Jak identifikovat uživatele používající různé prohlížeče a sledovat jejich pohyb po webu

Techniky umožňující identifikovat uživatele resp. jeho zařízení na webu se neustále zdokonalují a ve spolehlivé identifikaci jim nezabrání ani zaškrtnutí funkce „Do Not Track“ v prohlížeči.

A je jedno, zda uživatel používá Internet Explorer, Mozzila Firefox, Google Chrome anebo třeba Safari. Stačí, když je povolen JavaScript, a ten většina uživatelů povolen má. Bez ohledu na použitý prohlížeč je tak možné poměrně spolehlivě identifikovat koncové zařízení uživatele.

Na základě této identifikace je pak uživateli možné zobrazovat při pohybu po webu personalizovanou reklamu. Ale nejen to, identifikaci koncového zařízení lze využít i v rámci vícefaktorové autentizace, anebo třeba v systému pro detekci podvodů, kdy banka hned ví, zda se uživatel přihlašuje ze svého zařízení.

A byť i nejnovější techniky nabízí spolehlivost něco přes 99 %, což se možná může jevit jako málo, tak je to pro tyto účely naprosto dostačující, obzvlášť když si uvědomíme, že drtivá většina útoků není realizována ze zařízení oběti nýbrž z počítače pod kontrolou útočníka. Samozřejmě, pokud by se scénář útok změnil, muselo by dojít i k patřičné úpravě pravidel na FDS.

Dříve se k identifikaci uživatele resp. počítače používaly cookies, a později skripty detekující např. přítomnost pluginů v prohlížeči a další charakteristiky jako např. časová zóna, počet jader CPU, audio stack, nainstalované fonty a jazyky, anebo třeba rozlišení obrazovky, které však mohlo být v různých prohlížečích a při různém zvětšení interpretováno různě, stejně jako výsledek dekomprese obrázků využívajících ztrátovou kompresi.

Později se pak objevily ještě pokročilejší metody využívající možností HTML5 k identifikaci počítače uživatele, které však byly stále závislé na použitém prohlížeči. Ty však byly v průběhu minulých let podstatně vylepšeny a nyní umožňují spolehlivě detekovat i uživatele přecházejícího na jednom počítači mezi různými prohlížeči, kdy se vytváří tzv. cross-browser fingerprint.

Detekují se takové charakteristiky, které jsou na jednotlivých prohlížečích zcela nezávislé. Takovými unikátními charakteristikami se vyznačují výstupy z určitých velice specifických úloh, které jsou inicializované JavaScriptem v prohlížeči a dosahující přes API až na jednotlivé funkce, které nabízí konkrétní HW komponenty.

Nejnovější techniky provádí identifikaci koncového zařízení na základě výsledku renderu určitého objektu v prohlížeči. Je využíváno specifických HW charakteristik jednotlivých grafických karet, kdy se vykoná několik WebGL úloh spočívajících např. v zobrazení více 3D objektů s určitou texturou, gradientem, vyhlazením, průhledností, nasvícením, vrženým stínem, a animací.

Výsledek generování pak na každém stroji vypadá trochu jinak, protože se na něm může nacházet jak jiný operační systém, tak i ovladač a grafická karta. Z těchto výstupů se pak vygenerují hashe, které je možné poslat na server, a ty mohou být později použity k identifikaci uživatele resp. jeho stroje. Podrobný popis této techniky je popsán v tomto dokumentu, zdrojové kódy jsou pak k dispozici zde.

Cross-browser fingerprint je však jen mezistupeň na cestě ke cross-device fingerprintu, což je unikátní otisk, který vytváří přímo uživatel svým pohybem po webu. Získání tohoto otisku je již o poznání náročnější a vyžaduje zpravidla spolupráci více stran a provádění určitých operací nad tzv. big daty, ovšem mnoha případech ani to není nutné, protože stačí, když se uživatel přihlásí do určité webové aplikace z různých zařízení.

Problém je, že pokud by se uživatel z nějakého důvodu rozhodl, že nechce být na webu identifikován, tak z principu na jakém tyto techniky pracují, moc možností nemá. Tedy kromě vypnutí JavaScriptu. Sofistikovanější řešení, které jsou momentálně na trhu, nejsou rovněž moc účinná.


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page


K článku “Jak identifikovat uživatele používající různé prohlížeče a sledovat jejich pohyb po webu” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: