Snímání otisků prstů na plátně je jednou z online metod snímání otisků pomocí zařízení pro sledování uživatelů , která webovým stránkám umožňuje identifikovat a sledovat návštěvníky pomocí HTML5 Canvas bez použití souborů cookie nebo jiných podobných prostředků. Této metodě se v roce 2014 dostalo značné pozornosti médií [1] [2] [3] [4] poté, co ji výzkumníci z Princetonské univerzity a KU Leuven popsali ve svém článku Web nikdy nezapomíná . [5]
Digitální otisky prstů na plátně fungují pomocí prvku HTML5 Canvas . Jak popsal Gunesh Akar a další: [5]
Varianty, které mají nainstalovanou grafickou procesorovou jednotku (GPU) nebo grafický ovladač, mohou změnit digitální otisk. Otisk prstu může být uložen a sdílen s partnery k identifikaci uživatelů při návštěvě přidružených webových stránek. Profil lze vytvořit na základě online aktivity uživatele, což inzerentům umožňuje cílit reklamy na zamýšlené demografické údaje a preference uživatele. [3] [6]
Do ledna 2022 byl tento koncept rozšířen na výkonovou specifikaci pro grafický hardware, kterou výzkumníci nazvali DrawnApart . [7]
Protože otisk prstu je primárně závislý na kombinacích možných nastavení prohlížeče, operačního systému a nainstalovaného grafického hardwaru, neidentifikuje uživatele jednoznačně. V malé studii s 294 účastníky z Amazon Mechanical Turk byla pozorována experimentální entropie 5,7 bitů. Autoři studie naznačují, že ve volných podmínkách lze pozorovat větší hodnotu nejistoty rozdělení pravděpodobnosti a při velkém množství parametrů použitých v otisku prstu. I když tento otisk sám o sobě nestačí k identifikaci jednotlivých uživatelů, lze jej zkombinovat s jinými zdroji entropie a vytvořit jedinečný identifikátor. Tvrdí se, že protože tato metoda účinně zachycuje otisk GPU, je míra nejistoty rozdělení pravděpodobnosti „ortogonální“ k entropii předchozích metod snímání otisků v prohlížeči, jako je rozlišení obrazovky a schopnost prohlížeče zpracovávat požadavky JavaScriptu. [osm]
Jednoznačnější identifikace pomocí DrawnApart zveřejněná v roce 2022. A když se použije k vylepšení jiných metod, prodlouží dobu sledování jednotlivých digitálních otisků prstů o 67 %. [7]
V květnu 2012 Keaton Mowery a Hovav Shaham, výzkumníci z Kalifornské univerzity v San Diegu , napsali „Pixel Perfect: HTML5 Fingerprint Canvas“ popisující, jak lze HTML5 Canvas použít ke generování digitálních otisků prstů online uživatelů. [3] [8]
Společnost AddThis , která se zabývá technologií sociálních záložek, začala začátkem roku 2014 experimentovat s digitálním otiskem prstů pomocí Canvas jako potenciální náhrady souborů cookie . 5 % ze 100 000 nejlepších webových stránek použilo na své back-end infrastruktuře otisky prstů Canvas. [9] Podle generálního ředitele AddThis Richarda Harrise použila společnost data z těchto testů pouze pro interní výzkum. Uživatelé se budou moci odhlásit ze shromažďování dat souborů cookie na jakémkoli počítači, aby je AddThis nemohl sledovat pomocí otisků prstů pomocí Canvas. [3]
Vývojář softwaru řekl Forbesu, že otisky prstů zařízení byly používány k zabránění neoprávněnému přístupu k systémům dlouho předtím, než byly použity ke sledování uživatelů bez jejich souhlasu. [2]
Od roku 2014 je tato metoda široce používána mnoha weby a používá ji nejméně tucet známých poskytovatelů webové reklamy a sledování uživatelů. [deset]
V roce 2022 byly možnosti snímání otisků prstů na plátně výrazně vylepšeny tím, že byly zohledněny drobné rozdíly mezi nominálně identickými bloky stejného modelu GPU. Tyto rozdíly jsou zakořeněny ve výrobním procesu, díky čemuž jsou jednotky v průběhu času determinističtější než mezi identickými kopiemi. [7]
Dokumentace nápovědy Tor říká: "Po pluginech a informacích poskytovaných pluginy jsme přesvědčeni, že HTML5 Canvas je největší hrozbou prohlížečů otisků prstů, kterým dnešní prohlížeče čelí." [11] Prohlížeč Tor upozorní uživatele na pokusy o čtení plátna a poskytuje možnost vrátit prázdná obrazová data, aby se zabránilo snímání otisků zařízení. [5] Tor Browser však v současné době nedokáže rozlišit legitimní použití prvku Canvas od snahy o snímání otisků prstů, takže jeho varování nelze brát jako důkaz záměru webu identifikovat a sledovat své návštěvníky. Doplňky prohlížeče jako Privacy Badger, [9] DoNotTrackMe, [12] nebo Adblock Plus [13] ručně přidané pomocí seznamu EasyPrivacy mohou blokovat sledovače reklamních sítí třetích stran a lze je nakonfigurovat tak, aby blokovaly otisky prstů pomocí Canvas za předpokladu, že sledovač je obsluhován serverem třetí strany (na rozdíl od implementace samotnou navštívenou webovou stránkou). Rozšíření prohlížeče Canvas Defender pro Firefox a Chrome využívá technologii k vytvoření jedinečného a trvalého šumu zařízení bez blokování hovorů JS-API a vytváří digitální otisk prstu pomocí Canvas. Řada prohlížečů proti detekci prohlížeče je založena na podobné technologii. [čtrnáct]
Projekt prohlížeče LibreWolf obsahuje technologii, která ve výchozím nastavení blokuje přístup k Canvas (HTML5), což umožňuje pouze v určitých případech povolených uživatelem.