Premièrement, je ne pense pas qu'il soit réaliste de s'attendre à ce que les utilisateurs désactivent JavaScript sur le Web moderne. Jetons donc un coup d'œil à ce que Panopticlick peut rassembler à l'aide de JavaScript uniquement, avec le score d'unicité de mon navigateur particulier:
- Agent utilisateur (1 sur 4 184)
- En-têtes HTTP_ACCEPT (1 sur 14)
- Détails du plug- in de navigateur (1 sur 1,8 million)
- Fuseau horaire (1 sur 24)
- Taille de l'écran et profondeur de la couleur (1 sur 1 700)
- Polices système (1 sur 11)
- Cookies activés? (1 sur 1.3)
- Test SuperCookie limité (1 sur 2)
La distinction pour l'unicité est clairement les plugins User Agent et Browser. Rappelez-vous que ces éléments sont utilisés ensemble pour former une empreinte de navigateur, ils sont donc plus puissants que les scores individuels. L'unicité cumulative est ici: 4,184 x 14 x 1.8 million x 24 x 1,700 x 11 x 1.3 x 2
alias un très gros chiffre . C'est ... assez unique.
Flash est désactivé pour le moment, avec "cliquez pour activer". L'activation de Flash ajoute:
- Polices système (1 sur 374k)
Flash est le deuxième élément détectable le plus unique, mais étant donné le nombre considérable de détecteurs JavaScript par défaut dans Panopticlick, je ne suis pas sûr que Flash soit nécessaire pour que ce type d’empreinte de navigateur fonctionne. Le simple fait d'activer JavaScript est suffisant.
Les empreintes digitales des navigateurs ne sont toutefois qu’une partie de l’histoire. Considérez la somme de tout ce que nous pouvons détecter d'utilisateurs anonymes, car tout peut fonctionner ensemble pour identifier des utilisateurs anonymes. Est-il difficile de rassembler et d'utiliser les données détectées?
- Détection des détails du navigateur, comme indiqué ci-dessus (facile)
- Adresse IP, qui a un niveau de fiabilité connu avec le pour et le contre (facile)
- Modèles de comportement des utilisateurs tels que l'utilisation (heure de la journée), la frappe, les mouvements de la souris ou des doigts, l'utilisation des mots (difficile, du côté serveur, du côté client)
Une seule chose qui me préoccupe avec le sniffing de navigateur seul est la facilité triviale pour les utilisateurs de changer de navigateur. Il existe au moins quatre grandes alternatives de navigateur gratuites sur la plupart des plateformes: Chrome, Opera, Firefox, Safari. Donc, pour interrompre la détection du navigateur, ou du moins l'interrompre, vous pouvez changer de navigateur fréquemment.
Il convient de mentionner les «SuperCookies» , car ils peuvent réellement fonctionner, même dans certains cas, même si vous changez de navigateur et même si JavaScript, HTML 5 Local Storage et Flash sont désactivés .
Un chercheur en protection de la vie privée a révélé le génie diabolique derrière un service d'analyse Web à but lucratif capable de suivre les utilisateurs de plus de 500 sites, même lorsque tout le stockage des cookies était désactivé et les sites visités à l'aide du mode de confidentialité du navigateur.
(Si vous êtes curieux, la version TL; DR est ce qu’ils font en exploitant les principes obscurs de l’en -tête ETag .)
Quoi qu'il en soit, pour revenir au navigateur renifleur - il existe deux choses quelque peu gênantes que les utilisateurs peuvent faire pour contourner ce problème:
- Changer constamment de navigateur.
- Toujours parcourir avec JavaScript et Flash désactivé.
Toutefois, si l'utilisateur ne sait pas que les paramètres de son navigateur sont détectés et utilisés dans le cadre de la méthode de détermination de leur empreinte digitale, je doute fortement qu'ils se donneraient forcément la peine de faire ces deux choses. C'est du travail.
Sur la base des données ci-dessus, je pense que le sniffing de navigateur peut aider à identifier l'internaute anonyme anonyme - mais il n'est efficace qu'en combinaison avec les autres éléments que nous détectons généralement chez les internautes anonymes comme IP Address.