Новий техніка, що використовується для ідентифікації екземпляра браузера. Метод заснована на особливостях обробки зображень Favicon за допомогою яких сайт визначає значки, які відображаються в закладках, вкладках та інших елементах інтерфейсу браузера.
Браузери зберігають зображення Favicon в окремому кеші, який не перекривається з іншими кешами, є загальним для всіх режимів роботи і не очищається стандартними засобами очищення кеш-пам’яті та історії перегляду.
Ця функція дозволяє використовувати ідентифікатор навіть під час роботи в режимі інкогніто та утруднює видалення. На автентифікацію за допомогою запропонованого методу також не впливає використання VPN та плагінів для блокування реклами.
Метод ідентифікації заснований на тому, що на стороні сервера можна визначити, чи користувач раніше відкривав сторінку, аналізуючи інформацію про завантаження Favicon, якщо браузер не запитував зображення Favicon, вказане в параметрах сторінки , тоді сторінка була завантажена раніше, і зображення відображається з кешу.
Оскільки лБраузери дозволяють вам налаштувати власний Favicon для кожної сторінки, корисну інформацію можна кодувати за допомогою послідовного пересилання від користувача до кількох унікальних сторінок.
Чим більше переспрямувань у ланцюжку, тим більше ідентифікаторів можна визначити (кількість ідентифікаторів визначається за формулою 2 ^ N, де N - кількість переспрямувань). Наприклад, 4 користувачі можуть звернутися до двох переспрямувань, 3 - 8, 4 - 16, 10 - 1024, 24 - 16 мільйонів, 32 - 4 мільярди.
Недоліком цього методу є великі затримки- Чим вища точність, тим довше потрібно, щоб переспрямування відкривали сторінку.
32 переспрямування генерують ідентифікатори для всіх користувачів Інтернету, але викликають затримку близько трьох секунд. Для мільйона ідентифікаторів затримка становить приблизно півтори секунди.
Метод передбачає роботу в двох режимах: письмо та читання:
- Режим письма генерує та зберігає ідентифікатор користувача, який вперше зайшов на сайт.
- Режим читання зчитує раніше збережений ідентифікатор.
Вибір режиму залежить від запиту файлу Favicon для головної сторінки сайту: якщо зображення запитується, дані не кешуються, і можна припустити, що користувач раніше не заходив на сайт або вміст кешований. . На думку дослідників, вказавши заголовок HTTP Cache-Control, можна досягти Favicon у кеші на термін до одного року.
У режимі читання, при відкритті сайту, користувач прикутий до попередньо визначених сторінок своїми Favicons та Сервер HTTP аналізує, які Favicons запитуються сервером і які відображаються без доступу до сервера з кешу. Наявність запиту кодується як "0", а відсутність - як "1". Для того, щоб ідентифікатор зберігався в майбутніх дзвінках, у відповідь на запити Favicon відображається код помилки 404, тобто наступного разу, коли ви відкриєте сайт, браузер спробує завантажити ці значки знову.
У режимі запису, у циклі перенаправлення для сторінок, що кодують "1", повертається правильна відповідь Favicon, зберігається в кеші браузера (при повторенні циклу дані Favicon повертаються з кешу, не отримуючи доступу до сервера), а для сторінок, що кодують "0" - код помилки 404 (якщо повторити цикл перенаправлення, дані сторінки буде запитано знову).
Метод працює в Chrome, Safari, Edge і частково у Firefox. У Firefox для Linux використання Favicons як Supercookie перешкоджає функція, яка заважає браузеру кешувати Favicon.
Цікаво, що автори методу автентифікації повідомили розробників Firefox про цю функцію близько року тому, зазначивши, що в кеші була помилка, але не згадуючи про їх роботу та що виправлення помилки призведе до можливості ідентифікації користувача.
Фуенте: https://www.cs.uic.edu