Nowy technika używana do identyfikacji instancji przeglądarki. Metoda opiera się na funkcjach przetwarzania obrazu Favicon za pomocą której witryna ustala ikony, które są wyświetlane w zakładkach, zakładkach i innych elementach interfejsu przeglądarki.
Przeglądarki zapisują obrazy Favicon w osobnej pamięci podręcznej, który nie nakłada się na inne pamięci podręczne, jest wspólny dla wszystkich trybów działania i nie jest czyszczony przez standardowe programy czyszczące pamięć podręczną i historię przeglądania.
Ta funkcja pozwala na użycie identyfikatora nawet podczas pracy w trybie incognito oraz utrudnia usunięcie. Uwierzytelnianie za pomocą proponowanej metody nie ma również wpływu na korzystanie z VPN i wtyczek blokujących reklamy.
Sposób identyfikacji polega na tym, że po stronie serwera można określić, czy użytkownik wcześniej otworzył stronę, analizując informacje o załadowaniu Favicon, jeśli przeglądarka nie zażądała obrazu Favicon określonego w parametrach strony , to strona została załadowana wcześniej i obraz jest wyświetlany z pamięci podręcznej.
Ponieważ lPrzeglądarki umożliwiają skonfigurowanie własnej Favicon dla każdej strony, przydatne informacje można zakodować za pomocą przesyłania sekwencyjnego od użytkownika do wielu unikalnych stron.
Im więcej przekierowań w łańcuchu, tym więcej identyfikatorów można określić (liczbę identyfikatorów określa wzór 2 ^ N, gdzie N to liczba przekierowań). Na przykład 4 użytkowników może zaadresować dwa przekierowania: 3-8, 4-16, 10-1024, 24-16 milionów, 32-4 miliardy.
Wadą tej metody są duże opóźnienia- Im wyższa dokładność, tym dłużej trwa otwieranie strony przez przekierowania.
32 przekierowania generują identyfikatory dla wszystkich użytkowników Internetu, ale powodują opóźnienie około trzech sekund. Dla miliona identyfikatorów opóźnienie wynosi około półtorej sekundy.
Metoda polega na pracy w dwóch trybach: pisanie i czytanie:
- Tryb pisania generuje i przechowuje identyfikator użytkownika, który jako pierwszy uzyskał dostęp do witryny.
- Tryb czytania odczytuje poprzednio zapisany identyfikator.
Wybór trybu zależy od żądania pliku Favicon dla strony głównej serwisu: jeśli zażądano obrazu, dane nie są buforowane i można założyć, że użytkownik nie wchodził wcześniej na stronę lub zawartość jest buforowana , nieaktualne. Według naukowców, określając nagłówek HTTP Cache-Control, możliwe jest osiągnięcie Favicon w pamięci podręcznej przez okres do jednego roku.
W trybie odczytu podczas otwierania witryny, użytkownik jest powiązany z predefiniowanymi stronami z ich ikonami Favicons i Serwer HTTP analizuje, które ikony Favicons są żądane od serwera i które są wyświetlane bez uzyskiwania dostępu do serwera z pamięci podręcznej. Obecność żądania jest kodowana jako „0”, a nieobecność jako „1”. Aby identyfikator został zachowany w przyszłych wywołaniach, kod błędu 404 jest wyświetlany w odpowiedzi na żądania Favicon, to znaczy, gdy następnym razem otworzysz witrynę, przeglądarka spróbuje ponownie załadować te favicony.
W trybie zapisu, w pętli przekierowań dla stron z kodem „1”, zwracana jest prawidłowa odpowiedź Favicon, zdeponowane w pamięci podręcznej przeglądarki (po powtórzeniu cyklu dane Favicon zostaną zwrócone z pamięci podręcznej bez dostępu do serwera), a dla stron z kodem „0” - kod błędu 404 (jeśli powtórzysz cykl przekierowań, dane strony zostanie wyświetlony ponownie).
Metoda działa w Chrome, Safari, Edge i częściowo w Firefoksie. W Firefoksie dla Linuksa używanie Favicon jako Supercookies jest utrudnione przez funkcję, która uniemożliwia przeglądarce buforowanie Favicon.
Co ciekawe, autorzy metody uwierzytelniania około rok temu powiadomili twórców Firefoksa o tej funkcji, zwracając uwagę, że wystąpił błąd w pamięci podręcznej, ale nie wspominając o ich pracy i skorygowanie błędu doprowadziłoby do możliwości identyfikacji użytkownika.
źródło: https://www.cs.uic.edu