Naroči se na Monitor Spletni nakup Naroči se na tedenske novice
Nove tehnologije
Objavljeno: 28.2.2017 | Avtor: Matej Huš | Monitor Marec 2017

Goli brez piškotkov

Namestili smo svežo kopijo operacijskega sistema in nov brskalnik ter se odpravili v internet. Brez dodatne programske opreme, brez vtičnikov in piškotkov bi pričakovali, da smo v njem brezimni in da nam spletne strani ne morejo slediti. Ne bi se mogli bolj motiti.

Sledenje prek spleta (web tracking) predstavlja ugotavljanje, ali se neki obiskovalec spletne strani vrača ali je na strani prvikrat. To pot se ne bomo ukvarjali z ugotavljanjem identitete tega obiskovalca, čeprav je mogoče tudi to. Zanima nas le, ali lahko uporabniku sledimo, četudi redno briše piškotke, menjava naslove IP in celo zamenja brskalnik. Izkazalo se je, da z zelo veliko verjetnostjo!

Nekaj značilnosti, ki jih UniqueMachine preveri za izračun enoličnega prstnega odtisa brskalnika.

Prva generacija sledenja je uporabljala identifikatorje, ki jih je obiskovalcu posredoval strežnik: piškotke. Še vedno se množično uporablja, saj je 100-odstotno enolična, obenem pa ima uporabnik nadzor, saj lahko piškotke zbriše. V spletni trgovini ali e-banki želimo, da nam stran sledi. Druga generacija je uporabljala identifikatorje, ki so del brskalnika: različica, nameščeni vtičniki in razširitve ipd. Ta dobro deluje, četudi pobrišemo piškotke, seveda pa nam ne more slediti v drug brskalnik. Poznamo tudi tretjo generacijo sledenja, ko poizkušamo obiskovalcem slediti tudi med različnimi napravami (osebni računalnik, pametni telefon, tablica), recimo z uporabo prikritih zvokov visokih frekvenc in mikrofonov.

Sledenje uporabnikom je kot vsaka tehnologija, ki jo lahko uporabimo v dobro ali v slabo. Koristna je pri preverjanju, ali je v spletno trgovino, elektronsko banko ali poštni predal prijavljen legitimen uporabnik. V tem primeru navadno rabi kot dodaten nadzor – če se prijavljamo z novega računalnika v čudnem časovnem pasu in z drugim jezikom, bo vstopna stran od nas zahtevala potrditev istovetnosti. Po drugi strani pa je sledenje sporno, kadar se uporablja za zbiranje podatkov o navadah uporabnikov, od koder lahko sledi ciljano oglaševanje ali pa celo prodaja podatkov. Napadalci pa lahko z analizo sistema pri sledenju tudi preverjajo, ali ima uporabnik nameščeno kakšno luknjičasto programsko opremo, in to izkoristijo za vdor.

Preizkusite se

Avtorji so praktični preizkus svoje tehnike postavili v internet: uniquemachine.org, kodo pa si lahko ogledate na github.com/Song-Li/cross browser/. Podobni strani, ki vam prav tako razkrijeta, kako enolično prepoznavni ste, sta še panopticlick.eff.org in amiunique.org.

Yinzhi Cao, Song Li in Erik Wijmans z Univerze Lehigh v Pensilvaniji so pokazali, kako je mogoče učinkovito izvesti sledenje generacije 2,5. Gre za sledenje uporabniku na istem računalniku, četudi uporablja različne brskalnike in iz njih briše vse prepoznave podatke (piškotke, trajne piškotke, vtičnike, razširitve, shranjena gesla itd.). Tudi v tem primeru je uporabnikom uspelo prepoznati z 99,24-odstotno uspešnostjo na istem brskalniku in s 83,24 odstotki med različnimi brskalniki. Svoj sistem so poimenovali UniqueMachine.

Trik je z modernimi funkcijami brskalnikov iz računalnika izvleči čim več podatkov o strojni opremi, ki niso odvisni od brskalnika. Medtem ko je računalnikov s štirimi jedri in nameščenim Windows 7 na tem svetu na milijone, se natančnost določitve z dodajanjem parametrov strmo povečuje. Pogledamo lahko še, katere pisave so nameščene, kako hitra je grafična kartica, kakšno zvočno kartico ima računalnik in marsikaj drugega.

Tako deluje tudi UniqueMachine. Ob obisku strani strežnik odjemalcu pošlje kup opravil, med njimi izris nekaterih značilnih krivulj, črt in objektov, ter pridobi čim več informacij o sistemu, kot so operacijski sistem, ločljivost zaslona, časovni pas. Odjemalec te zahteve izvede s klicem številnih specifičnih knjižnic API. Rezultate, ki so primerno obdelani – denimo izris slik je pretvorjen v zgoščeno vrednost (hash) – potem pošlje nazaj k strežniku. Iz tega izračuna enoličen 32 znakov dolg podpis.

In kaj vse opazuje UniqueMachine? Skupno spremlja 36 značilnosti, ki so neodvisne od brskalnika, in še nekaj odvisnih. Med njimi je nekaj starih: brskalnik (user agent), jezik, vtičniki, sprejem piškotkov, uporaba časovnega pasu, ločljivost, pisave, platforma, zastavica Do Not Track, WebGL, nameščen AdBlock itn. Nekatere od teh so morali nekoliko popraviti, denimo ločljivost. Ta podatek ni enoličen, saj je v nekaterih brskalnikih podana ločljivost odvisna od povečave (zoom) strani. Avtorji UniqueMachina pa so dodali analizo nekaterih novih značilnosti. To so, denimo, izris številnih struktur, ki jih opravita Canvas (2D) in WebGL, kodiranje in dekodiranje slik, podpora vnosu nelatiničnih znakov in še nekaj drugih, večinoma povezanih z grafično kartico.

Pa deluje? Odvisno. Na 12 let starem prenosniku z 32-bitno linuxno distribucijo Lubuntu in brskalnikom Pale Moon stran UniqueMachine.org ni delovala, ker ni podpiral WebGL. Na službenem Windows 7 pa smo UniqueMachine obiskali z Internet Explorerjem 11, Firefoxom, Chromom, Opero in Vivaldijem. Prstni odtis brskalnika je bil seveda različen, prstni odtis računalnika pa enak. In to čeprav na strani poleg rezultata piše v razvoju, ni dokončan. Kaj šele bo!

Tehnične podrobnosti so v članku Cao, Li, Wijmans: (Cross-)Browser Fingerprinting via OS and Hardware Level Features.

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

Najbolj brano

  • Android vam bo povedal, ali vam policija prisluškuje

    Android vam bo povedal, ali vam policija prisluškuje

    Čedalje popularnejši način prisluškovanja in prestrezanja podatkov z mobilnih telefonov je uporaba lažnih baznih postaj (IMSI catcher), ki jih imajo organi pregona v nekaterih državah, lahko pa tudi drugi akterji. Na takšno napravo se povežejo vsi telefoni v okolici, saj njen signal preglasi legitimne bazne postaje, upravljavec pa potem zlahka prestreza komunikacijo. Uporabnik tega početja praktično ne more zaznati.

    novice
    Objavljeno: 1.7.2025 07:00
  • Tisoče severnokorejskih uslužbencev prikrito na daljavo delalo v ameriških podjetjih

    Tisoče severnokorejskih uslužbencev prikrito na daljavo delalo v ameriških podjetjih

    Ameriško pravosodno ministrstvo je vložilo obtožnice zoper devet ljudi, ki so skrbeli za prikrito zaposlovanje računalnikarjev iz Severne Koreje za delo na daljavo v ameriških podjetjih. En Američan, šest Kitajcev in dva Tajvanca so obtoženi prevare, pranja denarja, kraje identitete, nepooblaščenega dostopa v računalniški sistem in kršenja mednarodnih sankcij.

    novice
    Objavljeno: 2.7.2025 07:00
  • Naprava, ki z laserji uničuje komarje

    Naprava, ki z laserji uničuje komarje

    Čeprav še nimamo letečih avtomobilov ali robotov strežnikov, lahko zdaj naročimo nekaj, o čemer smo od nekdaj sanjali - lasersko napravo, ki zazna in ubije komarja v nekaj milisekundah.

    novice
    Objavljeno: 3.7.2025 11:00
  • Podjetja nočejo Copilota, ker zaposleni raje uporabljajo ChatGPT

    Podjetja nočejo Copilota, ker zaposleni raje uporabljajo ChatGPT

    Microsoft kljub velikim naporom (beri: finančnemu vložku) podjetjem težko proda storitve umetne inteligence Copilot.

    novice
    Objavljeno: 27.6.2025 09:00
  • HDMI 2.2 je tu!

    HDMI 2.2 je tu!

    Sicer na papirju, a vendarle. HDMI Forum je izdal končne specifikacije standarda HDMI 2.2, ki so ga izdatno opisovali in predstavljali že na januarskem sejmu CES. HDMI 2.2 ima že večjo prepustnost kot DisplayPort, a bo zanjo zahteval nove kable Ultra96.

    novice
    Objavljeno: 27.6.2025 05:00
  • Zakaj Nintendo Switch 2 skoraj ne podpira priključnih postaj

    Zakaj Nintendo Switch 2 skoraj ne podpira priključnih postaj

    Nintendov Switch 2, ki postaja najbolj popularna konzola vseh časov, ima priključek USB-C, ki ni, kakršnega bi pričakovali. Nintendo je namenoma spodkopal njegovo združljivost z drugimi napravami, saj uporablja posebno šifriranje in čip.

    novice
    Objavljeno: 4.7.2025 07:00
Naroči se na Monitor Spletni nakup Naroči se na tedenske novice

Arhiv

Najnovejša številka revije

Julij-avgust 2025 Prelistaj! Spletni nakup Arhiv številk
Julij-avgust 2025

Uvodnik
Strojni svetovni splet

Mnenja
Dočakal sem prihodnost

Nove tehnologije
Koliko hitrosti je dovolj? Povezani na poti Pregon!

Fokus
Elektronski papir v barvah Neznosna lahkost branja RLCD - Renesansa LCD Uvodnik: Strojni svetovni splet

Dosje
Ali androidi sanjajo o električnih ovcah?* Med trirazsežnim navdušenjem in strahom

Monitor Pro
Oblak je temelj digitalne preobrazbe Prihodnost sodelovanja in digitalnih komunikacij Uvodnik - Je oblak vsemogočen?

Na zvezi
Kariera v IT

Zgodovina
Kralj omrežij Mikroračunalniški roboti

Odprta scena
Teleskop kot tveganje za državno varnost Zakaj nas mora skrbeti za prihodnost čipov

Prenosni računalniki
Zmogljivost stane!

Telefoni
Prenovljeni srednji razred

Preizkusi
Kupil sem ZX Spectruma Previdni korak naprej Projektor v žepu

Nasveti
Oblačni triki

Mobilno
Applove nagrade Če hodiš, lahko plešeš Naš izbor na Androidu Naš izbor na iPhonu

Kupite dostop do aktualne številke:

5,99 EUR mesečni zakup

 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji

Spletno mesto uporablja piškotke z namenom zagotavljanja spletne storitve, oglasnih sistemov in funkcionalnosti, ki jih brez piškotkov ne bi mogli nuditi. Z obiskom in uporabo spletnega mesta soglašate s piškotki.


Več o piškotkih in nastavitve piškotkov