HARD CORE SECURITY LAB

Badacze działający w ramach Electronic Frontier Foundation, opublikowali wyniki badań prowadzonych w ramach projektu Panopticlick. Przypomnijmy, że prace te dotyczyły nowatorskiej metody identyfikacji internautów, a wyniki przeprowadzonego eksperymentu nie pozostawiają żadnych złudzeń. Metoda, którą można określić mianem browser fingerprinting, pozwala na bezbłędne identyfikowanie i śledzenie większości internautów...

Opracowana metoda pozwala na identyfikację internautów na podstawie unikatowej kombinacji informacji udostępnianych odwiedzanej witrynie internetowej. Na podstawie tych informacji (dane dotyczące wersji przeglądarki internetowej, systemu operacyjnego, wtyczek zainstalowanych w systemie, itd.) utworzony zostaje następnie unikatowy odcisk palca pozwalający na ponowną identyfikację systemu użytkownika. Poniżej można się zapoznać z przykładowym wynikiem identyfikacji. Tak wyglądał wynik testu mojej przeglądarki, który został przeprowadzony we wczesnej fazie eksperymentu:
Wczoraj opublikowany został raport podsumowujący wyniki badań obejmujących swym zasięgiem niemal milion internautów. Okazało się, że zebrane cyfrowe sygnatury, były unikalne w przypadku aż 84% użytkowników, którzy wzięli udział w teście. W przypadku internautów korzystających z technologii Java lub Flash, unikalne okazało się już jednak aż 94% konfiguracji. Badacze podkreślają, że wzięli pod uwagę stosunkowo niewiele informacji przekazywanych przez przeglądarkę internauty w trakcie odwiedzania witryny internetowej, z pewnością możliwe jest więc utworzenie o wiele skuteczniejszych, podobnych metod identyfikacyjnych. Co więcej, istnieją już ponoć komercyjne rozwiązania w tym zakresie:

In fact, several companies are already selling products that claim to use browser fingerprinting to help websites identify users and their online activities

Spośród przypadków najbardziej odpornych na identyfikację, wyróżniały się natomiast przeglądarki z wyłączoną obsługą technologii JavaScript, korzystające z dodatku Torbutton, systemy mobilne (takie jak np. smartfony) oraz komputery korporacyjne będące dokładnymi klonami setek lub nawet tysięcy identycznie skonfigurowanych maszyn.

Warto podkreślić, że opracowana metoda w żaden sposób nie wykorzystuje cookies, które stanowią obecnie jedną z podstawowych metod automatycznego rozpoznawania konkretnych użytkowników usług online. Skuteczność nowej metody można sprawdzić tworząc własny anonimowy profil w usłudze dostępnej pod następującym adresem. Szczegółowe informacje na temat samej metody dostępne są pod tym adresem, tutaj natomiast można się zapoznać z proponowanymi metodami ochrony przed skuteczną identyfikacją.

[źródło]