Новый метод, используемый для идентификации экземпляра браузера. Метод основан на функциях обработки изображений Favicon с помощью которых сайт определяет значки, которые отображаются в закладках, вкладках и других элементах интерфейса браузера.
Браузеры сохраняют изображения Favicon в отдельном кеше, который не перекрывается с другими кешами, является общим для всех режимов работы и не очищается стандартными очистителями кеша и истории просмотров.
Эта функция позволяет использовать идентификатор даже при работе в режиме инкогнито и затрудняет удаление. На аутентификацию с использованием предлагаемого метода также не влияет использование VPN и плагинов для блокировки рекламы.
Метод идентификации основан на том, что на стороне сервера можно определить, открывал ли пользователь страницу ранее, анализируя информацию о загрузке Favicon, если браузер не запрашивал изображение Favicon, указанное в параметрах страницы. , то страница загружалась раньше и изображение выводится из кеша.
Поскольку lБраузеры позволяют настраивать собственный Favicon для каждой страницы, полезную информацию можно закодировать с помощью последовательной пересылки от пользователя на несколько уникальных страниц.
Чем больше перенаправлений в цепочке, тем больше идентификаторов можно определить (количество идентификаторов определяется по формуле 2 ^ N, где N - количество перенаправлений). Например, 4 пользователя могут адресовать два перенаправления: 3-8, 4-16, 10-1024, 24-16 миллионов, 32-4 миллиарда.
Обратной стороной этого метода являются большие задержки.- Чем выше точность, тем больше времени требуется перенаправлению для открытия страницы.
32 редиректа генерируют идентификаторы для всех пользователей Интернета, но вызывают задержку около трех секунд. Для миллиона идентификаторов задержка составляет примерно полторы секунды.
Метод предполагает работу в двух режимах.: писать и читать:
- Режим письма генерирует и сохраняет идентификатор пользователя, который первым зашел на сайт.
- Режим чтения читает ранее сохраненный идентификатор.
Выбор режима зависит от запроса файла Favicon для главной страницы сайта: если изображение запрашивается, данные не кэшируются, и можно предположить, что пользователь не обращался к сайту раньше или контент кэширован. . По словам исследователей, указав заголовок HTTP Cache-Control, можно добиться того, чтобы значок Favicon находился в кеше на срок до одного года.
В режиме чтения при открытии сайта, пользователь привязан к предопределенным страницам с их значками Favicons и HTTP-сервер анализирует, какие значки Favicons запрашиваются с сервера и которые отображаются без доступа к серверу из кеша. Наличие запроса кодируется как «0», а отсутствие - как «1». Чтобы идентификатор сохранялся при будущих вызовах, в ответ на запросы Favicon отображается код ошибки 404, то есть при следующем открытии сайта браузер снова попытается загрузить эти значки.
В режиме записи в цикле перенаправления для страниц с кодировкой "1", возвращается правильный ответ Favicon, депонируется в кеше браузера (при повторении цикла данные Favicon будут возвращены из кеша, без доступа к серверу), а для страниц с кодировкой «0» - код ошибки 404 (при повторении цикла перенаправления данные страницы будет запрошен снова).
Метод работает в Chrome, Safari, Edge и частично в Firefox. В Firefox для Linux использованию Favicons в качестве Supercookies препятствует функция, которая не позволяет браузеру кэшировать Favicon.
Интересно, что авторы метода аутентификации уведомили разработчиков Firefox об этой функции около года назад, отметив, что в кеше произошла ошибка, но не упомянули их работу и что исправление ошибки приведет к возможности идентификации пользователя.
источник: https://www.cs.uic.edu