Es va donar a conèixer una nova tècnica utilitzada per poder identificar una instància d'un navegador. el mètode es basa en les característiques de l'processament d'imatges de Favicon amb l'ajuda de les quals el lloc determina les icones que es mostren en els marcadors, pestanyes i altres elements de la interfície de navegador.
Els navegadors guarden les imatges de Favicon en una memòria cau separada, Que no es superposa amb altres caixets, és comú a tots els modes d'operació i no s'esborra amb els netejadors estàndard de memòria cau i d'historial de navegació.
aquesta funció permet utilitzar l'identificador fins i tot quan es treballa en mode d'incògnit i dificulta la seva eliminació. L'autenticació mitjançant el mètode proposat tampoc es veu afectada per l'ús de VPN i complements de bloqueig d'anuncis.
El mètode d'identificació es basa en el fet que al costat de l'servidor és possible determinar si l'usuari ha obert prèviament la pàgina analitzant la informació sobre la càrrega de Favicon si el navegador no va sol·licitar la imatge de Favicon especificada en els paràmetres de la pàgina, després, la pàgina es va carregar abans i la imatge es mostra des del cau.
Atès que lus navegadors permeten configurar el seu propi Favicon per a cada pàgina, és possible codificar informació útil a través d'un reenviament seqüencial de l'usuari a diverses pàgines úniques.
Com més redireccionaments hi hagi a la cadena, més identificadors es poden determinar (el nombre d'identificadors està determinat per la fórmula 2 ^ N, on N és el nombre de redireccions). Per exemple, 4 usuaris poden abordar 3:8 redireccionaments, 4 - 16, 10-1024, 24 - 16, 32-4, XNUMX - XNUMX mil milions.
El desavantatge d'aquest mètode són els grans retards: Com més gran és la precisió, més triguen les redireccions a obrir la pàgina.
32 redireccions generen identificadors per a tots els usuaris d'Internet, però provoquen un retard d'uns tres segons. Per a un milió d'identificadors, el retard és d'aproximadament un segon i mig.
El mètode implica treballar en dos modes: Escriptura i lectura:
- La manera d'escriptura genera i emmagatzema un identificador per a l'usuari que va accedir per primer cop a el lloc.
- La manera de lectura llegeix un identificador emmagatzemat prèviament.
L'elecció de la manera depèn de la sol·licitud d'l'arxiu Favicon per la pàgina principal de la web: si se sol·licita la imatge, les dades no s'emmagatzemen en memòria cau i es pot suposar que l'usuari no ha accedit a el lloc abans o a la memòria cau el contingut està desactualitzat. Segons els investigadors, a l'especificar la capçalera HTTP Cache-Control, és possible aconseguir el Favicon a la memòria cau fins per un any.
En mode lectura, a l'obrir un lloc, L'usuari està encadenat a pàgines predefinides amb els seus favicones i el servidor HTTP analitza què favicones se sol·liciten de servidor i que es mostren sense accedir a l'servidor des de la memòria cau. La presència de la sol·licitud es codifica com a «0» i l'absència com «1». Perquè l'identificador es conservi en futures trucades, es mostra un codi d'error 404 en resposta a les sol·licituds de Favicon, és a dir, la propera vegada que obri el lloc, el navegador intentarà carregar aquests favicones novament.
En la manera d'escriptura, en el bucle de redireccionament per a pàgines que codifiquen «1», es retorna la resposta correcta de l'Favicon, dipositada a la memòria cau de el navegador (quan es repeteix el cicle, les dades de l'Favicon es retornaran des de la memòria cau, sense accedir a servidor), i per a pàgines que codifiquen «0» - codi d'error 404 (si repeteix el cicle de redireccionament, les dades de la pàgina es tornaran a sol·licitar).
El mètode funciona a Chrome, Safari, Edge i parcialment en Firefox. A Firefox per a Linux, l'ús de les favicones com Supercookies es veu obstaculitzat per una funció que evita que el navegador emmagatzemi en memòria cau el Favicon.
Curiosament, els autors de l'mètode d'autenticació van notificar als desenvolupadors del Firefox sobre aquesta funció fa aproximadament un any, assenyalant que hi havia un error en la memòria cau, però sense esmentar el seu treball i de corregir l'error conduiria a la possibilitat d'identificació de l'usuari.
font: https://www.cs.uic.edu