The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В Firefox 58 появится защита от скрытой идентификации пользователей при помощи Canvas

31.10.2017 10:11

В Firefox 58 планируют реализовать средства для противодействия скрытому отслеживанию пользователей при помощи API Canvas. Метод защиты уже ранее был реализован в браузере Tor Browser и сводится к выводу диалога с запросом подтверждения операции, при использовании на сайте кода для обработки изображений, получающего содержимое областей при помощи метода getImageData.

Техника идентификации пользователя при помощи Canvas заключается в скрытой отрисовке картинки на странице, которая затем анализируется на предмет особенностей вывода, специфичных для используемого графического стека, GPU и видеодрайвера. Метод уже достаточно активно применяется рекламными сетями для пассивной идентификации браузеров в случае невозможности сохранения идентификатора в cookie. В невидимом iframe отрисовывается изображение и текст, после чего сформированная картинка читается при помощи getImageData и генрируется хэш загруженных данных, который выступает идентификатором. Ранее в сочетании с Canvas для идентификации также применялись техники перебора установленных шрифтов и оценки параметров аккумулятора через Battery Status API, но данные возможности отслеживания были заблокированы в Firefox 52.

  1. Главная ссылка к новости (https://www.ghacks.net/2017/10...)
  2. OpenNews: Идентификация пользователей Tor Browser через анализ особенностей работы с мышью
  3. OpenNews: Firefox будет блокировать установку внешних Cookie на сайтах
  4. OpenNews: Новый вид атак по определению ранее открытых в браузере сайтов и отслеживанию посетителей
  5. OpenNews: Расширенный метод идентификации системы и браузера без применения cookie
  6. OpenNews: В реализации WebGL из состава Firefox 4 найдена уязвимость
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/47475-canvas
Ключевые слова: canvas, firefox, cookie
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (60) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, mumu (ok), 10:29, 31/10/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –8 +/
    Да когда же они оставят нормальных людей в покое. Почему из-за пары олигофренов, кликающих по баннерам все остальные должны страдать?
    Почему при инсталляции браузера нельзя сделать галочку "я не имбецил" и освободить человека навсегда от того, чем он принципиально не желает пользоваться?
    А в стандарт http принять стандартный post запрос, что человек на этом клиенте никогда и ни при каких обстоятельствах не купит всю вашу туфту, просто потому, что он умеет пользоваться поисковиками для своих нужд.
     
     
  • 2.2, 332244234 (?), 10:36, 31/10/2017 [^] [^^] [^^^] [ответить]  
  • +11 +/
    реклама появляется не изза твоего подключения к интернету, а изза сайтов на которые ты заходишь. реклама есть в том числе и на этом сайте. убиде владельцев хотя бы этого сайта полностью от нее отказаться
     
     
  • 3.24, mumu (ok), 14:48, 31/10/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > убиде владельцев хотя бы этого сайта полностью от нее отказаться

    Ну раз тут показывают, значит видимо она даёт как-то профит. Кто-то кликает по баннеру на опеннете и заказывает себе блэйд сервера бимерские. Долго наверное мучался вопросом что же в свой доморощенный ДЦ заказать, а тут баннер фигак и человек сразу решился. Так что ли это работать должно? Звучит как бред.

    Джинса работает. Рекламные сети — нет. Те, кто этого ещё не понял — профнепригодные.

     
     
  • 4.39, Аноним (-), 19:57, 31/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Те, кто этого ещё не понял — профнепригодные.

    Шел 2017 год, вот уже 30 лет как спам успешно оккупирует все информационные каналы, богатейшая корпорация зарабатывает баснословные триллионы на массовой рекламе - но все еще находятся личности, утверждающие что это не эффективно.

    Удивляюсь я вам.

     
     
  • 5.48, Аноним (-), 00:46, 01/11/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Дык эта.. гомеопатия тоже неэффективна, но на ней тоже зарабатывают миллиарды. Реклама не работает, продажа рекламы лохам - работает ещё как.
     
     
  • 6.49, впариватель рекламы (?), 01:15, 01/11/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Реклама не работает, продажа рекламы лохам - работает ещё как.

    если бы реклама не работала - как бы мы без нее впарили ее же лохам?

    Прекрасно работает, ты просто не понимаешь, сколько на тебе зарабатывает продавец рекламируемого гуана. Ему хватает и рассчитаться со мной (в том числе за те тыщи кликов, которые не привели к продаже), и себе на бутер с красной икрой.

    И учти, что гугль платит площадкам за _клики_, а не за просто показ тебе баннера.
    За показы платят только торговцы ссылочным мусором - это можешь нахрен блокировать, это не для тебя, это для гугля (мы бы охотно вообще тебе это не показывали, но гугль зобанит, если поймает на таком).

     
  • 5.66, RobotsCantPoop (?), 13:31, 01/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну дык, триллионы они зарабатывают на рекламодателях... А рекламодатель -- ценный лох, которому можно впарить возможность порекламить свой кряп.
     
  • 3.50, trdm (ok), 01:26, 01/11/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > реклама появляется не изза твоего подключения к интернету, а изза сайтов на которые ты
    > заходишь. реклама есть в том числе и на этом сайте. убиде владельцев хотя бы этого сайта
    > полностью от нее отказаться

    где реклама то?
    http://prntscr.com/h4krgy

     
     
  • 4.54, Аноним (-), 02:52, 01/11/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Так ШГ дичайшего образца, вот реклама от этого ужаса и спряталась!
     
  • 2.3, A.Stahl (ok), 10:38, 31/10/2017 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Так не бывает. Любому человеку можно продать "туфту". Просто нужно найти подход.
     
     
  • 3.55, Аноним (-), 02:54, 01/11/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Любому? Как продать тому у кого нет денег?
     
     
  • 4.60, Аноним (-), 10:25, 01/11/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    В кредит же, ну чо ты как маленький. Чоткие поцанчики покупают же мабилы в две своих зряплаты, шоб лохами не быть.
     
  • 4.65, 1 (??), 11:03, 01/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    в кредит
     
  • 2.4, Аноним (-), 10:43, 31/10/2017 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Да когда же они оставят нормальных людей в покое.
    > Почему из-за пары олигофренов, кликающих по баннерам
    > все остальные должны страдать?

    шта? какие ещё клики по баннерам? идентификация без всяких кликов происходит.

     
  • 2.5, Аноним (-), 11:07, 31/10/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Почему из-за пары олигофренов, кликающих по баннерам все остальные должны страдать?

    В том-то и дело, что таких олигофренов всё меньше, а другие способы монетизации придумать слабо. Вот и изобретают всякое.

     
     
  • 3.6, kk (??), 11:11, 31/10/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Какие способы монетизации? Майнер?
    ==
    Или вас устроит платная подписка на всё подряд?
     
  • 3.8, Аноним (-), 11:49, 31/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > а другие способы монетизации придумать слабо

    Уже давно как придумали донат. Нормальные люди и просят донат а не вставляют овер 9000 баннеров, которые мешают читать контент.

     
     
  • 4.9, iPony (?), 12:26, 31/10/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Сколько ты донатил разным сайтам?
    А если не донатил (ну не представляют такой возможности), то сколько бы дал единовременно или по подписке?
     
     
  • 5.12, Аноним (-), 12:54, 31/10/2017 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Никогда не донатил. И никогда не кликал по баннерам.

    И что из этого следует?

     
     
  • 6.13, iPony (?), 12:55, 31/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Следует то, что донат — это чаевые. Доход от него мизерный.
     
  • 5.18, Аноним (-), 13:34, 31/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    У меня денег нет донатить. А если сайт будет полон рекламы, я просто не буду на него ходить. Я плохой, да? Ой, бедняжечки, разорятся наверное без меня то.
    Я тебе сейчас одну вещь скажу, только ты не обижайся. Рекламные компании тебе будут отдавать, если сильно повезёт, 1% дохода с рекламы на ТВОЁМ сайте. 99% дохода будет у них. Тебе не кажется, что это нечестно? Нет?
     
     
  • 6.31, iPony (?), 18:14, 31/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ну про 1% и 99% - это естественно бред с балды.
    А во вторых, все эти пустые разглагольствования максималиста про честность и справедливость не имеют особого смысла.
     
  • 6.51, впариватель рекламы (?), 01:27, 01/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > У меня денег нет донатить. А если сайт будет полон рекламы, я
    > просто не буду на него ходить.

    да куда ты денешься? Других сайтов нет (у тебя нет денег донатить, и они давно не могут заплатить за свой хостинг), так что будешь жрать что дают.

    > Я плохой, да? Ой, бедняжечки, разорятся наверное без меня то.

    уже разорились. Нет нынче живущих на donate своих пользователей более-менее сложных сайтов.

    > Я тебе сейчас одну вещь скажу, только ты не обижайся. Рекламные компании
    > тебе будут отдавать, если сильно повезёт, 1% дохода с рекламы на
    > ТВОЁМ сайте. 99% дохода будет у них. Тебе не кажется, что
    > это нечестно? Нет?

    мне кажется, что это прекрасно, но, к сожалению, нереалистично. По этой самой причине мелкие игроки на этом рынке уже давно разорились или ушли в очень сомнительные темы (порнуха да, для них еще работает, но там сложно с выводом денег и вообще все сложно). Гугль может позволить себе работать с очень небольшой маржей.

    Если бы все было так здорово, кто бы тебе мешал самому кликнуть баннер собственного сайта, и предложить владельцу платить тебе лично 40%, а 60 оставить себе. Я этому точно никак не помешаю, у меня нет никакой возможности не показать тебе, кто разместил баннер.

     
  • 2.10, Онанимус (?), 12:40, 31/10/2017 [^] [^^] [^^^] [ответить]  
  • –5 +/
    > Да когда же они оставят нормальных людей в покое.

    Реклама - двигатель прогресса!

    Ваш КО.

     
     
  • 3.15, A.Stahl (ok), 13:08, 31/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Реклама - двигатель прогресса!

    Эта фраза по нелепости может соперничать лишь с "Не зная историю мы будем повторять те же ошибки" (ну или как-то так).

     
     
  • 4.19, Аноним (-), 13:36, 31/10/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>Реклама - двигатель прогресса!

    Несомненно глупая фраза.

    > "Не зная историю мы будем повторять те же ошибки"

    А это так и есть. И повторяем, потому что не знаем.


     
     
  • 5.20, A.Stahl (ok), 13:42, 31/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > А это так и есть. И повторяем, потому что не знаем.

    Ещё Энгельс 150 лет назад (а до него возможно ещё много кто) вполне ясно показал, что социальные и экономические отношения в обществе зависят в основном от средств производства. А их развитие не стоит на месте. Поэтому обстоятельства которые привели 100 лет назад к одному результату в современном мире приведут к совершенно другому. И история никак не может помочь спрогнозировать к какому именно.


     
     
  • 6.29, J.L. (?), 18:11, 31/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> А это так и есть. И повторяем, потому что не знаем.
    > Ещё Энгельс 150 лет назад (а до него возможно ещё много кто)
    > вполне ясно показал, что социальные и экономические отношения в обществе зависят
    > в основном от средств производства. А их развитие не стоит на
    > месте. Поэтому обстоятельства которые привели 100 лет назад к одному результату
    > в современном мире приведут к совершенно другому. И история никак не
    > может помочь спрогнозировать к какому именно.

    как будто 12к лет назад у вас, человеков, не было точно таких же средств производства как сегодня
    (с) с любовью, рептилойды

     
     
  • 7.61, Аноним (-), 10:34, 01/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Как будто 12k назад человеки были какие-то другие.
     
     
  • 8.64, рептилоид (?), 10:57, 01/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    мне кажется, немного другие Нынешние - невкусные какие-то Где-то мы напортачил... текст свёрнут, показать
     
  • 3.23, Аноним (-), 14:39, 31/10/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Реклама - двигатель прогресса!

    Реклама — двигатель торговли, вообще-то.
    А двигатель прогресса — лень. Пойду, подвигаю.

     
  • 2.28, Аноним (-), 18:08, 31/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ты не имбицил, просто под крэком.
     
  • 2.41, Аноним (-), 20:14, 31/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Надо делать описание страниц полностью декларативное, возможность отключения всех вредных функций принять за стандарт и галку ставить по умолчанию (откл). Кстати, и ресурсов веб перестанет требовать.
    Новый веб нужен. Только кто это пропехнуть сможет?
     
     
  • 3.43, Аноним (-), 23:02, 31/10/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Надо делать описание страниц полностью декларативное
    >Ой, да я же переизобрёл html
     

  • 1.7, Ydro (?), 11:25, 31/10/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    У обычных пользователей, далёких от ИТ, волосы на голове зашевелятся от подобных чихов браузера.
     
  • 1.11, Аноним (-), 12:54, 31/10/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    getImageData
    Battery Status API
    Какие же укуренные занесли это в стандарты HTTP? Ну чё, надо тогда уж сразу API для чтения состава оборудования на PCI с адресами и прерываниями.
     
     
  • 2.16, Аноним (-), 13:16, 31/10/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    там еще есть АПИ для доступа к вебке и микрофону. по дефолту вроде отключено, но что оно есть в просматривалке страничек очень печалит. к воспросу присоединяюсь :)
     
     
  • 3.17, Ан (??), 13:23, 31/10/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > HTTP

    ...

     
  • 2.27, Аноним (-), 17:01, 31/10/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Battery Status API
    > Какие же укуренные занесли это в стандарты HTTP?

    https://www.w3.org/TR/battery-status/

    Editors:
    Anssi Kostiainen, Intel
    Mounir Lamouri, Google Inc. (previously Mozilla)

     
  • 2.33, Аноним (-), 19:10, 31/10/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Гугл, конечно. Они ещё против разрешений на доступ к сенсорам.
     

  • 1.14, Аноним (-), 13:05, 31/10/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Полностью ли они заменят CanvasBlocker?
     
  • 1.25, Аноним (-), 16:27, 31/10/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    >В невидимом iframe отрисовывается изображение и текст, после чего сформированная картинка читается при помощи getImageData и генрируется хэш загруженных данных, который выступает идентификатором.

    Что это за "невидимые картинки"?
    1х1 пиксель?
    Adblock Plus их может заблокировать?


    >Ранее в сочетании с Canvas для идентификации также применялись техники перебора установленных шрифтов и оценки параметров аккумулятора через Battery Status API, но данные возможности отслеживания были заблокированы в Firefox 52.

    А до Firefox 52 отсылку этих данных можно было отключить в about:config?

     
     
  • 2.56, Аноним (-), 03:11, 01/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Что это за "невидимые картинки"?
    > 1х1 пиксель?
    > Adblock Plus их может заблокировать?

    Пожалуй, для адблока это будет вариант приемлемой ненавязчивой рекламы.

     
     
  • 3.63, Аноним (-), 10:44, 01/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Можно, наверное, заблокировать вручную.
    Главное - знать, какие виды картинок блокировать.
     

  • 1.26, Singularity (ok), 16:38, 31/10/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И действительно, Nightly теперь спрашивает разрешение на идентификацию по canvas'у. Так-то довольно много казалось бы безобидных сайтов это делает.
     
     
  • 2.30, J.L. (?), 18:14, 31/10/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > И действительно, Nightly теперь спрашивает разрешение на идентификацию по canvas'у. Так-то
    > довольно много казалось бы безобидных сайтов это делает.

    скорее делает рекламная сеть, которой они сдают в наём рекламоместа у себя

     
  • 2.52, Аноним (-), 02:33, 01/11/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Мозилловские борцы за приватность как всегда на два шага позади актуальных трендов.
    Уже давно "на вершине хитпарада" - audio fingerprint. Canvas - вчерашний день, и плагинов против него придумано достаточно.
    В Палемуне, кстати, canvas spoofing встроен уже давно и без лишнего рекламного шума. Включается через canvas.poisondata в about:config.
     
     
  • 3.53, key (??), 02:41, 01/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо, включил
     
     
  • 4.68, . (?), 20:45, 02/11/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Спасибо, включил

    только если теперь youtube у тебя две минуты о чем-то думает, прежде чем запустить ролик - не верещи про "тyпых кодеров, жрущих ресурсы".

    (хотя, конечно, flash-версия обходилась крошечными мгновенно загружающимися битмэпчиками для частей интерфейса, которые еще и выглядели на порядок менее уродливо, а без вращающейся херни посреди экрана я как-нибудь бы обошелся и впредь)

     

  • 1.32, Аноним (-), 18:45, 31/10/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а зачем сайту знать "Battery Status API" ?..
     
     
  • 2.35, 0x0 (?), 19:37, 31/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Задумано, вроде, якобы для того, чтобы быстренько переключиться на облегчённый режим и сильно тебя не разряжать :))
     
     
  • 3.36, 0x0 (?), 19:40, 31/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    {*} Ну, это... типо, если тебя нужно на сайте до 4 утра продержать, а батареи может не хватить :)))
     
  • 3.37, 0x0 (?), 19:42, 31/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    {**} В том смысле, если ты в какую-нибудь emergency-западню попал и должен постоянно оставаться на связи :)))
     
  • 3.40, Аноним (-), 20:01, 31/10/2017 [^] [^^] [^^^] [ответить]  
  • +7 +/
    А по факту убер, например, использовал для задирания цены на поездку, если у тебя телефон разряжается.
     
  • 2.57, Аноним (-), 03:17, 01/11/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > а зачем сайту знать "Battery Status API" ?..

    Для индивидуальной адаптации криптомайнера под возможности клиента. :))

     

  • 1.58, Kuromi (ok), 05:05, 01/11/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Рукалицо. Расширение Canvas Blocker уже несколько лет как делает именно эту задачу - борьбу с идентификацию по canvas, правда там метод хитрее - добавляют случайный шум в вывод, хотя запрос на разрешение тоже можно...
    Кстати после его установки оказывается что каждый второй крупный сайт лезет читать эти данные...
     
     
  • 2.59, Аноним (-), 08:51, 01/11/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вот именно - "рукалицо". Давайте теперь под каждый чих расширение в браузер добавлять. Чтобы он вобще еле ползал.
     
     
  • 3.62, Аноним (-), 10:38, 01/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >Чтобы он вобще еле ползал.

    Ты так говоришь, как будто сейчас они летают.

     
  • 3.67, Kuromi (ok), 16:42, 01/11/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну а почему тогда нельзя было сделать как, скажем, Tor или (вроде как) Pale Moon - встроить зашумление вывода прямо в браузер? Насколько я знаю они сделали именно так.
     
     
  • 4.69, Аноним (-), 10:22, 07/11/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Зашумление, если сделано неправильно, неэффективно. Напр. если шум можно усреднить (если меняется каждый рендеринг) или вычесть (если не меняется каждый рендеринг, но условия его статичности отличаются от условий сигнала). То есть если браузер создаёт белый шум и накладывает на холст с малой прозрачностью каждый рендеринг - усредняем. Если создаёт 1 раз и накладывает каждый раз - рендерим немного разную картинку, напр двигаем webgl 3d объект, усредняем, наша картинка в среднем даст 0, а помеха накопится, отсюда мы узнаем помеху и сможем её вычесть. Правильно же подмешивать помеху не в картинку, а в исходную модель, в то, что на самом деле фингерпринтится. А ещё более правильно не страдать хернёй и отрубить js к чертям собачим.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру