image

Geniepige webtracker volgt internetters via unieke tekening

dinsdag 22 juli 2014, 15:47 door Redactie, 14 reacties

Websites maken gebruik van een geniepige webtracker om internetgebruikers op internet te kunnen volgen, waarbij computers de opdracht krijgen om een tekening te maken die voor elk apparaat uniek is, zo hebben onderzoekers van de Princeton Universiteit en KU Leuven Universiteit ontdekt.

Canvas fingerprinting, zoals de werkwijze wordt genoemd, is op allerlei grote websites aangetroffen, van WhiteHouse.gov tot YouPorn.com. Ook tientallen Nederlandse websites zouden de trackingtechniek toepassen, waaronder Buienradar.nl, Beslist.nl en TVgids.nl. Net zoals andere trackingtools worden canvas fingerprints gebruikt om gebruikersprofielen op te stellen, gebaseerd op de websites die gebruikers bezoeken. Aan de hand van deze profielen kunnen vervolgens advertenties, nieuwsartikelen en andere content worden getoond.

Deze canvas fingerprints zijn echter lastig te blokkeren, aangezien ze niet via browserinstellingen of bijvoorbeeld een adblocker zijn tegen te houden. Bij canvas fingerprinting laat de website de browser namelijk een verborgen afbeelding tekenen. Aangezien elke computer de afbeelding iets anders tekent kunnen de afbeeldingen worden gebruikt om elke computer een uniek id toe te kennen. Via dit id kan de gebruiker worden gevolgd.

AddThis

De technologie wordt door het Amerikaanse technologiebedrijf AddThis gebruikt, dat bekend is van de gelijknamige social bookmarkdienst die op 13 miljoen websites actief is. In een interview met Mashable en ProPublica laat het bedrijf weten dat er naar een cookie-alternatief werd gezocht en canvas fingerprinting het resultaat was. Het zou echter om een test gaan en de verzamelde data zou alleen voor intern onderzoek en ontwikkeling zijn gebruikt.

Het bedrijf zegt de gegevens niet voor gerichte advertenties te zullen gebruiken als gebruikers de AddThis opt-out cookie op hun computer plaatsen. Daarnaast stelt het bedrijf dat het van plan is om de test, die op een klein deel van de 13 miljoen websites was uitgerold, binnenkort te stoppen. Internetgebruikers hebben echter ook nog andere opties, zoals het blokkeren van JavaScript, het gebruik van Tor of het gebruik van de NoScript-extensie voor Firefox. NoScript blokkeert namelijk het JavaScript van bekende fingerprinters, waaronder AddThis.

Reacties (14)
22-07-2014, 15:59 door D0rus
Dit lijkt mij vergelijkbaar met andere fingerprint technologieën, zoals hij bijhouden van info als beeld resolutie, geinstalleerde add-ons en plugins, type computer, windows versie etc. etc. Dat wordt redelijk snel uniek zodra je naar meer dan 20 variabele kijkt (is al minimaal 1 miljoen combinaties).

Daarnaast vraag ik mij af waarom deze afbeelding dan wel uniek is, en in hoeverre deze uniek blijft als je dingen aan je configuratie verandert. Dat zijn echter dingen die je binnen een browser sessie niet verandert, en daar wordt het ook redelijk eng, bijvoorbeeld als deze canvas hetzelfde resultaat geeft bij normaal browser en in de privé-modus van veel browsers.
22-07-2014, 16:53 door Anoniem
Wie is er nu weer eens het verschil tussen "internet" en "wereldwijde web" uit het oog verloren?
22-07-2014, 18:57 door Anoniem
It's a bird! ... No, it's a plane! ... It's No(t)Script ;)
22-07-2014, 19:28 door Anoniem
Als ik mij niet vergis dan kun je deze methode tot tracking uitzetten door WebGL in de browser uit te schakelen.
22-07-2014, 21:15 door Anoniem
Voor chrome bestaat er een extensie die bescherming biedt.

https://github.com/ghostwords/chameleon
22-07-2014, 21:51 door Anoniem
warning:
Chameleon is pre-alpha, developer-only software.
Please note that while Chameleon detects the use of canvas fingerprinting, Chameleon does not yet protect against it.
22-07-2014, 23:48 door Anoniem
Door Anoniem: Als ik mij niet vergis dan kun je deze methode tot tracking uitzetten door WebGL in de browser uit te schakelen.

Waar zit die dan in Firefox of Iceweasel?
23-07-2014, 01:10 door Anoniem
Door Anoniem: Voor chrome bestaat er een extensie die bescherming biedt.

https://github.com/ghostwords/chameleon
Door Anoniem: warning:
Chameleon is pre-alpha, developer-only software.
Please note that while Chameleon detects the use of canvas fingerprinting, Chameleon does not yet protect against it.
No(t)script(s) is er ook voor chrome...
23-07-2014, 10:49 door Vandy
Door Anoniem:
Door Anoniem: Als ik mij niet vergis dan kun je deze methode tot tracking uitzetten door WebGL in de browser uit te schakelen.

Waar zit die dan in Firefox of Iceweasel?
Dat zoeken via internet gaat nog eens heel groot worden in 2014:
http://techdows.com/2010/12/disable-webgl-in-firefox-4.html
23-07-2014, 13:15 door Anoniem
Een interessante vraag is of de tekening bij opnieuw tekenen door dezelfde computer anders is, dan volsta je met bijv. automatisch bij het sluiten van je browser het cache te legen, dit werkt ook bij andere trackingmethodes zoals e-tag.
23-07-2014, 15:16 door Anoniem
Buienradar

Wat een onmogelijke site is dat geworden na diverse vernieuwingen en het verder volduwen met javascripts.

Deze site geeft al een tijdje standaard onbegrijpelijke volledige browser hangs en vastlopers onder diverse alternatieve (oa fork) browsers voor diverse systemen
met daarbij uiteindelijk zelfs totale freezes van de systeem process monitor (!) aan toe bij het uiteindelijk moeten geforceerd afsluiten van gebruikte browsers.

Mede mogelijk gemaakt door nieuwe implementatie van nieuwe technieken als Tracker Canvas Fingerprint implementatie?

Betreffende canvas scripts nog niet gevonden,
o.a. RTL lust wel een javascriptje, view-source:
http://www.buienradar.nl/scripts/ask/buienradar.min.js?v=20140626
23-07-2014, 20:22 door Anoniem
@&bij 15:16

Oplossing voor hangs en crashes bij bezoek van Buienradar website

Noscript kan Webgl blokkeren, in dit geval diende het ook in Firefox gedeactiveerd te worden om het probleem op te lossen.

Type in urlbar
about:config
Na enteren geeft een Search mogelijkheid
Zoek op
webgl
Resultaat
webgl.disabled;false
Aanpassen/uitschakelen door dubbelklik op de regel geeft
webgl.disabled;true

Browser zal dan grafisch minder snel zijn, het is een oplossing en is eveneens goed voor de:
- privacy
- security
24-07-2014, 09:59 door [Account Verwijderd] - Bijgewerkt: 24-07-2014, 10:01
[Verwijderd]
24-07-2014, 19:48 door Anoniem
Vond toevallig nog deze link, met de info voor 'alle' browsers

"Client-Side: WebGL Browser Report"
http://www.browserleaks.com/webgl

Deze site is tevens een prima site om je browser security te testen
http://www.browserleaks.com/

15:16/20:22/ : .
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.