Ny sporingsmetode er næsten umulig at blokere

De siger, de udvikler cookiens afløser, men den nye metode er næsten umulig at blokere. Læs om "canvas fingerprints" her.

Glem cookies. Nu er der et nyt system, som kan spore dig på nettet uden at smide små tekstfiler ned på din computer. Det skriver ProPublica.

En ny ekstrem insisterende type af online sporing skygger besøgende på tusinder af topwebsider, fra Whitehouse.gov til Youporn.com. Det viser sig nemlig, at hver browser kan efterlade sit eget unikke fingeraftryk.

Fænomenet bliver første gang dokumenteret i et kommende forskningsprojekt af forskere fra Princeton og KU Leuven Universitetet i Belgien. Det kaldes "canvas fingerprinting" og det fungerer ved at instruere den besøgendes webbrowser til at tegne et gemt billede. Fordi hver computer tegner billedet en lille smule forskelligt, kan billeder blive brugt til at tildele hver brugerenhed med et nummer, som giver computeren en unik identifikation.

På fem procent af de mest besøgte sider

Som andre sporingsværktøjer kan "Canvas fingerprint" bruges til at bygge profiler af brugere baseret på, hvilke websider de besøger, og dermed give mulighed for at målrette annoncer meget præcist.

Disse fingerprints er svære at blokere. De kan ikke forhindres ved at bruge en standard webbrowser eller bruge anti-tracking værktøjer, som AdBlock Plus.

Forskerne fandt ud af, at canvas-koden, som primært er skrevet af firmaet AddThis, var på fem procent af de 100.000 mest besøgte websider. De fleste af koderne var på websider, der bruger AddThis' socialmedie dele-værktøjer.

Indenfor rammerne af loven

Rich Harris, administrerende direktør hos AddThis, siger at virksomheden begyndte at teste Canvas fingerprinting tidligere i år, som en mulig måde, at erstatte cookies. Han siger, at de overvejede om der var implikationer i forhold til privatliv før de begyndte at bruge metoden. Men besluttede, at "det er indenfor rammerne af loven og de politiker vi har".

Han fortæller, at virksomheden kun har brugt dataene, som de har samlet med canvas fingerprints til intern research og udvikling. Virksomheden vil ikke bruge data til at målrette annoncer og personalisering, hvis brugerne installerer AddThis opt-out cookie på deres computer.

Youporn har efter ProPublicas henvendelse droppet at bruge AddThis og canvas fingerprints, da de mener, at det kan sætte ødelægge privatheden når deres kunder surfer porno. Samtidig oplyser de, at de ikke vidste, at der var sporingssoftware software i Addthis.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (22)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#5 Finn Aarup Nielsen

Jeg forstår ikke at det skulle være umuligt at blokere. For hvis canvas-fingerprinting kommer ind via addthis.com vil Ghostery (eller Disconnect som @Jesper Kock henviser til) så ikke blot blokere addthis.com før addthis.com's javascript overhovedet bliver hentet?

Med Ghostery på version2.dk ser jeg kun www.version2.dk og idtargeting.com. Det er først når Ghostery bliver stået fra at addthis.com bliver hentet.

  • 4
  • 0
#7 Kim Hjortholm
  • 3
  • 0
#8 Jesper Kock

Problemet ligger i alle kan lave deres eget canvas fingerprinting og de skal blokeres individuelt.

Problemet med Tor browseren er selvfølgelig at den ikke er særlig udbredt. Så hvis du er den eneste der benytter en specifik side via Tor browseren er du stadig unik selvom du har samme fingerprint som alle andre Tor brugere.

Forhåbentlig kommer der nogle ændringer i hvad browseren sender af information. Hvad er f.eks. formålet med at reporter installeret fonte nu om dage, er det ikke bare et levn fra fortiden?

  • 2
  • 0
#10 Kim Hjortholm

Installed fonts, plugins m.m. indgår som en del af fingerprinting - mon ikke det er et sikker gæt at et 3 bogstavs agency har nogle advancerede bayesian algoritmer til at beregne sandsynligheden for et given fingerprint i en browsersession er det samme fingerprint opsnappet i en tidligere browsersession. Ved at "skygge" supercookie kommunikation har man god mulighed for at følge dit digitale fodspor på nettet.

  • 0
  • 0
#11 Peter H. Rankin Hansen

... at forstyrre brugen af disse fingerprints ved at bruge en randomizer til at variere en lang række af de oplysninger der bruges.

F.eks. kunne randomizing af listen over installerede fonte bruges til at skabe et nyt fingerprint ved hver forespørgsel. Det samme med user agent og flere af de andre browser parametre.

Mon ikke en lille "Skift identitet" knap i browseren ville vække lykke ;)

  • 7
  • 0
#14 Kim Bjørn Tiedemann Blogger

Det ser ikke ud til at canvas fingerprinting i sig selv giver et særligt unikt fingeraftryk: https://www.browserleaks.com/canvas.

Men kombineret med et fingerprint af browserens andre kendetegn og så begynder det at være muligt, at identificere en browser installeret på en given maskine.

Det er dog værd at huske på, at fingeraftrykket ofte vil ændre sig efter opdatering af OS, browser og eventuelle plugins. Så det er ikke en bruger der identificeres men mere en kombination af device og installeret software.

En måde at omgå det på må være browser plugins, som kan ændre det bitmap billede, som canvas'et genererer. Ved dog ikke om det er muligt for et plugin at ændre getImageData og toDataUrl metoderne.

  • 1
  • 0
#16 Kevin Johansen

Ved godt at dns ikke er effektivt, men kan du omgå det kan du også undgå tracking. Dem du vil straffe her er jo netop de sites som henvender sig til Hr. og fru Danmark, og de vil næppe bryde sig om blokeringer eller dårlig pr. Bare start en skræmme kampagne om at Amazon et al gør det nemt at blive udsat for identitetstyveri, så skal der nok ske noget. Men jeg skal da lige have snakket med uni-c...der er en grund til at jeg sletter cookies efter hver endt session.

  • 0
  • 0
#17 Peter H. Rankin Hansen

.. med browser plugins, men de to største problemer bliver nok, at få spærret for at java og flash udleverer nøjagtig de samme oplysninger som man får spærret for i browseren - ikke mindst når mange java "programmer" får lov til at køre med adgang til systemets filer.

  • 0
  • 0
#18 Michael Aggerholm

Tror at NSA er ret ligeglad med det her. De har meget enklere metoder til at finde ud af hvilke sider du besøger. Teknologien bruges primært til at målrette annoncer med, og altså ikke at "spore" dig. Dertil er metoden for upålidelig. Det er penge der driver værket i dette tilfælde, ikke terrortrusler.

  • 1
  • 0
#19 Finn Aarup Nielsen

Installed fonts, plugins m.m. indgår som en del af fingerprinting

Ja. Jeg ved ikke om det er udbredt viden, men her er det i allefald: Electronic Frontier Foundation har en gaske udemærket side til estimering af "unikheden" af browseren: https://panopticlick.eff.org/ der blandt andet (tilsyneladende) bruger en metode af Henrik Gemal (http://browserspy.dk/).

For mig rapporterer servicen: "Your browser fingerprint appears to be unique among the 4,377,010 tested so far. Currently, we estimate that your browser has a fingerprint that conveys at least 22.06 bits of identifying information."

For mig er det fontene og pluginene der har speciel betydningen for identificeringen af min browser.

  • 1
  • 0
#20 Michael T. Jensen

Den viste det samme for mig med to forskellige browsere - hver var unik.

Spørgsmålet er hvordan det så reagerer, når der ændres på oplysningerne i forbindelse med installationer og opdateringer? Hvad nytter det med 87mio fingerprints med 2 mio besøgende, med mindre man kan koble nogle af fingerprintene med en identitet?

  • 0
  • 0
#21 Esben Madsen

Med noscript slået til var jeg på 1/13.000 (godt 13 bit info) - efter jeg tillod javascript for eff ramte jeg også de godt 22 bit info... konklusion: noscript gør det væsentligt sværere at bruge fingerprinting ;)

Tricket for dem er hvis det kan lade sig gøre at spore dig på tværs af hjemmesider - så skal der bare en enkelt kobling til en identitet til før du også er sporet når fingerprintet ændres (f.eks. ved en opdatering)

  • 1
  • 0
#23 Kevin Johansen

Er teknikken anvendt på en danskejet hjemmeside gælder selvfølgelig persondataloven, og det må så være op til ejeren af hjemmesiden, at undersøge om persondataloven og aftaler som SafeHarbour er overholdt. Er det ikke tilfældet, er der tale om ulovlig registrering.

Er ejeren ikke dansk og ikke underlagt dansk eller europæisk lovgivning, og sker der brud på dansk lovgivning, skal siden selvfølgelig bare blokeres (DNS) som vi jo gør med så meget andet herhjemme (udenlandske ejendomsfirmaer f.eks.).

Det kunne være jo være vi endte med endelig at nogen opdagede hvor dumt DNS filteret er, hvis nu Amazons sider ender deri :D

  • 0
  • 0
Log ind eller Opret konto for at kommentere