HTML5 umożliwia śledzenie użytkowników przez reklamodawców

Anonimowości w sieci już dawno nie ma. Coraz częściej korzystamy z serwisów społecznościowych, coraz częściej rejestrujemy się oraz logujemy przy użyciu mechanizmów tożsamości, zaś witryny internetowe zamieszczają coraz więcej skryptów śledzących. Twórców witryn internetowych nie bardzo interesują nasze dane znajdujące się na dyskach twardy, jednak bardzo chcieliby posiadać wiedzę dotyczącą naszej internetowej aktywności – na jakie strony wchodzimy, co czytamy oraz czy wracamy z powrotem do konkretnych treści. Największy interes w tym mają oczywiście reklamodawcy, ponieważ obecne narzędzia umożliwiają tworzenie tak zwanych reklam spersonalizowanych, czyli przystosowanych pod konkretne gusta danego użytkownika. Okazuje się, że HTML5 może stać się idealnym narzędziem do podglądania czytelników stron internetowych oraz monitorowania ich reakcji na reklamy, jak i odwiedzane strony.

Naukowcy z uniwersytetów Princeton oraz KU Leuven odkryli pewną ciekawą rzecz elemencie Canvas, który jest odpowiedzialny za rysowanie. Według badań znajduje się tam pewna „luka”, która idealnie może zostać wykorzystana przez reklamodawców. Obecnie konkretnego użytkownika da się zidentyfikować przy pomocy ciasteczek oraz identyfikatora User-Agent. Dzięki tym parametrom wiemy, że dany użytkownik był już na naszej witrynie i odwiedza ją po raz kolejny. Canvas w HTML5 jest generowany na każdym komputerze w inny sposób i przez to każda maszyna otrzymuje inny hash i przy jego pomocy będziemy mogli śledzić aktywność internetową każdego użytkownika. Mając hash Canvas do identyfikacji nie są nam potrzebne inne elementy, takie jak ciasteczka czy identyfikator User-Agent, które obecnie można zablokować bądź dowolnie nimi manipulować.

„Luka” i powiązana z nią technika nie jest nowa, ponieważ obecnie ze 100 tysięcy najpopularniejszych witryn internetowych ponad 5,5% stron już z niej korzysta. Witryna AddThis zajmująca się tworzeniem skryptów do udostępniania treści aktywnie bada wspominane zagadnienie nazwane canvas fingerprinting i otwarcie przyznaje się, że wykorzystuje je w swoich skryptach. Szef firmy zastrzegł jedynie, że wszystkie zbierane dane są odpowiednie wykorzystywane z zachowaniem etyki i są analizowane tylko we wewnętrznych strukturach firmy.

Nie wpadajmy jeszcze w panikę.

Technologii canvas fingerprinting nie należy mylić ze śledzeniem użytkownika i zbieraniem jego danych. Umożliwia ona jedynie identyfikację internauty przy pomocy indywidualnego hasha i dzięki niemu możemy stwierdzić, jak często odwiedza on naszą stronę oraz jakie przegląda reklamy. Hash nie jest powiązany z naszym imieniem i nazwiskiem. Jeżeli jesteście ciekawi jak wygląda generowanie wspomnianego ciągu znaków, polecamy zajrzeć na tę stronę.

Czy istnieje jakiś sposób na zablokowanie canvas fingerprinting?

Tak, jednak na obecną chwilę jest on niezbyt prosty. Zainstalowanie AdBlocka, wyłączenie JavaScriptu czy wysyłania nagłówka Do Not Track nic nam w tym przypadku nie da. Jedyne rozwiązanie to zainstalowanie dodatku pokroju NoScript i samodzielne pisanie skryptów. Jedyny plus jest taki, że nowa technologia praktycznie nie działa, jeżeli przeglądamy strony przy pomocy urządzeń mobilnych.

Źródło: Secure Homes