Фингерпринтинг конкретного ПК с точностью 99,24%: не спасает даже смена браузера


    Задачи рендеринга на клиентской стороне с целью фингерпринтинга

    Практика смены браузера, чтобы сменить личность в интернете, является популярным советом от экспертов и специалистов по безопасности. Согласно опросу, около 70% пользователей установили и регулярно используют по меньшей мере два браузера. Так они надеются избежать слежки и нежелательного распознавания на сайтах.

    Группа американских исследователей опубликовала научную работу с описанием более продвинутых техник фингерпринтинга, которые не учитывают версию браузера, но всё равно распознают конкретный ПК с высокой точностью.

    Фингерпринтинг — спорная техника идентификации пользователей в интернете в качестве альтернативы обычным кукам и «вечным» кукам. Если пользователь удаляет куки или у него установлены программы для блокировки следящих трекеров, с помощью фингерпринтинга его всё равно можно узнать.

    Противники этой техники говорят, что использование фингерпринтинга неэтично, если пользователь явно запретил себя идентифицировать и активно удаляет куки. С другой стороны, некоторые веб-разработчики не видят ничего плохого в том, чтобы распознавать повторных посетителей, если не делать ничего незаконного. Мол, это же для их собственного удобства. Распознавание пользователей (трекинг) тем или иным способом осуществляет более 90% самых популярных сайтов интернета. Фингерпринтинг — самая надёжная техника. Она подразумевает создание уникального «отпечатка» пользовательского компьютера с учётом всех открытых параметров: версии ОС, версии браузера, набора плагинов и расширений к браузеру, списка установленных шрифтов, разрешения экрана и т.д.

    До последнего времени при фингерпринтинге всегда учитывалась версия браузера пользователя, но сейчас исследователи пробуют преодолеть это ограничение — и распознавать конкретные ПК независимо от браузера.

    В работе группы американских исследователей новая техника именуется CBF, то есть кросс-браузерный фингерпринтинг (Cross-Browser Fingerprinting). Она учитывает характеристики компьютерной системы, которые проявляют себя независимо от версии браузера при рендеринге и обработке графики.



    Исследователи замеряют время выполнения различных графических операций и используют эту информацию для профилирования конкретного ПК. Например, нанесение растрового изображения на грань куба средствами WebGL с аппаратным видеоускорением выполняется с одинаковой скоростью независимо от браузера.

    Вот список некоторых параметров, которые можно использовать для кросс-браузерного фингерпринтинга.

    Разрешение экрана. Как выяснилось, если задействовать зуммирование, то можно получить надёжный результат независимо от версии браузера.

    Количество ядер процессора. Браузерный параметр hardwareConcurrency выдаёт максимальный порог для конкретного компьютера в операциях Web Worker. Даже если браузер пытается изменить этот параметр (например, Safari делит его на два), можно легко вычислить истинное значение.

    AudioContext. Набор задач по обработке звука в операционной системе и звуковой карте. Фингерпринтинг осуществляется путём замера времени выполнения этих операций.

    Список шрифтов. Стандартная техника фингерпринтинга, которую исследователи адаптировали для кросс-браузерного варианта. Список установленных шрифтов можно определить по рендерингу глифов в браузере.

    Линии, кривые и антиалиасинг. Рендеринг линий, прямых и антиалиасинг в HTML5 Canvas и WebGL выполняется средствами GPU.

    Vertex Shader. Ещё один элемент, который рендерится графической подсистемой и графическим драйвером. Он используется при создании теней и освещения в 3D-объектах и задействуется в WebGL.

    Fragment Shader. Отслеживается таким же способом, как и Vertex Shader.

    Прозрачность в альфа-канале. Выдача этих графических элементов зависит от GPU и драйвера и является одинаковой во всех браузерах.

    Установленные письменности (языки). Некоторые письменности вроде китайской, корейской и арабской, требуют установки специальных библиотек.

    Моделирование. Рендеринг 3D-моделей.

    Освещение и построение теней (Lighting and Shadow Mapping). Ещё одна особенность 3D-графики, связанная с обработкой света и теней.

    Камера. Имеется в виду не установленная на компьютере веб-камера, а другая техника, специфичная для 3D-моделирования. Она производит построение 2D-представлений для 3D-объектов.

    Отсечение плоскостей (Clipping Planes). Операция WebGL, связанная с вычислением координат 3D-объектов с ограниченной видимостью.

    Все перечисленные техники в совокупности позволяют составить довольно надёжный и точный профиль конкретного компьютера. В таблице ниже перечислена надёжность и энтропия, которую обеспечивает каждый метод и все они вместе.



    В совокупности, техники CBF позволяют точно идентифицировать около 99,24% всех компьютеров. Исследователи проводили тесты с использованием браузеров Chrome, Firefox, Edge, IE, Opera, Safari, Maxthon, UC Browser и Coconut.

    Техника работает довольно надёжно и отсутствие какого-нибудь одного из параметров в профиле практически не оказывает влияния на результат.

    Для анонимной работы в интернете авторы научной работы рекомендуют использовать браузер Tor, который нормализует браузерную выдачу и не даёт возможности осуществить фингерпринтинг такого рода. Правда, и у него есть небольшой грешок: он тоже оставляет пару параметров открытыми, в том числе ширину экрана и AudioContext. Исследователи выразили надежду, что разработчики Tor нормализуют выдачу по этим параметрам тоже.
    Сколько браузеров вы регулярно используете?

    Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама
    Комментарии 135
    • 0
      А чем плох режим инкогнито в браузерах?
      • 0
        Для каких задач?
        • 0
          Тем, что как бы говорит всем желающим «я делаю что то тайное, проследи за мной». Единственный вариант для анонимности — TOR, открытый в виртуалке, поключённый через VPN. В большинсве случаев ТОР не обязателен, если VPS надёжный и анонимный (оплата бинткоинами).
          • +4
            Как VPS будет анонимным, если в последствии нужно подключаться к нему напрямую?
            • +1
              Я имел в виду VPN, опечатался. Шифрованное подключение с виртуалки к VPN даст довольно мало инормации тем, кто попытается Вас отследить. Конечно, спецслужбы справятся, я не говорил о криминале, но для торрентов в некоторых странах, где они запрещены сойдёт.
              • 0
                Конечно, спецслужбы справятся,

                Спецслужбы какой страны? Той, откуда гражданин-нарушитель? Той, где физически находится ферма VPN? Той, где зарегистрирована компания, оказывающая услуги?
                • 0
                  Спецслужбы какой страны?

                  Любой, которая заинтересуется*.
                  * — при условии, что нарушитель находится на территории того же государства что и спецслужба, или союзного с ним.
            • 0
              А вот как на счёт того, что любой скрипт вполне по правилам может обратиться к любому сайту передав ему любую известную ему информацию? Ну передаст он ему особенности не реальной машины, а виртуалки, которую обслуживает реальная машина, и всё. Погрешность будет больше, но в целом корреляции всё равно будут. При отключённых-же скриптах все эти техники ничего не стоят.

              Тут уже не раз был спор на эту тему, однако вернусь к ней. Для работы подавляющего большинства сайтов скрипты на самом деле не нужны. Совсем. Они используются лишь для создания красивой мигающей хрени и (судя по всему в большей части) для показа рекламы и тракинга юзеров. К сожалению любителей «красивой мигающей хрени» всё больше, и скоро, видимо, сайты без скриптов станут не работоспособны совсем. Увы.
              • +5
                Только благодаря скриптам вы написали свой комментарий. Отключите их и посмотрите во что превратится интернет.
                • +3
                  Комментарий я написал благодаря мозгу, рукам и клавиатуре. Для того, чтобы его отправить на сервер скрипты тоже не нужны. Открою страшную тайну: интернет долгое время прекрасно обходился без них.

                  Конкретно тут единственный смысл скриптов — отправить набранное на сервер не перезагружая страницу. Только за время написания комментария их количество сильно увеличивается. Собственно приписку «я буду обновлять перед отправкой» тут можно увидеть весьма часто. Так что функция совершенно бесполезная. Это всё равно приходится делать.

                  Лично у меня скрипты включены на 2х сайтах. youtube и shadertoy. И то первый из них во флешовые времена мог обойтись без них. Гугл, кстати, обходится прекрасно до сих пор (в отличие от яндекса, у которого даже кнопка «отправить» скриптовая зачем-то). Весь остальной тоже вполне нормально себя чувствует без них (ну, кроме самых упоротых). А с появлением возможности делать менюхи и анимацию с помощью CSS вообще большую часть визуальной скриптовой хрени можно выкинуть.
                  • 0
                    так а если на хабре у вас скрипты не включены как выглядит процесс написания коментария для вас лично ?:)
                    • +1
                      Очень странно выглядит. По непонятной причине из основного браузера (firefox) мне вообще не удаётся залогинится сюда. При чём даже со включённым всем-всем-всем и отключенными проксями и резалками. И хз почему. При логине получаю ответ — не введена почта или пароль, при том, что сетевой монитор показывает их отправку.
                      Так что написание начинается с запуска специально для этого поставленной Оперы со всеми разрешениями :(

                      Раньше, когда такой фигни не было — включал если нужно было написать (в noScript делается одним кликом). Собственно для меня это ресурс больше для чтения (я R&C, так что писать могу сравнительно недавно и делаю это не часто). А читать можно и без них.
                      Так что да, формально тут они тоже включены. Реально — очень редко и на выделенном браузере. Остальные сайты с которыми я имею дело до сих пор либо работают по старинке либо теряют только функции ввода тегов по клику (что пофиг, написать их не сильно медленнее, чем целиться в кнопку)
                      • 0
                        По непонятной причине из основного браузера (firefox) мне вообще не удаётся залогинится сюда.

                        Запрет сторонних кук виноват скорее всего.
                        • 0
                          Нет. Всё разрешал. Вообще всё. Очень долго с этим мучался пока не забил.
                          На всякий случай сейчас проверил — та же фигня.
                          «Нечего проверять»

                          На самом деле тут вообще мутная история. Сначала я пробовал зомбреру. Тот вообще отвалился ещё на https handshake, даже на сайт зайти не смог. Опера тоже не сразу смогла. Причём и в обычном, и в турбо режиме. Больше нигде такого не наблюдал.
                          • 0
                            Рефёрер передаётся? Хабр/ГТ настолько «прямо» написаны, что без него не работают никак. (А это необязательное поле по стандарту.)

                            Проблема может быть ещё в капче. (Особенно, если вы её не видите.)
                            • 0
                              Вот же блин! Нахрена тут реферер? В жизни бы не догадался сам, особенно если учесть столь «информативное» сообщение. Тут уже не столько хабр, сколько сайт, через который идёт логин. Он ничего не говорит ДО ввода. Только бессмысленное сообщение после.

                              Спасибо, пол-года спустя заработал.
                • 0
                  Красивой мигающей хрени? Т.е. если мне нужно подсчитывать сумму чисел в таблице и выводить ее по мере вбивания этих чисел, то это красивая мигающая хрень? Если мне нужны таймеры и динамическое обновление по таймеру — это тоже мигающая хрень? А тру-юзеры будут в восторге не иметь удобного UI с неограниченной функциональностью? Может еще к фреймам с жирными разделяющими бордюрчиками вернемся? Было весело и самобытно, не спорю. Что-то сродни воспоминаниям о Рэмбо и Терминаторе на пожеванных видеокассетах =)

                  • +2
                    Если вы чуть внимательнее посмотрите — я не отрицаю скриптов как таковых. Проблема в том, что их пихают не только там, где они нужны, но везде вообще. Вот возьмём яндекс. Был обычный поиск, но теперь при нажатии на кнопку поиска клик обрабатывается скриптом вместо стандартной отправки на сервер. И это при том, что прекрасно можно было повесить скрипт и на стандартный элемент и всё бы работало (ок, поиск бы работал) независимо от наличия скриптов… Нахрена? Вот что, без этого нельзя обойтись? А до этого 20 лет он как работал? И табличку с результатом он без скрипта отобразить не может ну никак? Гугл вот может, а яндекс не осилил. И так потихоньку становится везде.

                    Таблица — ок. Таймеры и динамическое обновление? А не для мигания ли лампочкой? ;)

                    Неограниченная функциональность требует неограниченных ресурсов. Боюсь мой скромный бук не потянет. Не надо впихивать хотя бы тут неограниченную функциональность. Уже давно мода лепить из любого простого и эффективного инструмента мегакомбайн делающий всё, что угодно, и ещё кучу всего такого, смысла чего не знают даже его создатели. И требующего для своей работы маленький сервер. Это проходили уже сотни раз и ни одного удачного из них я не припомню. Таким образом угробили много хороших программ.

                    При чём тут фреймы? Против CSS вообще не слова не сказал. Как раз наоборот, он сейчас в состоянии заменить большую часть бессмысленных скриптов. По факту, конечно, он сам уже стал скриптом и грузит машину ощутимо анимацией и прочей хренью, но пока не может жить своей собственной жизнью, как скрипты и прочий код. А ширина бордюрчиков, кстати, вполне настраивалась уже тогда :)
                    • 0
                      Вы написали: " Для работы подавляющего большинства сайтов скрипты на самом деле не нужны. Совсем. "

                      Как мне кажется, это заявление без лишних раздумий можно назвать перегибом.

                      Но вы еще и добавили: "Они используются лишь для создания красивой мигающей хрени"

                      А так то, конечно, вы скриптов не отрицаете. Только это еще надо понять между строк.

                      Не стоит перекладывать с больной головы на здоровую. Инструменты для описания алгоритмов нужны повсеместно. Независимо от того, с какой частотой их используют для доставления неудобств — они нужны. Я вот гугло-экселем стараюсь не пользоваться. Более тормозящего браузерного отстоя я еще не видел. Так мне за это на скрипты дуться или на гугль?

                      • 0
                        Как мне кажется, это заявление без лишних раздумий можно назвать перегибом.

                        Аргументируйте. Под «красивой мигающей хренью» я имел ввиду отнюдь не положительный пример. Динамическе меню (и прочее подобное) сейчас можно делать и на CSS. Это уже не говоря о том, что в большинстве случаев смысла в них тоже не много. А если нужен большой список — лучше уже делать отдельный список разделов (но это уже вкусовщина, согласен).

                        Так мне за это на скрипты дуться или на гугль?

                        Я вообще не предлагаю ни на кого дуться. Ещё раз. Речь не о скриптах, а об их бессмысленном и беспощадном использовании. Когда сайт, который может (а часто и работает) без них кроме 10кб странички грузит ещё 300+кб скриптов, которые непонятно что делают и жрут на это проц — это перебор. Гугль, кстати, отличный пример обратного. И поиск, и почта у них прекрасно себя чувствует и без скриптов. Гугл доки и ютуб без них жить по очевидным причинам не могут и это тоже отрицать бесполезно. А уже использовать или не использовать эти сайты личное дело каждого.

                        Ради интереса посмотрел гиктаймс (вот конкретно эту страницу). Без малого мегабайт скриптов на 0.5 метра собственно документа. Зачем!? Реально для ответа на комментарий нужен это мегабайт?
                        • 0
                          Что аргументировать? Сначала вы отрицаете необходимость скриптов. Потом утверждаете, что ничего не отрицали. Может просто не стоит начинать разговоры с резких не вполне корректных формулировок?

                          >> Реально для ответа на комментарий нужен это мегабайт?

                          Вы опять трансформировали вопрос «нужны ли скрипты» в вопрос «почему этот скрипт такой большой». Скрипты тут нужны. А почему именно этот такой — ну напишите в саппорт, поинтересуйтесь. Может просто потому, что библиотеки сторонние используются, а не с нуля все написано?
                          • +1
                            Я не отрицаю. Если уж разбирать подробно:
                            Для работы подавляющего большинства сайтов
                            Формулировка как минимум намекает на наличие меньшинства, которому они всё-таки нужны.

                            Скрипты тут не являются необходимостью. Даже для написания комментариев. Собственно если бы не блокировали предварительно кнопку отправки — комментировать саму статью можно было бы без них и так.
                            Специально пытался найти, где они используются ещё и не сумел. Ну, кроме кучи тракеров, аналитики и рекламы. Извините, но их я необходимыми тем более не считаю.
                    • 0
                      «подсчитывать сумму чисел в таблице», «таймеры и динамическое обновление по таймеру» — это явно не относится к большинству сайтов ;)

                      К утверждению «Для работы подавляющего большинства сайтов скрипты на самом деле не нужны. Совсем.» присоединяюсь. Тот же хабр вполне реально сделать работающим без скриптов.

                      Хорошие, годные сайты делают так, чтобы они и без скриптов прекрасно работали, а скрипты лишь добавляли опциональных плюшек. Тогда обычные люди могут наслаждаться этим вашим удобным UI и сидеть на сайте, а параноики могут отключить скрипты и всё ещё сидеть на сайте)
                      • 0
                        >> Тот же хабр вполне реально сделать работающим без скриптов.

                        Зачем?

                        Он не будет иметь всю имеющуюся сейчас функциональность. Он станет обрубком, которым тем не менее можно отправить сообщение. Как псевдо-автомобиль на деревянных колесах, именуемый обычно телегой. Так зачем? Что бы повыделываться и в последствии ставить убогий сайт в противопоставление другому нормальному, юзающему стандартных библиотек на метр весу? Т.е. потратить уйму времени на цель, не стоящую и ломанной копейки? И так всю жизнь. А потом по итогам будем плакаться в Фидо, как за 100 лет ничего не изменилось и никакого прогресса, хотя сами оказываемся противниками развития и сторонниками забивания гвоздей отверткой.

                        P.S.: А параноики что вообще забыли в социальных онлайн-сервисах?
                        • 0
                          Он станет обрубком, которым тем не менее можно отправить сообщение.
                          В том и суть

                          Как псевдо-автомобиль на деревянных колесах, именуемый обычно телегой.
                          Это лучше, чем без средства передвижения и без ног вообще ;)

                          Так зачем?
                          Если из хабра сделать обрубок, то может и незачем. Но, повторюсь, хорошие, годные сайты делают так, чтобы они и без скриптов прекрасно работали (именно что прекрасно), и на хабре это совершенно не проблема: не станет он обрубком.

                          потратить уйму времени
                          С хорошей, годной архитектурой хорошего, годного сайта никакой уймы времени не будет.

                          никакого прогресса
                          Веб — совершенно не то место, где нужен прогресс, но это тема для отдельного поста.

                          А параноики что вообще забыли в социальных онлайн-сервисах?
                          А параноикам ничего не мешает находиться в них анонимно (кроме фингерпринтинга, хех)
                          • 0
                            Развернутые мысли не бывают анонимными. Параноикам лучше просто почитывать.

                            >> Но, повторюсь, хорошие, годные сайты
                            >> С хорошей, годной архитектурой хорошего, годного сайта никакой уймы времени не будет.

                            Где засилие этих крутых безскриптовых порталов, если это просто, быстро и удобно?

                            >> Веб — совершенно не то место, где нужен прогресс

                            Тогда извиняюсь за излишнюю беседу. Я не знал об этом.
                          • 0
                            Он не будет иметь всю имеющуюся сейчас функциональность.

                            Почему это? Нет никаких проблем сделать сайт работающим без скриптов, но при их загрузке чтобы были все удобства. Кому скрипты не нужны, пусть ставят носкрипт, остальные будут наслаждаться скриптовой функциональностью.
                        • +1
                          Когда меню на скриптах, и при отключенных скриптах нельзя перейти по меню — это немного не вычисление очень нужных полей в таблице.
                          • 0
                            Т.е. если мне нужно подсчитывать сумму чисел в таблице и выводить ее по мере вбивания этих чисел, то это красивая мигающая хрень?

                            Да. Для редактирования таблиц есть специализированный софт. Браузер — он для просмотра информации, а не для обсчета всякой херни.
                            • +1
                              Пора покидать землянки. Война еще в 45-ом кончилась.
                            • 0
                              Может ещё программу для написания комментариев на Хабрахабр написать? А то ведь браузер только для просмотра информации, а не для написания комментариев на Хабрахабр. Заодно и программу для написания статей, программу для настроек в личном разделе. Ведь браузер только для просмотра, отправлять запросы на изменения грех, теги form и прочие нужно запретить, а POST резать на файрволах!
                              • +1
                                Ну, в общем-то такая программа давно есть и лежит в Google Play :D Пишу этот комментарий через неё))
                                • 0
                                  А можно ли доверять этому приложению? Если написать свой браузер, в котором ты на 100% знаешь, что куда отправляется, можно и скрипты включить, зная, что они ничего лишнего сделать не могут.
                                  • 0
                                    Песочницы уже есть в любой современной ОС, в пределах неё пусть хоть rm -rf /* делают
                                  • 0
                                    На ХР не ставится, требует аккаунта в каком-то гугле. Низачот!
                                    • 0
                                      Эта программа… в основе своей внезапно — браузер!
                                      • 0
                                        Если судить по внешнему виду, браузер там только для рисования заранее подготовленного форматированного текста, а не для выполнения всей подряд бизнес-логики, как это делают в модных нынче SPA. А для подобного подойдут даже движки IE5 или NetSurf)
                                    • 0
                                      Собственно половина GPlay забита программами для просмотра только одного веб-сайта, с возможностью поиска по этому сайту и комментированию его (а в некоторых и того нет).
                              • 0
                                «я делаю что то тайное, проследи за мной»

                                а использование тора и впс не говорит?

                                тогда уж лучше брать б\у ноут и идти искать не закрытые точки. плюсом накупить вайфай свистков.
                                • +2
                                  Единственный вариант анонимности — не сидеть в интернете и не передавать через него никакую информацию. Всё остальное от лукавого. Странно читать о какой-либо защите, гарантирующей анонимность.
                                • +1
                                  Разве там есть хоть один тест на куки/историю?
                                  • +1
                                    Да даже долбаный etag в инкогнито такой же как в обычном. Так что инкогнито только для пользователя, чтобы он у себя на компе не оставлял следов. А на серверах всегда оставит.
                                    • 0
                                      Именно так. Инкогнито даже так позиционируется — не анонимность, а отсутствие следов в истории.

                                      Как и несколько браузеров.
                                      У меня один тяжелый, повседневный, заточенный на серфинг, а один — легкий, для быстрого запуска и поиска, при работе в тяжелых программах, где дороги ресурсы и время.
                                      • 0
                                        У меня для этого дела 2 профиля в хроме есть. Один для разработки (всякие дополнения удобные), а другой для серфинга (тут и темы все тёмные и переключатели удобные для я.музыки). В общем, профилирование — вообще хорошая штука. Удобная.
                                    • +1
                                      Этот режим никакого отношения к анонимности не имеет. Всё, что он делает — это создаёт при запуске временный пустой набор куки, кеш (а также localStorage, флешевых Shared Objects и прочих альтернатив кукам) и не ведёт историю. И всё, больше он ничего не делает, даже IP-адрес не меняет. По сути, это быстрая альтернатива созданию пустого профиля в браузере, который при закрытии всех окон инкогнито удаляется из памяти.
                                      • 0
                                        флешевых Shared Objects

                                        Вот в этом не уверен, так как флеш во многих браузерах- отдельная сущность. Впрочем, ничего утверждать не буду, так как забыл, как он вообще выглядит.
                                        • 0
                                          так как забыл, как он вообще выглядит.

                                          Ну и слава богу)


                                          Хром вообще бодался вроде с флешем за безопасность. Да и сам флеш не дурак, ну не такой, во всяком случае, чтобы не уметь определять, инкогнито или не инкогнито.

                                    • +3
                                      Практика смены браузера, чтобы сменить личность в интернете, является популярным советом от экспертов и специалистов по безопасности.
                                      Одни домохозяйки, посоветовали другим домохозяйкам, что бы те пользовались отдельным браузером. Внезапно, этот совет оказался не самым лучшим, потому что настоящие специалисты — всегда советовали, для полного инкогнито, создавать виртуалку со стандартными параметрами, или пользоваться для этого VPS. Но кто же слушает специалистов?
                                      • 0
                                        Ну ок, следующим добавят поведенческий и психологический анализ. Будете развивать управляемую шизофрению?
                                        • 0
                                          Гуглтранслейт туда обратно и пусть психиатры ставят диагноз искину. Это даже не учитывая того, что такой анализ только в теории.
                                          • +9
                                            Так это… гугл же первым следить и будет…
                                            image
                                            • 0
                                              //пожимает плечами
                                              Оффлайн-транслятор, если очень хочется в открытый инет. Те, кто и правда нуждаются в анонимности, вообще не выходят за пределы ТОР.
                                          • +1
                                            если вам кажется что за вами следят, и врач поставил диагноз «Паранойя» и «мания преследования»,
                                            то это вовсе не означает что за вами не следят :)
                                            • –2
                                              Первый, не банальный комментарий!
                                              • +7
                                                Первый неграмотный комментарий… А, нет, не первый.
                                                • 0
                                                  Можно предположить, что это было обращение по позывному и требование. В этом случае не только нормы языка соблюдены, но и смысл кардинально меняется.
                                                  • 0
                                                    А ваш комментарий — акт шизофрении. :)
                                                • 0
                                                  Хемингуэй.
                                              • 0
                                                Виртуалка или будет выбиваться своей низкой производительностью (без аппаратного ускорения), или будет успешно проходить сабж так же как и без виртуалки (с ускорением), а у VPS как минимум айпишник странный, да и WebGL возможно вообще не будет, что тоже слишком необычно, так что, подозреваю, всё это не поможет)

                                                UPD: ох, очень долго комментарий модерировали, я за это время уже понял что глупость написал) Впрочем, если цель — не перестать быть уникальным, а не допустить связи с основной машиной, то может и пойдёт. Однако любой случайной связи (по стилю сообщений, например) всё равно может деанонимизировать всё и сразу
                                              • 0
                                                Связано это прежде всего с canvas fingerprinting, которой получается уникальным для каждого компьютера. Для FF есть дополнение CanvasBlocker, выдающее вместо реального отпечатка рандомное значение. Эффективность можно проверить на Panopticlick.
                                                • +6
                                                  Я так понимаю, все эти тонкие измерения возможны только при включенном джава-скрипте на стороне клиента. А это первое, что выключают параноики.
                                                  • +4
                                                    Сейчас многие сайты без джаваскрипта не работают вообще.
                                                    • 0
                                                      Сейчас многие сайты без джаваскрипта не работают вообще.

                                                      И это, именно те сайты, на которые, в первую очередь, забивают параноики. ;)
                                                      • 0
                                                        И правильно делают.
                                                        Информацию можно отдавать и без скриптов, статически.
                                                        И именно так ее и нужно отдавать — это просто, это удобно, это совместимо с большинством устройств (в т.ч. полностью автоматических, рассчитанных на длительную автономную работу).

                                                        Скрипты нужны для экономии трафика, для украшения, для рекламы, и для игрушек — ничего этого серьезным людям не нужно. А трафик можно экономить, просто обрезая всю графику, подгружая ее клиентом по запросу — это будет намного эффективнее скриптов.

                                                        Правда тогда веб превращается просто в странички текста.
                                                        Но именно это и нужно серьезным людям: текст — это информация в чистом виде.
                                                        Текст просто форматируется (сейчас вообще автоматически), выглядит прилично, хорошо жмется, мало весит на диске — идеальный формат для оффлайн хранения подборок, коллекций, статей, и т.п.

                                                        Плохо, что большинство сайтов тупо разучились отдавать статику.
                                                        А ведь в большинстве ситуаций могли бы и отдавать: большинство сайтов отдают информацию именно в виде текста, графика не более чем необязательное украшение, игры редкость, отдавать статику, если клиент отказывается от динамики, ничто не мешает.
                                                        • 0
                                                          Всё очень просто. Сервера просто не справятся со статикой… это же на каждое действие пользователя необходимо будет перезагружать страничку. Вы пробовали измерить трафик в старом режиме, статичном? Так за 2-3 перегрузки страницы окупает один раз за сеанс скачаный мегабайт скриптов. Скрипты на клиенте — это так же снижение нагрузки на сервер! Даже если не изменяющиеся элементы в виде картинок и другой статики кешируются, то DOM страницы каждое действие пользователя необходимо будет передавать по сети, это забъёт все каналы к серверам при незначительной нагрузке на процессор сервера. Оно конечно хорошо для пользователя, но плохо для владельца сайта/сервера.
                                                          • 0
                                                            Сервера просто не справятся со статикой… это же на каждое действие пользователя необходимо будет перезагружать страничку
                                                            Никто не заставляет всем отдавать статику — у большинства скрипты все же включены, а у меньшинства получается просто нет доступа. Либо со скриптами, либо никак.
                                                            Ситуация тут та же, что и везде на рынке: жертвуют интересами меньшей части пользователей, ради погони за большей.
                                                    • –1
                                                      К сожалению, очень многие сайты не работают или сильно ограничивают функционал, без java скриптов.
                                                      • 0

                                                        Как правила параноики не играют в игры и не сидят в соц сетях. Они предпочитают "живое забвение" всяким там сетевым увлечениям. Но есть такие сайты, которые согласны откатится на IT-век назад и заплатить, чтобы даже параноикам на них было удобно.

                                                      • 0
                                                        На https://browserleaks.com/ можно провериться на раскрытие различных данных браузером. Если кто знает получше альтернативы — подкиньте.
                                                        • +2
                                                          • 0
                                                            Panopticlick это в основном просто обертка над Fingerprintjs2,

                                                            Browserleaks же показывает более подробно по пунктам, например:
                                                            https://browserleaks.com/canvas
                                                            https://browserleaks.com/webgl
                                                            https://browserleaks.com/fonts
                                                            • 0
                                                              да, славная вещица. Проверился: один из 188,569. В первую очередь палево по плагинам браузера (собственно 188,569), хотя, казалось бы ничего особенного не ставил; всего лишь вдвое (и почему-то РОВНО вдвое) менее уникальны системные шрифты (один к 94284.5). Hash of canvas fingerprint на третьем месте, но это жалкие один к 739.49
                                                                • 0
                                                                  Подскажите, как читать результаты? Чем больше бит, тем хуже, т.е. тем уникальней браузер? Если так, то у меня больше всего как раз от canvas и WebGL fingerprints (в сумме 15 бит).
                                                                  Любопытно еще то, что у разных браузеров одно и тоже общее количество бит.
                                                              • +1

                                                                Главное проблема/ограничение фингерпринта- он не работает на однотипных устройствах — например на iphone/ipad. Хотя все указанные в статье варианты мы не тестили.

                                                                • 0
                                                                  У меня вопрос к экспертам: чем мой стандартнный Sony Vaio 91711 со стоковой Ubuntu 16.10 и Google Chrome отличается от другого такого же, стоящего в подвале? Исключая, конечно, MAC сетевых карт.
                                                                  • 0
                                                                    Если 2 ноута чисто распечатаны из коробки, на них установлена чистая убунту и хром, без единого плагина из репа — 2 машины будут идентичны и однозначно определить что на 2 сайта зашел один и тот же юзер невозможно. Но большинство юзеров ставит плагины (тот же адблок), шрифты и тд и тп (за что и цепляются спецы из статьи).
                                                                    • 0
                                                                      adblock — это расширение, а не плагин. Насколько я знаю, невозможно узнать список расширений из js запущенного на странице.
                                                                      • +1
                                                                        Многие сайты умеют определять, есть ли у вас блокировщик, вы и сами это наверняка видели. Нужно только проанализировать разницу списков разных блокировщиков, чтобы уметь более-менее точно идентифицировать конкретное расширение.
                                                                        • 0
                                                                          Есть способ проверки конкретных extensions, того же адблока. Раньше было совсем просто — сейчас легко нашел решение на stackoverflow, комменты от октября 16, и легко проверить.
                                                                          • 0
                                                                            А можно линк? а то что-то не находится нифига.
                                                                    • +1
                                                                      В энтерпрайсе распространено использование однотипных машин с однотипными образами. Там все данные будет одинаковыми. Правда энтерпрайс и в интернет почти не ходит.
                                                                    • 0
                                                                      А каким образом используется камера? Замеряется время трансформаци тяжелого объекта? Вроде как оно в чистом виде не присутствует. Только как общая часть процесса.
                                                                      • 0
                                                                        техники CBF позволяют точно идентифицировать около 99,24% всех компьютеров.
                                                                        Что это значит? Просто определить модель компьютера? А толку от этого?
                                                                        • 0
                                                                          Это значит что зайдя на 2 разных сайта пользователь будет узнан как один. Даже в режиме инкогнито. В идеале даже из 2 разных браузеров. Применение — самое очевидное -при показе рекламы, когда это завязывается с профайлингом. Более простое — можно от мультирегистраций на сайте защищаться, можно мошенников, которые карты вбивают ворованные ловить)
                                                                          • +1
                                                                            Подавляющее большинство метрик из статьи это характеристики GPU. Ну хорошо, пусть кто-то знает, какая у меня видюха. Моя видюха (да хоть всё железо) + мой набор плагинов сафари (адблок) + мои шрифты (стандартные, естесственно) позволяют кому-то отличить мой макбук от чьего-то еще? О каких 99.24% идет речь?
                                                                            • 0
                                                                              Да позволяет. Мы делали фингерпринт — ставили на сайт, затем просто обрезали «типовые конфигурации», по которым набегало сильно больше чем 1 пользователь. Остальных уже мониторили — ловили дублирующие аккаунты. Человек всегда на чем-то, но «прокалывался».

                                                                              Хотя цифра 99.24 % крайне сомнительна — интересно было б погонять полноценное решение)
                                                                              • 0
                                                                                Хотя цифра 99.24 % крайне сомнительна
                                                                                О чём мы тогда рассуждаем? Я именно про эту цифру спрашивал. Я верю, что с некоторой вероятностью можно поймать кого-то. Но в статье утверждается, что можно всегда (99% это можно считать всегда).
                                                                                • 0
                                                                                  являюсь по совместительству ISA2006 админом — всё, что прошло ч/з мну учтено в логах… но таки да ловят именно 99,9 тем более по наводке(типа надо его вальнуть)
                                                                          • 0
                                                                            Толк в том что если вы не использовали все хитрости указанные выше в коментах, то ваша модель компьютера с большой вероятностью уже сопоставлена с вашим номером паспортом. Я говорю про страны где это имплементировано.
                                                                            • 0
                                                                              Моя комбинация видеокарта+процессор встречается всюду. Как происходит шаг к номеру паспорта, вот что я не пойму. Давайте выкинем из статьи все альфа/каналы и скорости рендеринга, заменив на предполагаемое точное знание начинки компьютера. Останутся плагины/шрифты/разрешение экрана. Эта четверка с точностью 99%+ определяет пользователя? Чушь же.
                                                                              • 0

                                                                                Могу предположить, что скорость рендеринга и прочие параметры уникальны для конкретного экземпляра камня/видеокарты. Но там речь идет о величинах чуть ли не в пикосекунды, как они их фиксируют по сети, учитывая нестабильный пинг, для меня загадка.

                                                                                • 0

                                                                                  Так ищут не конкретный камень/карту, а их комбинацию плюс некоторые настройки браузера. Охотно верю, что при таком раскладе можно выделить один компьютер из сотни. Извращенцы с виртуалками и чистыми ноутами тоже бывают, но их слишком мало, чтобы повлиять на статистику.

                                                                                  • 0
                                                                                    Это всё фиксируется на клиенте джаваскриптом.
                                                                                    • 0
                                                                                      Всякие пикосекунды хорошо считаются статистическими методами.
                                                                                    • 0

                                                                                      Установил я Whonix (2 виртуальные машины и TOR внутри), из под него зарегистрировался на 4pda — и модераторы опознали мультиаккаунт. Причем правильно опознали. Так что это работает.

                                                                                      • 0
                                                                                        А вы не думаете, что на 4pda просто напросто всех пользователей TOR банят, превентивно так сказать?
                                                                                        • 0

                                                                                          Вряд ли. Название основного аккаунта они угадали. А из той виртуалки я его не использовал.

                                                                                          • 0

                                                                                            Был я модератором. Есть такая практика, по речи узнавать. По всяким там привычкам. Даже если человек осознаёт, что по этим привычкам он может быть узнан и специально их подавляет, то он начинает создавать новую сущность, которую к следующей сессии может забыть. Короче говоря, всякие там клоны можно узнать либо по тому, что они сильно похожи на других людей. Либо они ооочень сильно не похожи ни на кого, да и вообще на людей (либо слишком хорошая память, либо слишком плохая).
                                                                                            Короче, пока что автоматических систем для определения клонов не придумали. Точнее придумали, но они не сравняться с реальными людьми, которые начинают "думать как приступник".

                                                                                            • 0

                                                                                              На втором же сообщении. Коротком. Вряд ли этого достаточно, чтобы 100% сопоставить новый аккаунт старому, замолчавшему месяц назад. (Забыл пароль, регистрировал на временную почту, которую тоже не помню).
                                                                                              Проще предположить, что, действительно, какие-то характеристики железа доступны из виртуалки и по ним возможен трекинг.

                                                                                              • 0

                                                                                                Тут уж содержание сообщений. Смотря как выпендриться.)

                                                                                                • 0

                                                                                                  Чтобы следили на форуме с сотнями активных участников персонально за тобой — это надо очень активно выпендриваться ;)

                                                                                                  • 0

                                                                                                    Поэтому я был модератором, а не являюсь таковым в сей момент )

                                                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                                                  • +1
                                                                                    Правда, и у него есть небольшой грешок: он тоже оставляет пару параметров открытыми, в том числе ширину экрана

                                                                                    Последние версии запускаются в окне стандартного размера и ругаются, когда его размер изменяют. Так что статья в этой части устарела.
                                                                                    • 0
                                                                                      Сложность не в получении супер-уникального хеша, а в стабильности факторов. Если детектор ошибётся хотя бы в одной фиче, получится другой хеш и пользователь не будет распознан.

                                                                                      Согласно таблице в статье, фактор со 100% стабильностью — TimeZone. Скорее всего, он включен в хеш. Просто на втором браузере настраиваем рандомизацию при старте и всё)))

                                                                                      Другой весьма стабильный фактор — это Platform. Если я на одном Firefox настрою User-Agent Windows, а на другом — Linux, это гарантировано даст два разных пользователя.

                                                                                      Кроме того, математически некорректно считать параметры GPU независимыми и суммировать их энтропию.
                                                                                      Разные тесты, например Texture и Light, скорее всего либо одновременно дадут одинаковый результат у разных пользователей, либо одновременно разный. Поэтому, вместо внушительного списка в 100500 тестов GPU достаточного одного, наиболее показательного. Но ведь так не получится сделать внушительный список)))
                                                                                      • +1

                                                                                        Принцип ооочень не нов и например используется в компьютерных онлайн-играх для определения игроков, ведущих несколько аккаунтов. Ради интереса и еще пары вещей как-то был администратором игровых серверов, там, по крайней мере, на тот момент таких хитростей в плане обработки 3d и прочего не было, но тоже кое-что сравнить можно было. В итоге, когда многие параметры совпадали, а какие-то например были наоборот строго противоположны, точность тоже была неплохой, на мой взгляд.

                                                                                        • 0
                                                                                          Старая статья Анонимности нет, смиритесь! в своё время заставила неслабо напрячься и поискать способы анонимизации. Но теперь прихожу к выводу что название статьи было правильным: к сожалению, не нашёл способа продуктивно работать в сети поддерживая должный уровень анонимности. Слишком много неудобств это создаёт и слишком много усилий требует. Готового бесплатного решения нет. В итоге действительно смирился: искать приходится через Гугл, залогинившись в свой профиль, рабочую переписку вести через gmail, дать доступ к контактам различным программам. В облако пока фотографии и личные документы не выгружаю, но похоже и с этим придется смирится, уж слишком это удобно.
                                                                                          • 0
                                                                                            Я тоже раньше «упарывался по анонимизации», но, в итоге, пришёл к следующим выводам:

                                                                                            — доводить свой «повседневный» браузер до полной анонимности — не вариант. Во-первых, его придётся обвешать массой дополнений, тюнинговать тонкие настройки… всё это, во-первых, превращает повседневный сёрфинг в лютый тормознутый и неудобный геморрой, а во-вторых, при обновлении до следующей версии браузера какие-то «тонкие настройки» переименуют, что-то добавят, так что это постоянная трата времени на борьбу с ветряными мельницами. И всё ради того, чтобы сайты не составляли мой рекламный профиль? Да ну, проще рекламу зарезать.

                                                                                            — если же анонимность нужна для дел, за которые может неиллюзорно прилететь реальный срок и реальные проблемы — эти дела нужно делать со специально заточенных под такое решений, например, того же Tor Browser, где даже при попытке изменить размер окна браузера вылезает совет этого не делать. И, конечно, создать «вторую личность», которая ничем не будет связана с той личностью, под которой производится ежедневный обычный сёрфинг в сети (вспоминаем тут, как вышли на Росса Ульбрихта).
                                                                                          • 0
                                                                                            Считаю, что опрос не совсем корректен. Например, я использую несколько браузеров, но это никак не связано с безопасностью. Так, для обычного серфа — vivaldi, для снятия скриншотов — FF итд итп
                                                                                            • 0

                                                                                              а что такое "вечные" куки?

                                                                                              • 0
                                                                                                Скрипты, которые устанавливают уникальный идентификатор во все, куда можно загрузить какие-либо данные, и восстанавливают этот идентификатор из всего, откуда он был удален.
                                                                                                Пожалуй, самый известный из подобных: evercookie.
                                                                                              • 0
                                                                                                Как скоро сделают технологию распознавания личности по его движению мышки, кликам в различных областях, кручение колёсика в определенных местах страницы, CPI мышки.
                                                                                                Читал статью давно на гике/хабе о том, что по мышке можно с большой точностью идентифицировать человека.
                                                                                                • –2
                                                                                                  Да уже собственно есть. У меня к примеру при регистрации банковского софта, попросили подвигать случайно мышкой и по нажимать кнопки.
                                                                                                  • +3
                                                                                                    Это другое, для набора энтропии скорее всего.
                                                                                                    • 0
                                                                                                      То есть замаскировать передачу паролей под шумом? Извините не специалист.
                                                                                                      • 0
                                                                                                        Не совсем. Все передачи не маскируются, а шифруются. Энтропия нужна для надёжного шифрования и генерации ключей.
                                                                                                  • 0
                                                                                                    По скролу разве что. Раньше тестил — onmousemove не давал нужной точности при движении мышкой. А по наличию ускорения/торможения только ботов определять.
                                                                                                  • 0
                                                                                                    А как быть, например, с пользователями маков?
                                                                                                    У них по идее у всех одинаковое железо в рамках одной модели, то есть по сути такой фингерпринтинг как описано в статье будет показывать одинаковые значения сразу для большого числа пользователей?
                                                                                                    • –1

                                                                                                      Софт у людей разный. Кто-то любит обоину покрасивее, кто-то любит экран потемнее. Это всё сказывается на миллисекундах работы всего компа.

                                                                                                      • 0
                                                                                                        Каким образом «красивость» обоев и уж тем более подсветка экрана может на производительности сказываться?

                                                                                                        Даже если допустить что текущие запущенные программы могут как-то сказаться на этих тестах, они же не постоянно работают. Вот закрыл я какую-то программу — получается у меня «отпечаток» поменялся?
                                                                                                        • 0

                                                                                                          Получается что поменялся) Вообще у меня есть вопрос, как сделать реальный фингерпринт компа не через браузер. Ибо браузер сильно урезан. А вот в обычной программе можно получить и mac адрес, и всякие там id железяк. Вот это будет реально хороший, "железный" отпечаток.

                                                                                                    • 0
                                                                                                      Вся эта борода должна исполняться на клиенте, полагаю что, тот кто сильно хочет быть аноном не допустит этого. В плане трекинга пользователей для показа рекламы да, годное средство, но как средство слежения, увы штука бесполезная.
                                                                                                      • 0
                                                                                                        99.24%? Internet Explorer с вами не согласен
                                                                                                        • +1
                                                                                                          В немецком журнале Ct, есть рубрика про процессоры и. т.д.
                                                                                                          Так вот в последнем выпуске пишут, что например в intel процессорах последних поколений
                                                                                                          разница в скорости вычислений до +-5%. На идентичных моделях.
                                                                                                          Т.е. есть как-бы «ленивые» и «трудолюбивые» камни.
                                                                                                          Выяснилось это на больших вычислительных кластерах укомплектованных идентичными серверами.
                                                                                                          Вроде как одной из причин называют speedstep/turboboost с его большим количеством шагов и индивидуальностью систем охлаждения.

                                                                                                          А если сюда добавить GPU и RAM то вполне может быть разница даже в 2 одинаковых устройствах только что из коробки.
                                                                                                          • +1
                                                                                                            Вопрос снова в стабильности. speedstep/turboboost подстраивают частоту процессора под нагрузку и температуру. Открыл в соседней вкладке видео, и показатели поплыли. Открыл в комнате окно или включил кондиционер — аналогично.
                                                                                                            • 0
                                                                                                              А на новых камнях АMD это ещё сложнее будет сделать. Там обещают порядка 100 датчиков, встроенных в процессор, которые будут в реальном времени «тюнинговать» его работу, выжимая из процессора все соки.
                                                                                                          • +1
                                                                                                            Она подразумевает создание уникального «отпечатка» пользовательского компьютера с учётом всех открытых параметров

                                                                                                            А поддельные «отпечатки» скармливать — никак?
                                                                                                            • 0
                                                                                                              Отреверсить те тесты которые собирают отпечаток и послать ответ на сервер. Но их могут обфусцировать и модифицировать довольно часто.
                                                                                                              Или сэмулировать нужную реакцию ОС и железа. Правда для этого нужно сперва раздобыть образец, который вы собрались подделывать, а затем вооружиться заведомо более мощным и функциональным «железом».

                                                                                                              Но если не нужно подделывать чьи-то конкретные отпечатки, то проще «затеряться в толпе» используя тор браузер и whonix, какой-нибудь.
                                                                                                            • +1
                                                                                                              что-то не понял, только у меня одного одни и те же вычислительные задачи, равно как и задачи рендеринга, запущенные много раз, каждый раз дают разное время с небольшим разбросом? или есть какой-то эксклюзивный режим, полностью останавливающий все и вся ради идентификационного рендера? да даже и так получить одни и те же миллисекуды нереально. странно все это
                                                                                                              • 0
                                                                                                                Это все(шрифты/канвасы/разрешение/количество ядер и тд) давно уже эмулируется Random Agent Spoofer. В связке с Ublock(Desconnect) +PrivacySettings убирает почти все следы идентификации из браузера, остальные стучалки руками надо выключать.
                                                                                                                • 0
                                                                                                                  Это всё конечно интересно, но если ты на сервере единственный юзер, у которого это всё отключено, то ты заметен как белая ворона. И даже если вас таких несколько, по оставшимся параметрам вы всё равно рискуете спалится.
                                                                                                                  ЗЫ: Random Agent Spoofer — по большей части не эмулирует, а отключает всё подряд.
                                                                                                                  • 0
                                                                                                                    И, в итоге, сёрфинг превращается в медленный геморрой с долгими попытками понять, какие же куки и скрипты нужно разрешить вот этому очередному сайту, а какие можно не разрешать.

                                                                                                                    Если уж вам нужно делать что-то, за что могут наступить реально неприятные последствия, то разумнее воспользоваться специализированными инструментами (Tor Browser тот же, где и доступ сайтов к canvas контролируется, и попытки пользователя изменить размер окна браузера пресекаются, и многое другое запатчено), чем пытаться изобрести велосипед, делая приватный браузер из браузера для «повседневного использования».
                                                                                                                  • 0
                                                                                                                    А есть где-то открытые коды?
                                                                                                                    технология интересная

                                                                                                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.