Цифровой отпечаток с использованием Canvas работает за счет использования элемента HTML5Canvas. Как описал Гюнеш Акар и другие[5]:
Варианты, в которых установлен графический процессор (GPU), или графический драйвер, могут привести к изменению цифрового отпечатка. Цифровой отпечаток может храниться и передаваться партнёрам для идентификации пользователей при посещении аффилированных веб-сайтов. Профиль может быть создан на основе активности пользователя в Интернете, что позволяет рекламодателям нацеливать рекламу на предполагаемые демографические данные и предпочтения пользователя[3][6].
К январю 2022 года эта концепция была расширена до определения характеристик производительности графического оборудования, которое исследователи назвали DrawnApart[7].
Уникальность
Поскольку цифровой отпечаток в основном зависит от комбинаций возможных параметров браузера, операционной системы и установленного графического оборудования, он не идентифицирует пользователей однозначно. В небольшом исследовании с 294 участниками из Amazon Mechanical Turk, наблюдалась экспериментальная энтропия в 5,7 бит. Авторы исследования предполагают, что в свободных условиях можно наблюдать большее значение неопределённости распределения вероятностей и с большим количеством параметров, используемых в фингерпринте. Хотя одного этого цифрового отпечатка недостаточно для идентификации отдельных пользователей, его можно комбинировать с другими источниками энтропии для получения уникального идентификатора. Утверждается, что, поскольку этот метод эффективно снимает цифровой отпечаток графического процессора, мера неопределённости распределения вероятностей «ортогональна» энтропии предыдущих методов получения цифрового отпечатка браузера, таких как разрешение экрана и возможности браузера обрабатывать JavaScript-запросы[8].
Более уникальная идентификация с использованием DrawnApart опубликована в 2022 году. И при использовании для улучшения других методов увеличивает продолжительность отслеживания индивидуальных цифровых отпечатков на 67 %[7].
История
В мае 2012 года Китон Мауэри и Ховав Шахам, исследователи из Калифорнийского университета в Сан-Диего, написали статью «Идеальный пиксель: дактилоскопический холст в HTML5», описывающую, как Canvas HTML5 можно использовать для создания цифровых отпечатков пальцев онлайн-пользователей[3][8].
Компания AddThis, занимающаяся технологиями социальных закладок, начала экспериментировать со определением цифрового отпечатка с использованием Canvas в начале 2014 года в качестве потенциальной замены cookie-файлам. 5 % из 100 000 лучших веб-сайтов использовали определение цифрового отпечатка с использованием Canvas на своей серверной инфраструктуре.[9] По словам генерального директора AddThis Ричарда Харриса, компания использовала данные, полученные в ходе этих тестов, только для проведения внутренних исследований. Пользователи смогут установить отказ от сбора данных cookie-файлов на любом компьютере, чтобы AddThis не отслеживал их с помощью сбора цифрового отпечатка с использованием Canvas[3].
Разработчик программного обеспечения заявил в Forbes, что определение цифрового отпечатка устройств использовалось с целью предотвращения несанкционированного доступа к системам задолго до того, как оно стало использоваться для отслеживания пользователей без их согласия[2].
По состоянию на 2014 год этот метод широко распространён на многих веб-сайтах и используется по крайней мере дюжиной известных поставщиков веб-рекламы и отслеживания пользователей[10].
В 2022 году возможности определением цифрового отпечатка с использованием Canvas были значительно расширены за счёт учёта незначительных различий между номинально идентичными блоками одной и той же модели графического процессора. Эти различия коренятся в производственном процессе, что делает единицы более детерминированными с течением времени, чем между идентичными копиями[7].
Уменьшение рисков
В справочной документации Tor говорится: «После плагинов и информации, предоставляемой плагинами, мы считаем, что HTML5 Canvas является самой большой угрозой для браузеров с отпечатками пальцев, с которой сегодня сталкиваются браузеры»[11]. Браузер Tor уведомляет пользователя о попытках чтения Canvas и предоставляет возможность вернуть пустые данные изображения, чтобы предотвратить определением цифрового отпечатка устройства[5]. Однако в настоящее время Tor Browser не может отличить законное использование элемента Canvas от усилий по определению цифрового отпечатка, поэтому его предупреждение нельзя рассматривать как доказательство намерений веб-сайта идентифицировать и отслеживать своих посетителей. Надстройки браузера, такие как Privacy Badger[9], DoNotTrackMe[12] или Adblock Plus[13], дополненные вручную списком EasyPrivacy, могут блокировать сторонние трекеры рекламных сетей и могут быть настроены на блокировку определение цифрового отпечатка с использованием Canvas при условии, что трекер обслуживается сторонним сервером (как в отличие от реализации самим посещаемым веб-сайтом). Браузерное расширение Canvas Defender для Firefox и Chrome использует технологию создания уникального и постоянного шума устройств, не блокируя вызовы JS-API, подделывает цифровой отпечаток с использованием Canvas. Ряд антидетект браузеров браузеров базируются на схожей технологии[14].
Браузерный проект LibreWolf включает в себя технологию, блокирующую доступ к Canvas (HTML5) по умолчанию, разрешая его только в определённых случаях, разрешённых пользователем.
См. также
Evercookie — тип файла cookie браузера, который трудно намеренно удалить
Локальные общие объекты — обычно называемые флеш-куки, являются фрагментами данных, которые сайты, использующие Adobe Flash, могут сохранить на компьютере пользователя
Web storage — это программные методы и протоколы веб-приложения, используемые для хранения данных в веб-браузере