freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

研究人员称HTML5可以被用来追踪网民
2018-01-19 10:00:09
所属地 上海

AAEAAQAAAAAAAAjfAAAAJDNiMzEzMzcxLWNmOGEtNGY2Mi1hNDY1LTkxN2U2ZjNhNmViYw.jpg

HTML5可能是现在最流行的网页制作手段,但小心哦,由于它的新特性,追踪网民变得非常容易。

普林斯顿计算机科学助理教授Arvind Narayanan本周在加利福尼亚的Usenix's Enigma 2018大会上发表演讲,展示了如何利用HTML5的一些高级功能(如音频播放功能)来识别各种浏览器类型,从而了解用户的喜好。

例如,不同的浏览器处理声音文件的方式略有不同,别有用心者就可以判断访客的浏览器、操作系统版本。将其与其他细节(如电池电量和WebRTC)结合起来,就可以为单个用户生成指纹。

audio.jpg

不过大家知道,通常我们的浏览器在访问web网站时就会显示相关的操作系统信息。但是,如果使用了HTML5的跟踪方法,完全可以不依赖Javascript和cookie只依赖HTML5自带的特性就可以精准跟踪。

Narayanan解释说:“HTML5浏览器使用一个库来进行音频处理,但不同的软件栈结合上其他数据可以生成一个独特的指纹。同理,电池和WebRTC功能都存在这样的问题。“

Narayanan和他的团队多年来一直在监视广告追踪器的行为。 2014年,他们发现世界上访问量最大的十万个网站中有五千个使用了Canvas指纹识别技术来识别和跟踪访客,而访客全然不知。

去年的进一步研究发现,广告网络正在使用会话重播脚本追踪用户,他把这种方法起名为“类固醇分析”。 Narayanan表示,他和他的团队在8000个网站上发现了以这种方式追踪访客信息的广告追踪器,其中包括美国药房连锁店Walgreens的网站上的代码,显然他们很有可能通过这种方式将保密病历记录交给了广告商。

在事件曝光后,这种追踪技术遭到了大家的反对,广告跟踪提供商纷纷停止了服务。但是通过曝光能够起到的作用十分有限,广告追踪公司还是会追踪网络周围的人,并找出他们感兴趣的东西,以便为他们提供有针对性的广告和特别优惠。 Narayanan是Do Not Track浏览器功能的团队成员之一。

shutterstock_tinfoil_hat.jpg

唯一的办法就是浏览器开发者从一开始就采取防护措施禁止广告商追踪用户,可是浏览器厂商往往不想参与。

因为浏览器厂商往往会选择中立,让用户自己解决,但实际上对于用户来说这就类似于邮件提供商不屏蔽垃圾软件,说他们要保持中立。

好消息是,Brave浏览器已经内建了反追踪功能,Firefox、Safari和Chrome也正在努力。

不过最根本的是我们需要重新思考反追踪功能,不要让网站记录信息,并且要更普及这个概念,可以向https一样做一个专门的警告提示。

隐私对于社会至关重要,如果我们无时无刻都能被追踪,被监视也就失去了隐私。

* 参考来源:TheRegister,作者Sphinx,转载注明来自Freebuf.COM

# html5
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者