Jauns paņēmiens, ko izmanto pārlūkprogrammas instances identificēšanai. Metode ir balstīts uz Favicon attēlu apstrādes iespējām ar kuras palīdzību vietne nosaka ikonas, kas tiek parādītas grāmatzīmēs, cilnēs un citos pārlūka saskarnes elementos.
Pārlūkprogrammas saglabā Favicon attēlus atsevišķā kešatmiņā, kas nepārklājas ar citām kešatmiņām, ir kopīgs visiem darbības režīmiem, un to neizdzēš standarta kešatmiņas un pārlūkošanas vēstures tīrītāji.
Šī funkcija ļauj izmantot identifikatoru pat strādājot inkognito režīmā un apgrūtina noņemšanu. Autentifikāciju, izmantojot piedāvāto metodi, neietekmē arī VPN un reklāmu bloķēšanas spraudņu izmantošana.
Identifikācijas metode ir balstīta uz faktu, ka servera pusē ir iespējams noteikt, vai lietotājs iepriekš ir atvēris lapu, analizējot informāciju par Favicon slodzi, ja pārlūks nav pieprasījis lapas parametros norādīto Favicon attēlu , tad lapa tika ielādēta agrāk, un attēls tiek parādīts no kešatmiņas.
Tā kā lPārlūkprogrammas ļauj jums konfigurēt savu Favicon par katru lapu, noderīgu informāciju var kodēt, izmantojot secīgu pārsūtīšanu no lietotāja uz vairākām unikālām lapām.
Jo vairāk novirzīšanas ķēdē, jo vairāk identifikatoru var noteikt (identifikatoru skaitu nosaka formula 2 ^ N, kur N ir novirzīšanas skaits). Piemēram, 4 lietotāji var novērst divus novirzīšanas gadījumus - 3 - 8, 4 - 16, 10 - 1024, 24 - 16 miljonus, 32 - 4 miljardus.
Šīs metodes trūkums ir ilgstoša kavēšanās- Jo augstāka precizitāte, jo ilgāk paiet novirzīšana, lai atvērtu lapu.
32 novirzīšanas ģenerē identifikatorus visiem interneta lietotājiem, bet rada aptuveni trīs sekunžu kavēšanos. Miljonam identifikatoru kavēšanās ir aptuveni pusotra sekunde.
Metode ietver darbu divos režīmos: rakstīšana un lasīšana:
- Rakstīšanas režīms ģenerē un saglabā identifikatoru lietotājam, kurš pirmo reizi piekļuva vietnei.
- Lasīšanas režīms nolasa iepriekš saglabātu identifikatoru.
Režīma izvēle ir atkarīga no Favicon faila pieprasījuma vietnes galvenajai lapai: ja tiek pieprasīts attēls, dati netiek saglabāti kešatmiņā un var pieņemt, ka lietotājs iepriekš nav piekļuvis vietnei vai saturs ir saglabāts kešatmiņā. novecojis. Pēc pētnieku domām, norādot HTTP Cache-Control galveni, kešatmiņā ir iespējams sasniegt Favicon līdz vienam gadam.
Lasīšanas režīmā, atverot vietni, lietotājs tiek piesaistīts iepriekš definētām lapām ar saviem ikonas un HTTP serveris parsē, kurus Favicons pieprasa no servera un kas tiek parādīti bez piekļuves serverim no kešatmiņas. Pieprasījuma klātbūtne tiek kodēta kā "0" un neesamība kā "1". Lai identifikators tiktu saglabāts turpmākajos zvanos, 404 kļūdas kods tiek parādīts, atbildot uz Favicon pieprasījumiem, tas ir, nākamreiz, kad atverat vietni, pārlūks mēģinās vēlreiz ielādēt šos ikonus.
Rakstīšanas režīmā novirzīšanas cilpā lapām, kas kodē "1", tiek atgriezta pareizā Favicon atbilde, deponēts pārlūkprogrammas kešatmiņā (kad cikls tiek atkārtots, Favicon dati tiks atgriezti no kešatmiņas, nepiekļūstot serverim), un lappusēm, kas kodē "0" - kļūdas kods 404 (ja atkārtojat novirzīšanas ciklu, lapas dati tiks pieprasīts vēlreiz).
Metode darbojas pārlūkā Chrome, Safari, Edge un daļēji Firefox. Pārlūkprogrammā Firefox for Linux Favicons kā Supercookies izmantošanu kavē funkcija, kas neļauj pārlūkprogrammai saglabāt Favicon kešatmiņā.
Interesanti, ka autentifikācijas metodes autori aptuveni pirms gada paziņoja Firefox izstrādātājiem par šo funkciju, norādot, ka kešatmiņā ir kļūda, bet nepieminot viņu darbu un ka kļūdas labošana radīs iespēju identificēt lietotāju.
Fuente: https://www.cs.uic.edu