Un nuovo tecnica utilizzata per identificare un'istanza di un browser. Il metodo si basa sulle funzionalità di elaborazione delle immagini di Favicon con l'aiuto del quale il sito determina le icone che vengono visualizzate nei segnalibri, nelle schede e in altri elementi dell'interfaccia del browser.
I browser salvano le immagini Favicon in una cache separata, che non si sovrappone ad altre cache, è comune a tutte le modalità di funzionamento e non viene cancellato dalla cache standard e dai pulitori della cronologia di navigazione.
Questa funzione consente di utilizzare l'identificatore anche quando si lavora in modalità di navigazione in incognito e rende difficile la rimozione. Anche l'autenticazione utilizzando il metodo proposto non è influenzata dall'uso di VPN e plug-in di blocco degli annunci.
Il metodo di identificazione si basa sul fatto che lato server è possibile determinare se l'utente ha precedentemente aperto la pagina analizzando le informazioni sul caricamento di Favicon se il browser non ha richiesto l'immagine Favicon specificata nei parametri della pagina , quindi la pagina è stata caricata in precedenza e l'immagine viene visualizzata dalla cache.
Dal momento che lI browser ti consentono di configurare la tua Favicon per ogni pagina, informazioni utili possono essere codificate tramite inoltro sequenziale dall'utente a più pagine uniche.
Più reindirizzamenti nella catena, più identificatori possono essere determinati (il numero di identificatori è determinato dalla formula 2 ^ N, dove N è il numero di reindirizzamenti). Ad esempio, 4 utenti possono indirizzare due reindirizzamenti, 3 - 8, 4 - 16, 10 - 1024, 24 - 16 milioni, 32 - 4 miliardi.
Lo svantaggio di questo metodo sono i lunghi ritardi- Maggiore è la precisione, più tempo impiega i reindirizzamenti per aprire la pagina.
32 reindirizzamenti generano identificatori per tutti gli utenti Internet, ma causano un ritardo di circa tre secondi. Per un milione di identificatori, il ritardo è di circa un secondo e mezzo.
Il metodo prevede di lavorare in due modalità: scrivere e leggere:
- Modalità di scrittura genera e memorizza un identificatore per l'utente che per primo ha effettuato l'accesso al sito.
- Modalità di lettura legge un identificatore precedentemente memorizzato.
La scelta della modalità dipende dalla richiesta del file Favicon per la pagina principale del sito: se viene richiesta l'immagine, i dati non vengono memorizzati nella cache e si può presumere che l'utente non abbia effettuato prima l'accesso al sito oppure il contenuto viene memorizzato nella cache obsoleto. Secondo i ricercatori, specificando l'intestazione HTTP Cache-Control, è possibile ottenere la Favicon nella cache per un massimo di un anno.
In modalità di lettura, all'apertura di un sito, l'utente è incatenato a pagine predefinite con le proprie Favicon e Il server HTTP analizza quali Favicon sono richieste dal server e che vengono visualizzati senza accedere al server dalla cache. La presenza della richiesta è codificata come "0" e l'assenza come "1". Affinché l'identificatore venga preservato nelle chiamate future, viene visualizzato un codice di errore 404 in risposta alle richieste di Favicon, ovvero, la prossima volta che aprirai il sito, il browser proverà a caricare nuovamente queste favicon.
In modalità di scrittura, nel ciclo di reindirizzamento per le pagine che codificano "1", viene restituita la risposta corretta della Favicon, depositato nella cache del browser (quando il ciclo viene ripetuto, i dati di Favicon verranno restituiti dalla cache, senza accedere al server), e per le pagine che codificano "0" - codice di errore 404 (se ripeti il ciclo di reindirizzamento, i dati della pagina verrà richiesto nuovamente).
Il metodo funziona in Chrome, Safari, Edge e parzialmente in Firefox. In Firefox per Linux, l'uso di Favicon come Supercookies è ostacolato da una funzionalità che impedisce al browser di memorizzare nella cache Favicon.
È interessante notare che gli autori del metodo di autenticazione hanno informato gli sviluppatori di Firefox di questa funzionalità circa un anno fa, notando che c'era un errore nella cache, ma senza menzionare il loro lavoro e che la correzione dell'errore avrebbe portato alla possibilità di identificazione dell'utente.
fonte: https://www.cs.uic.edu