Когда-то давно шутили, что хорошие разработчики антивирусов сами пишут вирусы — чтобы не потерять практику и чтобы подстегивать продажи своего основного продукта. Кажется, история немного возвращается.
Есть такой популярный открытый фреймворк fingerprintingjs, на базе которого сделали одноименный коммерческий сервис — как можно догадаться по названию, он предоставляет разработчикам возможности отслеживать пользователей без использования кук. Когда-то давно для этого достаточно было использовать flash-куку, которая не удалялась средствами браузера, сейчас используется максимально большой набор характеристик, доступных для распознавания из js-скрипта, в сочетании с технологиями машинного обучения. И вот компания, которая занимается этим сервисом, уже не впервые разоблачает нехорошие способы отслеживать пользователей.
Нынешняя схема базируется на возможности браузеров вызывать внешние приложения, установленные в системе — Skype, Slack, видеоплееры, мессенджеры и так далее. Сейчас практически все десктопные браузеры, обрабатывая такие вызовы, возвращают разные ответы в случаях, когда в системе приложения нет и когда оно есть. В итоге достаточно скриптом запросить максимально большое количество таких приложений и из полученных ответов вместе с доступными характеристиками браузера соорудить уникальный ID. Причем сделать такое можно даже для Tor, который вроде бы как совершенно безопасен.
Надо сказать, что вообще-то эти технологии часто используются во благо — например, когда-то у меня на форуме такая «нестираемая кука» использовалась для выявления клонов аккаунтов, которые никогда на моей памяти не заводились с добрыми намерениями, а только для спама и накруток. Но не во благо это всё тоже можно использовать — так что вы предупреждены.
https://fingerprintjs.com/blog/external-protocol-flooding/
Есть такой популярный открытый фреймворк fingerprintingjs, на базе которого сделали одноименный коммерческий сервис — как можно догадаться по названию, он предоставляет разработчикам возможности отслеживать пользователей без использования кук. Когда-то давно для этого достаточно было использовать flash-куку, которая не удалялась средствами браузера, сейчас используется максимально большой набор характеристик, доступных для распознавания из js-скрипта, в сочетании с технологиями машинного обучения. И вот компания, которая занимается этим сервисом, уже не впервые разоблачает нехорошие способы отслеживать пользователей.
Нынешняя схема базируется на возможности браузеров вызывать внешние приложения, установленные в системе — Skype, Slack, видеоплееры, мессенджеры и так далее. Сейчас практически все десктопные браузеры, обрабатывая такие вызовы, возвращают разные ответы в случаях, когда в системе приложения нет и когда оно есть. В итоге достаточно скриптом запросить максимально большое количество таких приложений и из полученных ответов вместе с доступными характеристиками браузера соорудить уникальный ID. Причем сделать такое можно даже для Tor, который вроде бы как совершенно безопасен.
Надо сказать, что вообще-то эти технологии часто используются во благо — например, когда-то у меня на форуме такая «нестираемая кука» использовалась для выявления клонов аккаунтов, которые никогда на моей памяти не заводились с добрыми намерениями, а только для спама и накруток. Но не во благо это всё тоже можно использовать — так что вы предупреждены.
https://fingerprintjs.com/blog/external-protocol-flooding/
Fingerprint
Cross-browser tracking vulnerability in Tor, Safari, Chrome and Firefox - Fingerprint
The Fingerprint team has uncovered a scheme flooding vulnerability. We explain how the exploit works across four major desktop browsers and show why it's a threat to anonymous browsing.