又一新亮相了 用於識別瀏覽器實例的技術。 方法 基於Favicon圖像處理的特點 借助它,網站可以確定在瀏覽器界面的書籤、選項卡和其他元素中顯示的圖標。
瀏覽器將 Favicon 圖像存儲在單獨的緩存中,它不與其他緩存重疊,對於所有操作模式都是通用的,並且不會被標準緩存和瀏覽歷史記錄清除器清除。
這個功能 即使在隱身模式下工作也允許使用標識符 很難去除。 使用所提出的方法進行的身份驗證也不受使用 VPN 和廣告攔截插件的影響。
該識別方法是基於這樣的事實:如果瀏覽器沒有請求頁面參數中指定的Favicon圖片,則服務器端可以通過分析Favicon加載的信息來判斷用戶是否之前打開過該頁面。 ,則頁面會提前加載並從緩存中顯示圖像。
自從瀏覽器允許您配置自己的 Favicon 對於每個頁面, 可以通過順序轉發對有用信息進行編碼 從用戶到幾個獨特的頁面。
鏈中的重定向越多,可以確定的 id 就越多(id 的數量由公式 2^N 確定,其中 N 是重定向的數量)。 例如,4 個用戶可以尋址兩個重定向,3 – 8、4 – 16、10 – 1024、24 – 16 萬、32 – 4 億。
這種方法的缺點是延遲時間長:精度越高,重定向打開頁面的時間越長。
32 重定向會為所有互聯網用戶生成標識符,但會導致大約三秒的延遲。 對於一百萬個標識符,延遲約為一秒半。
該方法涉及兩種工作模式: 寫作和閱讀:
- 書寫模式 生成並存儲首次訪問該站點的用戶的標識符。
- 閱讀模式 讀取先前存儲的標識符。
模式的選擇取決於Favicon文件對站點主頁的請求:如果請求圖像,則不緩存數據,並且可以假設用戶之前沒有訪問過該站點或者緩存的內容已被緩存。過時的。 研究人員表示,通過指定 Cache-Control HTTP 標頭,可以實現 Favicon 在緩存中保存長達一年。
在閱讀模式下,打開網站時,用戶通過其網站圖標鏈接到預定義的頁面,並且 HTTP 服務器解析從服務器請求的 Favicons 並且無需從緩存訪問服務器即可顯示。 請求的存在被編碼為“0”,不存在被編碼為“1”。 為了在將來的調用中保留標識符,響應 Favicon 請求時會顯示 404 錯誤代碼,也就是說,下次打開站點時,瀏覽器將嘗試再次加載這些 Favicon。
在寫入模式下,在重定向循環中 對於編碼“1”的頁面, 返回來自 Favicon 的正確響應, 存放在瀏覽器緩存中(當重複循環時,將從緩存中返回 Favicon 數據,無需訪問服務器),並且對於編碼為“0”的頁面 - 錯誤代碼 404(如果重複重定向循環,則頁面數據將再次要求)。
該方法適用於 Chrome、Safari、Edge,部分適用於 Firefox。 在 Linux 版 Firefox 中,使用 Favicons 作為 Supercookie 會受到阻止瀏覽器緩存 Favicon 的功能的阻礙。
有趣的是,該身份驗證方法的作者大約在一年前就向Firefox 開發人員通知了此功能,指出緩存中存在錯誤,但沒有提及他們的工作以及修復該錯誤將導致用戶身份識別的可能性。