Đầu tiên, tôi không nghĩ nó thực tế khi hy vọng người dùng sẽ tắt JavaScript trên web hiện đại. Vì vậy, hãy xem Panopticlick có thể thu thập thông qua JavaScript một mình, cùng với điểm số duy nhất của trình duyệt cụ thể của tôi:
- Tác nhân người dùng (1 trên 4.184)
- Tiêu đề HTTP_ACCEPT (1 trong 14)
- Chi tiết Plugin trình duyệt (1 trong 1,8 triệu)
- Múi giờ (1 trong 24)
- Kích thước màn hình và độ sâu màu (1 trong 1.700)
- Phông chữ hệ thống (1 trong 11)
- Cookies kích hoạt? (1 trong 1.3)
- Thử nghiệm SuperCookie giới hạn (1 trong 2)
Nổi bật về tính độc đáo rõ ràng là Trình cắm người dùng và Trình duyệt. Hãy nhớ rằng các mục này được sử dụng cùng nhau để tạo thành dấu vân tay của trình duyệt, vì vậy chúng mạnh hơn điểm số của từng cá nhân. Sự độc đáo tích lũy ở đây là: 4,184 x 14 x 1.8 million x 24 x 1,700 x 11 x 1.3 x 2
aka MỘT SỐ LỚN THỰC SỰ . Điều đó ... khá độc đáo.
Hiện tại tôi đã tắt Flash, với "nhấp để kích hoạt". Kích hoạt Flash cho biết thêm:
- Phông chữ hệ thống (1 trong 374k)
Flash cung cấp yếu tố phát hiện độc đáo thứ hai, nhưng với số lượng khổng lồ ngay cả phát hiện JavaScript mặc định trong Panopticlick tạo ra, tôi không chắc Flash là cần thiết để loại vân tay trình duyệt này hoạt động. Chỉ cần kích hoạt JavaScript là đủ.
Dấu vân tay trình duyệt chỉ là một phần của câu chuyện. Hãy xem xét tổng của tất cả những gì chúng ta có thể phát hiện từ người dùng ẩn danh, bởi vì tất cả có thể hoạt động cùng nhau với người dùng ẩn danh dấu vân tay. Làm thế nào là khó khăn để thu thập và sử dụng dữ liệu được phát hiện?
- Chi tiết trình duyệt đánh hơi, như hình trên (dễ)
- Địa chỉ IP, có mức độ tin cậy đã biết với ưu và nhược điểm (dễ)
- Các mẫu hành vi của người dùng như sử dụng (thời gian trong ngày), gõ, di chuyển chuột hoặc ngón tay, sử dụng từ (cứng, một số phía máy chủ, một số phía máy khách)
Một điều tôi lo lắng khi chỉ riêng trình duyệt đánh hơi là việc người dùng chuyển đổi trình duyệt dễ dàng đến mức nào. Có ít nhất bốn lựa chọn thay thế trình duyệt tuyệt vời và miễn phí trên hầu hết các nền tảng: Chrome, Opera, Firefox, Safari. Vì vậy, để phá vỡ trình duyệt đánh hơi hoặc ít nhất làm gián đoạn trình duyệt, bạn có thể chuyển đổi trình duyệt thường xuyên.
Điều đáng nói là cái gọi là SuperCookies ở đây vì chúng thực sự có thể hoạt động, trong một số trường hợp, ngay cả khi bạn chuyển đổi trình duyệt và ngay cả khi JavaScript, HTML 5 Local Storage và Flash bị tắt .
Một nhà nghiên cứu bảo mật đã tiết lộ thiên tài xấu xa đằng sau dịch vụ phân tích web vì lợi nhuận có khả năng theo dõi người dùng trên hơn 500 trang web, ngay cả khi tất cả lưu trữ cookie bị vô hiệu hóa và các trang web được xem bằng chế độ riêng tư của trình duyệt.
(Nếu bạn tò mò, phiên bản TL; DR là họ thực hiện điều này bằng cách khai thác các nguyên tắc tối nghĩa của tiêu đề ETag .)
Dù sao, quay trở lại trình duyệt đánh hơi - có hai điều hơi bất tiện mà người dùng có thể làm để đánh bại điều này:
- Liên tục chuyển đổi trình duyệt.
- Luôn duyệt với JavaScript và Flash bị vô hiệu hóa.
Tuy nhiên, nếu người dùng không biết rằng cài đặt trình duyệt của họ đang bị đánh hơi và sử dụng như một phần của phương pháp để lấy dấu vân tay của họ, tôi rất nghi ngờ rằng họ nhất thiết sẽ gặp rắc rối khi thực hiện hai điều này. Đó là công việc.
Dựa trên dữ liệu trên, tôi tin rằng trình duyệt đánh hơi có thể giúp xác định người dùng internet ẩn danh điển hình - nhưng nó chỉ hiệu quả khi kết hợp với những thứ khác mà chúng tôi thường phát hiện từ người dùng internet ẩn danh như Địa chỉ IP.