłączenie Flasha Javy oraz korzystanie z noscript. Wtyczki takie jak Ghostery powinny chronić przed kodem występującym w wielu znanyc h witrynach zewnętrznych, wykorzystywanych do reklam lub śledzenia.
Źródło: CluePR