0.77% крупнейших сайтов используют Canvas для скрытой идентификации посетителей

Французский исследователь безопасности Антуан Вастель (Antoine Vastel) опубликовал результаты анализа распространённости метода скрытой идентификации («browser fingerprinting»), учитывающего особенности отрисовки графики при помощи HTML-элемента canvas. Изучение 500 тысяч самых популярных сайтов по рейтингу Alexa показало, что указанная техника скрытой идентификации применяется на 3825 (0.77%) главных страницах сайтов. Интересно, что похожее исследование, проведённое в 2016 году и охватившее миллион крупнейших сайтов, выявило применение canvas для скрытой идентификации на 1.6% сайтах.

Расхождение результатов исследований объясняется снижением охвата проверяемых сайтов (на менее популярных сайтах более активно используются спорные техники идентификации) и различными методами анализа (исследование коснулось только главных страниц, в то время как код для идентификации мог размещаться только на страницах входа). Всего выявлено 69 различных видов идентификационных картинок, при этом 17 из них встречаются только на одном сайте, а два самых распространённых canvas, изображённые ниже, на 1241 и 900 сайтах соответственно.

0_1550650811.png

Техника идентификации пользователя при помощи Canvas реализуется через скрытую отрисовку картинки на странице, которая затем анализируется на предмет особенностей вывода, специфичных для используемого графического стека, GPU и видеодрайвера. В невидимом iframe отрисовывается изображение и текст, после чего сформированная картинка читается при помощи getImageData и генерируется хэш загруженных данных, который выступает идентификатором. Метод идентификации на основе Canvas получил распространение благодаря появлению свободной библиотеки fingerprintjs2, которая также может учитывать для генерации идентификатора такие параметры, как разрешение экрана, специфичные HTTP-заголовки, списки установленных плагинов и шрифтов, активность определённых Web API, учёт особенностей WebGL и т.п.

©  OpenNet