En ny teknik som används för att identifiera en instans av en webbläsare. Metoden är baserad på bildbehandlingsfunktionerna i Favicon med hjälp av vilken webbplatsen bestämmer ikonerna som visas i bokmärken, flikar och andra element i webbläsargränssnittet.
Webbläsare sparar Favicon-bilder i en separat cache, som inte överlappar andra cacheminnen, är gemensamt för alla driftsätt och rensas inte av standardcache och webbläsarhistorik.
Denna funktion gör det möjligt att använda identifieraren även när man arbetar i inkognitoläge och gör det svårt att ta bort. Autentisering med den föreslagna metoden påverkas inte heller av användningen av VPN-nätverk och plugin-program för annonsblockering.
Identifieringsmetoden baseras på det faktum att det på serversidan är möjligt att avgöra om användaren tidigare har öppnat sidan genom att analysera informationen om Favicon-belastningen om webbläsaren inte begärde den Favicon-bild som anges i sidans parametrar , sedan laddades sidan tidigare och bilden visas från cachen.
Eftersom jagWebbläsare låter dig konfigurera din egen Favicon för varje sida, användbar information kan kodas via sekventiell vidarebefordran från användaren till flera unika sidor.
Ju fler omdirigeringar i kedjan, desto fler identifierare kan bestämmas (antalet identifierare bestäms av formeln 2 ^ N, där N är antalet omdirigeringar). Till exempel kan 4 användare adressera två omdirigeringar, 3 - 8, 4 - 16, 10 - 1024, 24 - 16 miljoner, 32 - 4 miljarder.
Nackdelen med denna metod är de långa förseningarna- Ju högre precision, desto längre tid tar det för omdirigeringarna att öppna sidan.
32 omdirigeringar genererar identifierare för alla internetanvändare, men orsakar en fördröjning på cirka tre sekunder. För en miljon identifierare är förseningen ungefär en och en halv sekund.
Metoden innebär att man arbetar i två lägen: skriva och läsa:
- Skrivläge genererar och lagrar en identifierare för användaren som först besökte webbplatsen.
- Läsläge läser en tidigare lagrad identifierare.
Valet av läge beror på begäran från Favicon-filen för webbplatsens huvudsida: om bilden begärs cachelagras inte data och det kan antas att användaren inte har öppnat webbplatsen tidigare eller innehållet är cachat föråldrad. Enligt forskarna är det möjligt att uppnå Favicon i cachen i upp till ett år genom att ange HTTP Cache-Control-rubriken.
I läsläge när du öppnar en webbplats, är användaren kedjad till fördefinierade sidor med sina Favicons och HTTP-server tolkar vilka Favicons begärs från servern och som visas utan åtkomst till servern från cachen. Närvaron av begäran kodas som "0" och frånvaron som "1". För att identifieraren ska bevaras i framtida samtal visas en 404-felkod som svar på Favicon-förfrågningar, det vill säga nästa gång du öppnar webbplatsen, kommer webbläsaren att försöka ladda dessa favicons igen.
I skrivläge, i omdirigeringsslingan för sidor som kodar "1", rätt svar på Favicon returneras, deponeras i webbläsarens cache (när cykeln upprepas kommer Favicon-data att returneras från cachen utan åtkomst till servern) och för sidor som kodar "0" - felkod 404 (om du upprepar omdirigeringscykeln, siddata kommer att begäras igen).
Metoden fungerar i Chrome, Safari, Edge och delvis i Firefox. I Firefox för Linux hindras användningen av Favicons som Supercookies av en funktion som hindrar webbläsaren från att cacha Favicon.
Intressant är att författarna till autentiseringsmetoden meddelade Firefox-utvecklarna om den här funktionen för ungefär ett år sedan och noterade att det fanns ett fel i cachen, men inte nämnde deras arbete och att korrigering av felet skulle leda till möjligheten till användaridentifiering.
Fuente: https://www.cs.uic.edu