Владельцы веб-сайтов давно следят за пользователями, с самыми разными целями, но в основном с тем чтобы сохранить и преумножить свою аудиторию (и прибыль).
Иногда эта слежка проста и очевидна, а иногда оказывается что относительно безобидные счетчики собирают о пользователях ту информацию которую те не были бы готовы раскрыть. Пользователи ищут приватности и начинают пользоваться такими браузерами как Tor и расширениями для браузеров такими как Ghostery, Privacy Badger или Adblock.
В свою очередь разработчики сайтов и сервисов отслеживания применяют все более изощренную технику сбора информации о посетителях и отслеживания даже тех кто борется с отслеживанием.
Исследование Принстонского университета привело к созданию ими специального ресурса Princeton Web Census на котором собраны результаты обследования 1 миллиона наиболее посещаемых сайтов.
Важнейшей и очевиднейшей находкой является подтверждение что ключевые организации следящие за пользователями - это Google и Facebook.
Методы самые разнообразные - это счетчики, кнопки социальных сетей, рекламные баннеры, статический контент, шрифты, API и многое другое.
Механизмы идентификации
Впрочем это действительно не новость. Гораздо интереснее новые механизмы идентификации пользователей, это:
Canvas Fingerprinting
Функции HTML Canvas активно применялись счетчиками еще в 2014 году, но благодаря исследованию 2014 года эта практика широко освещалась в СМИ и большая часть крупнейших игроков отказались от нее.
AudioContext Fingerprinting
Эта техника идентификации используется обычно не в изоляции, а вместе с другими техниками. Благодаря неожиданно странному поведению отслеживающих скриптов исследователи обнаружили что скрипты используют AudioContext и связанные интерфейсы. Ручной анализ скриптов показал что скрипты используют Audio API для идентификации пользователей несколькими способами.
WebRTC Local IP Discovery
WebRTC - это механизм для пир-то-пир коммуникации в реальном времени в браузере и он доступен через Javascript. Чтобы найти лучший путь между пирами WebRTC собирает информацию о всех адресах, включая локальные и без разрешения пользователя. Скрипт идентификации может извлекать эти адреса для слежки за пользователем.
Canvas-Font Fingerprinting
Javascript и Flash могут пролистывать список шрифтов в браузере для идентификации. А HTML Canvas API предоставляет метод для идентификации шрифтов в конкретном бразуере. Скрипт пытается отрисовать текст множеством шрифтов и сравнивая с текстом отрисованным шрифтом по умолчанию определяет установлен ли проверяемый им шрифт.
Результаты
Эти техники, конечно же, не финальные. Следующие исследования наверняка покажут появление новых способов идентификации пользователей, браузеров и не только. Сейчас можно говорить о том что от слежки не всегда могут защитить сервисы блокировки баннеров и счетчиков, потому еще есть сервисы API, доставки контента и шрифты блокировка которых приводит к нарушению отображения веб-сайтов.
Я могу порекомендовать расширение для браузеров Decentraleyes которое подменяет ссылки на скрипты в CDN, на установленные локально скрипты.
И, конечно же, не забудьте про открытые данные которые там же опубликованы.