Отпечатки пальцев на холсте: преемник куки-файлов

Под заголовком «Веб никогда не забывает: Постоянные механизмы отслеживания в природе», исследователи из Принстонского университета и Католического университета Левена опубликовали исследование современных методов отслеживания пользователей. Наряду с Evercookie и синхронизацией cookie, они обсудили технику, которая была относительно неизвестна в то время: отпечатки пальцев на холсте. Исследование показало, что более 5,5% из 100 000 изученных сайтов использовали эту сложную технику для идентификации пользователей.

Идея отслеживания пользователей в Интернете по отпечаткам пальцев была впервые выдвинута Китоном Моури и Ховавом Шахамом, сотрудниками Калифорнийского университета, в их работе 2012 года «Pixel Perfect: Fingerprinting Canvas in HTML5». В публикации они представили свою идею: индивидуальные отпечатки пальцев, основанные на системных конфигурациях веб-пользователя, могут быть легко сгенерированы с помощью импортированных элементов HTML5 canvas. Вдохновленный работой этих двух исследователей, российский программист Валентин Васильев разработал и опубликовал на GitHub первый пример кода отпечатков пальцев Canvas под лицензией с открытым исходным кодом. Его код послужил основой для таких компаний, как AddThis и Ligatus, чтобы окончательно реализовать эту технологию отслеживания.

Упомянутые выше элементы холста на самом деле представляют собой определенные области (высота и ширина), которые можно рисовать с помощью JavaScript для создания графики, логотипов и кнопок с текстом. Но комбинации следующих аппаратных/программных средств часто бывают уникальными:

• Операционная система
• Браузер
• Графическая карта
• Драйвер видеокарты
• Установленные клиентские шрифты

Эти компоненты гарантируют, что каждый текст будет выглядеть немного по-разному, что и позволяет использовать canvas fingerprinting. Все, что нужно оператору сайта для осуществления интернет-слежки, — это специальный код отпечатка холста, который заставляет браузер отображать скрытый текст в фоновом режиме с помощью JavaScript во время загрузки страницы. Этот скрытый текст затем передается на веб-сервер сайта. Благодаря множеству особенностей, цифровой отпечаток, созданный таким образом, уникален более чем в 80% случаев, что означает, что он может быть распознан каждый раз — при условии, что пользователь не вносит изменений в перечисленные конфигурации системы.

Отпечаток холста, по сути, содержит только информацию о системах и браузерах. Но этого уже достаточно, чтобы идентифицировать посетителей сайта как отдельных людей и отслеживать их поведение при серфинге. Это может означать просто отслеживание действий пользователя на вашем собственном сайте, но также возможно отслеживание на нескольких сайтах, если скрипт реализован на разных веб-страницах. Такая форма онлайн-слежения полезна для оптимизации сайта и особенно интересна для разработки концепции целевой рекламы. Большим плюсом этого современного метода отслеживания пользователей является то, что он не предполагает сбора персональных данных пользователей, что делает отслеживание отпечатков пальцев серьезной альтернативой cookies для веб-аналитиков. Cookies считаются сомнительными с юридической точки зрения и сознательно блокируются или регулярно удаляются многими пользователями.

Однако цифровые отпечатки пальцев отличаются от человеческих тем, что они не являются на 100% уникальными, а это означает, что результаты, полученные с помощью отпечатков пальцев, не всегда заслуживают доверия. Например, два посетителя сайта с одинаковыми конфигурациями получат один и тот же идентификатор пользователя, что создаст проблемы для анализа посетителей. Поскольку вероятность такого развития событий возрастает с увеличением количества пользователей, посещающих сайт, отпечатки пальцев, естественно, менее эффективны для крупных сайтов с большим трафиком. Пользователи мобильных устройств создают дополнительную проблему для интернет-слежения по отпечаткам пальцев: аппаратное и программное обеспечение, используемое планшетами и смартфонами, обычно слишком стандартизировано для холщового дактилоскопирования, и имеет слишком мало отличительных особенностей для создания достаточного количества уникальных отпечатков пальцев. 

В отличие от cookies, отпечатки пальцев нельзя просто удалить, поскольку данные передаются непосредственно на сервер — на стороне клиента они не сохраняются. Использование режима инкогнито в браузере также не остановит эту технику отслеживания, поскольку скрипт canvas и информация о системе/браузере все равно передаются. Однако пользователи не совсем беспомощны в борьбе с этим методом отслеживания. Можно заранее предотвратить запуск скриптов. Этого можно добиться с помощью следующих мер:

• Деактивация JavaScript: без JavaScript элементы холста не могут загружаться, а значит, не может загружаться и информация о клиенте. Но, к сожалению, это может повлиять на производительность вашего браузера: поскольку многие веб-сайты содержат JavaScript, вы можете обнаружить, что они перестают корректно отображаться при отключенном JavaScript.
• Adblock Plus: Adblock Plus наиболее известен как расширение для браузера, используемое для блокировки рекламы, особенно всплывающих окон. Но объединив этот бесплатный инструмент со списком фильтров EasyPrivacy, вы сможете защитить себя от расширенного отслеживания отпечатков пальцев в Интернете.
• CanvasBlocker: Пользователи Firefox могут загрузить бесплатное дополнение CanvasBlocker и получить расширенные настройки и опции для блокировки отпечатков пальцев на холсте. Например, можно либо просто игнорировать все запросы к холсту, либо манипулировать передаваемыми данными, чтобы убедиться, что каждый предоставленный отпечаток пальца отличается от другого. 

Когда в 2014 году был опубликован список сайтов, использующих скрипты canvas fingerprinting, некоторые операторы сайтов были даже удивлены тем, что они попали в категорию компаний, использующих canvas fingerprinting — ведь они сами не применяли эту технику отслеживания. Один из примечательных случаев в Европе был связан с Ligatus, немецкой компанией, работающей из Кельна. Эта фирма, занимающаяся цифровым маркетингом, не смогла должным образом объяснить своим многочисленным клиентам, включая такие популярные немецкие сайты, как kicker.de, golem.de и n-tv.de, что такое canvas fingerprinting и как он работает. Согласно заявлению агентства, они проводили ограниченное тестирование техники, в ходе которого собирали анонимную информацию только от заранее определенных пользователей и гарантировали, что эта информация не будет передана куда-либо еще. Однако большинство сайтов, участвовавших в исследовании — опять же, некоторые неосознанно — использовали код отслеживания американской фирмы AddThis, известной тем, что встраивает кнопки социальных сетей в веб-сайты.

Но более актуальной и серьезной проблемой, чем невежество операторов веб-сайтов, является недостаток информации, предоставляемой посетителям веб-сайтов. Пользователям Интернета мы настоятельно рекомендуем ознакомиться с тем, что такое отпечатки пальцев на холсте, прежде чем принимать решение о том, хотите ли вы их блокировать (см. выше). И если вы рассматриваете возможность внедрения метода отпечатков холста в веб-представительстве вашей компании, обязательно изучите правила вашей страны и проинформируйте посетителей вашего сайта о том, что вы используете этот метод онлайн-слежения, чтобы у них была возможность покинуть ваш сайт или скрыть свои холсты, если они того пожелают.