Digitaltryck med Canvas

Canvas fingeravtryck  är en av onlineanvändarspårningsmetoderna för fingeravtryck som gör det möjligt för webbplatser att identifiera och spåra besökare som använder HTML5 Canvas utan användning av cookies eller andra liknande sätt. Denna metod fick betydande mediebevakning 2014 [1] [2] [3] [4] efter att forskare från Princeton University och KU Leuven beskrev det i sin uppsats The Web Never Forgets . [5]

Beskrivning

Canvas digitala fingeravtryck fungerar genom att använda HTML5 Canvas- elementet . Som beskrivs av Gunesh Akar och andra: [5]

Varianter som har en grafikprocessor (GPU) eller en grafikdrivrutin installerad kan ändra det digitala fingeravtrycket. Ett fingeravtryck kan lagras och delas med partners för att identifiera användare när de besöker anslutna webbplatser. En profil kan skapas baserat på en användares onlineaktivitet, vilket gör att annonsörer kan rikta annonser efter användarens avsedda demografi och preferenser. [3] [6]

I januari 2022 hade detta koncept utökats till en prestandaspecifikation för grafikhårdvara, som forskarna kallade DrawnApart . [7]

Unikhet

Eftersom ett fingeravtryck i första hand är beroende av kombinationer av möjliga webbläsarinställningar, operativsystem och installerad grafikhårdvara, identifierar det inte användare unikt. I en liten studie med 294 deltagare från Amazon Mechanical Turk observerades en experimentell entropi på 5,7 bitar. Författarna till studien föreslår att man under fria förhållanden kan observera ett större värde av osäkerheten i sannolikhetsfördelningen och med ett stort antal parametrar som används i fingeravtrycket. Även om detta fingeravtryck ensamt inte är tillräckligt för att identifiera enskilda användare, kan det kombineras med andra entropikällor för att skapa en unik identifierare. Det hävdas att eftersom denna metod effektivt fångar fingeravtrycket från GPU:n, är måttet på sannolikhetsfördelningsosäkerhet "ortogonalt" mot entropin av tidigare webbläsares fingeravtrycksmetoder, såsom skärmupplösning och webbläsarens förmåga att behandla JavaScript-förfrågningar. [åtta]

En mer unik identifiering med DrawnApart publicerad 2022. Och när den används för att förbättra andra metoder, ökar den spårningstiden för individuella digitala fingeravtryck med 67 %. [7]

Historik

I maj 2012 skrev Keaton Mowery och Hovav Shaham, forskare vid University of California, San Diego , "Pixel Perfect: HTML5 Fingerprint Canvas" som beskrev hur HTML5 Canvas kan användas för att generera digitala fingeravtryck från onlineanvändare. [3] [8]

Teknikföretaget för sociala bokmärken AddThis började experimentera med digitala fingeravtryck med Canvas i början av 2014 som en potentiell ersättning för cookies . 5 % av de 100 000 bästa webbplatserna har använt Canvas fingeravtryck på sin back-end-infrastruktur. [9] Enligt AddThis VD Richard Harris använde företaget data från dessa tester endast för intern forskning. Användare kommer att kunna välja bort insamling av cookiedata på vilken dator som helst för att förhindra AddThis från att spåra dem genom fingeravtryck med Canvas. [3]

Programutvecklaren berättade för Forbes att fingeravtryck på enheter användes för att förhindra obehörig åtkomst till system långt innan det användes för att spåra användare utan deras samtycke. [2]

Från och med 2014 används denna metod flitigt av många webbplatser och används av minst ett dussin välkända leverantörer av webbannonsering och användarspårning. [tio]

Under 2022 har dukfingeravtrycksförmågan förbättrats avsevärt genom att ta hänsyn till mindre skillnader mellan nominellt identiska block av samma GPU-modell. Dessa skillnader har sina rötter i tillverkningsprocessen, vilket gör enheter mer deterministiska över tid än mellan identiska kopior. [7]

Riskminskning

Tors hjälpdokumentation säger: "Efter plugins och informationen från plugins tror vi att HTML5 Canvas är det största hotet för webbläsare med fingeravtryck som webbläsare står inför idag." [11] Tor-webbläsaren meddelar användaren om försök att läsa Canvas och ger en möjlighet att returnera tomma bilddata för att förhindra enhetsfingeravtryck. [5] Men Tor Browser kan för närvarande inte skilja legitim användning av Canvas-elementet från fingeravtrycksinsatser, så dess varning kan inte tas som bevis på webbplatsens avsikt att identifiera och spåra sina besökare. Webbläsartillägg som Privacy Badger, [9] DoNotTrackMe, [12] eller Adblock Plus [13] som läggs till manuellt med en EasyPrivacy-lista kan blockera spårare för annonsnätverk från tredje part och kan konfigureras för att blockera fingeravtryck med Canvas, förutsatt att spåraren betjänas av en tredjepartsserver (i motsats till att den implementeras av den besökta webbplatsen själv). Webbläsartillägget Canvas Defender för Firefox och Chrome använder teknik för att skapa unikt och ihållande enhetsbrus utan att blockera JS-API-anrop, skapar ett digitalt fingeravtryck med Canvas. Ett antal webbläsares antidetekteringswebbläsare är baserade på liknande teknik. [fjorton]

Webbläsarprojektet LibreWolf inkluderar teknik som blockerar åtkomst till Canvas (HTML5) som standard, vilket endast tillåter det i vissa fall som användaren tillåter.

Se även

Anteckningar

  1. Knibbs, Kate. Vad du behöver veta om det lömigaste nya spårningsverktyget online . Gizmodo (21 juli 2014). Hämtad: 21 juli 2014.
  2. 12 Joseph Steinberg . Du spåras online av en lömsk ny teknik - här är vad du behöver veta . Forbes (23 juli 2014). Tillträdesdatum: 15 november 2014.
  3. 1 2 3 4 Angwin, Julia. Möt onlinespårningsenheten som är praktiskt taget omöjlig att blockera . ProPublica (21 juli 2014). Hämtad: 21 juli 2014.
  4. Kirk, Jeremy. Smygande webbspårningsverktyg innebär ökande integritetsrisker för användarna . PC World (21 juli 2014). Hämtad: 21 juli 2014.
  5. 1 2 3
  6. Nikiforakis, Nick; Acar, Günes Browser Fingerprinting och Online-Tracking Arms Race . www.ieee.org . IEEE (25 juli 2014). Hämtad: 31 oktober 2014.
  7. ↑ 1 2 3 Laor, Tomer; Mehanna, Naif; Durey, Antonin; Dyadyuk, Vitaly; Laperdrix, Pierre; Maurice, Clémentine; Oren, Yossi; Rouvoy, Romain; Rudametkin, Walter; Yarom, Yuval (2022). "DRAWNAPART: En enhetsidentifieringsteknik baserad på fjärrstyrd GPU-fingeravtryck" . Proceedings 2022 Säkerhetssymposium för nätverk och distribuerade system . DOI : 10.14722/ndss.2022.24093 .
  8. 12 Mowery , Keaton. Pixel Perfect: Fingerprinting Canvas i HTML5 . Hämtad: 22 mars 2018.
  9. 12 Davis, Wendy . EFF säger att dess antispårningsverktyg blockerar ny form av digitalt fingeravtryck . MediaPost (21 juli 2014). Hämtad: 21 juli 2014.
  10. Webbplatser som använder HTML5 canvas fingeravtryck . webcookies.org. Datum för åtkomst: 28 december 2014. Arkiverad från originalet 28 december 2014.
  11. Designen och implementeringen av Tor-webbläsaren [UTKAST ] . www.torproject.org . Hämtad: 25 maj 2018.
  12. Kirk, Jeremy. "Canvas fingerprinting" onlinespårning är lömsk men lätt att stoppa . PC World (25 juli 2014). Hämtad 9 augusti 2014.
  13. Smith, Chris Adblock Plus: Vi kan stoppa canvas fingeravtryck, den "ostoppbara" nya webbläsarens spårningsteknik . B.G.R. _ PMC. Arkiverad från originalet den 28 juli 2014.

Länkar