Un nouveau technique utilisée pour identifier une instance d'un navigateur. La méthode est basé sur les fonctionnalités de traitement d'image de Favicon à l'aide de laquelle le site détermine les icônes qui s'affichent dans les signets, les onglets et autres éléments de l'interface du navigateur.
Les navigateurs enregistrent les images Favicon dans un cache séparé, qui ne chevauche pas les autres caches, est commun à tous les modes de fonctionnement et n'est pas effacé par les nettoyeurs standard de cache et d'historique de navigation.
Cette fonction permet d'utiliser l'identifiant même en travaillant en mode incognito et rend son retrait difficile. L'authentification à l'aide de la méthode proposée n'est pas non plus affectée par l'utilisation de VPN et de plugins de blocage des publicités.
La méthode d'identification est basée sur le fait que côté serveur, il est possible de déterminer si l'utilisateur a précédemment ouvert la page en analysant les informations sur la charge Favicon si le navigateur n'a pas demandé l'image Favicon spécifiée dans les paramètres de la page , la page a été chargée plus tôt et l'image est affichée à partir du cache.
Depuis lLes navigateurs vous permettent de configurer votre propre Favicon pour chaque page, les informations utiles peuvent être codées via une transmission séquentielle de l'utilisateur à plusieurs pages uniques.
Plus il y a de redirections dans la chaîne, plus il est possible de déterminer d'identifiants (le nombre d'identifiants est déterminé par la formule 2 ^ N, où N est le nombre de redirections). Par exemple, 4 utilisateurs peuvent adresser deux redirections, 3-8, 4-16, 10-1024, 24-16 millions, 32-4 milliards.
L'inconvénient de cette méthode est les longs délais- Plus la précision est élevée, plus les redirections mettent du temps à ouvrir la page.
32 redirections génèrent des identifiants pour tous les internautes, mais provoquent un retard d'environ trois secondes. Pour un million d'identifiants, le délai est d'environ une seconde et demie.
La méthode consiste à travailler selon deux modes: écriture et lecture:
- Mode d'écriture génère et stocke un identifiant pour l'utilisateur qui a accédé le premier au site.
- Mode de lecture lit un identifiant précédemment stocké.
Le choix du mode dépend de la demande du fichier Favicon pour la page principale du site: si l'image est demandée, les données ne sont pas mises en cache et on peut supposer que l'utilisateur n'a pas accédé au site auparavant ou que le contenu est mis en cache . désuet. Selon les chercheurs, en spécifiant l'en-tête HTTP Cache-Control, il est possible d'obtenir le Favicon dans le cache pendant jusqu'à un an.
En lecture, lors de l'ouverture d'un site, l'utilisateur est enchaîné à des pages prédéfinies avec leurs Favicons et Le serveur HTTP analyse quels Favicons sont demandés au serveur et qui sont affichés sans accéder au serveur à partir du cache. La présence de la demande est codée "0" et l'absence "1". Pour que l'identifiant soit conservé lors des futurs appels, un code d'erreur 404 s'affiche en réponse aux demandes Favicon, c'est-à-dire que la prochaine fois que vous ouvrez le site, le navigateur essaiera de charger à nouveau ces favicons.
En écriture, dans la boucle de redirection pour les pages codant "1", la réponse correcte du Favicon est retournée, déposés dans le cache du navigateur (lorsque le cycle est répété, les données Favicon seront renvoyées du cache, sans accéder au serveur), et pour les pages encodant "0" - code d'erreur 404 (si vous répétez le cycle de redirection, les données de la page sera à nouveau demandé).
La méthode fonctionne dans Chrome, Safari, Edge et partiellement dans Firefox. Dans Firefox pour Linux, l'utilisation de Favicons comme Supercookies est entravée par une fonctionnalité qui empêche le navigateur de mettre en cache le Favicon.
Fait intéressant, les auteurs de la méthode d'authentification ont informé les développeurs de Firefox de cette fonctionnalité il y a environ un an, notant qu'il y avait une erreur dans le cache, mais ne mentionnant pas leur travail et que la correction de l'erreur conduirait à la possibilité d'identification de l'utilisateur.
source: https://www.cs.uic.edu