Gestern bei Stack Overflow wurde eine
seltsame Frage gestellt : Warum löst das Laden einer Stack Overflow-Seite Audioinhalte aus? Welche Art von Sound auf einer Textseite?
Screenshot von Entwicklertools:
Die Antwort erwies sich als interessanter als erwartet.
Der Autor selbst hat den Datenverkehr sorgfältig untersucht und festgestellt, dass die Anforderungen mit dem Skript zusammenhängen:
https://static.adsafeprotected.com/sca.17.4.95.js... und erscheinen nur, wenn auf der Seite ein bestimmtes Banner vorhanden ist, das über das Google AdSense-Werbenetzwerk geliefert wird.
Die Leser dachten zunächst, es sei ein Aprilscherz. Aber einer der Entwickler hat nicht die Zeit gespart und sorgfältig herausgefunden, was genau das obige Skript bewirkt.
Es stellte sich als sehr interessante Sache heraus. Es stellte sich heraus, dass das Banner versucht, die Audio-API als eines der
Hunderte von Daten zu verwenden, die es über den Browser sammelt, und versucht, sie mit einem Fingerabdruck zu versehen. Dies ist erforderlich, um den Browser auf verschiedenen Websites unabhängig von den Datenschutzeinstellungen eindeutig zu identifizieren. Obwohl der Browser die Übertragung von Daten speziell über die Audio-API blockiert, blockiert er den größten Teil der restlichen Daten nicht, sodass die Bannerbesitzer erfolgreich Fingerabdrücke erstellen und möglicherweise Benutzer dekanonymisieren.
Die erkannte Funktionalität wird definitiv nicht benötigt, damit das Banner funktioniert, dh es wird nicht zum Aktivieren oder Deaktivieren einiger interaktiver Funktionen verwendet. Sie werden nur gemeinsam verwendet, um einen eindeutigen „Fingerabdruck“ des Benutzers zu erstellen, der dann das Banner zusammen mit der Werbe-ID weitergibt, wenn Analysen für den Werbetreibenden aufgezeichnet werden.
Dieses Fragment definiert beispielsweise die Parameter für die Anzeigeauflösung und die Barrierefreiheit im System:
function "==typeof matchMedia&&a239.a341.a77 (" all and(min--moz - device - pixel - ratio: 0) and(min - resolution: .001 dpcm) ")},function(){return" function "==typeof matchMedia&&a239.a341.a77 (" all and(-moz - images - in -menus: 0) and(min - resolution: .001 dpcm) ")},function(){return" function "==typeof matchMedia&&a239.a341.a77 (" screen and(-ms - high - contrast: active) and(-webkit - min - device - pixel - ratio: 0), (-ms - high - contrast: none) and(-webkit - min - device - pixel - ratio: 0) ")},function(){return" function "==typeof matchMedia&&a239.a341.a77 (" screen and(-webkit - min - device - pixel - ratio: 0) ")},function(){return"
Nach bestimmten kryptografischen APIs suchen:
return "function" == typeof MSCredentials && a239.a341.a66(MSCredentials) }, function() { return "function" == typeof MSFIDOSignature && a239.a341.a66(MSFIDOSignature) }, function() { return "function" == typeof MSManipulationEvent && a239.a341.a66(MSManipulationEvent) }, function() {
Abrufen einer Liste der installierten Schriftarten:
return "object" == typeof document && a239.a341.a68("fonts", document.fonts)
Identifizieren der Audio-API-Funktionen:
return "undefined" != typeof window && "undefined" !== window.StereoPatternNode && a239.a341.a66(window.StereoPannerNode)
Definieren bestimmter APIs in mobilen Browsern:
return "function" == typeof AppBannerPromptResult && a239.a341.a66(AppBannerPromptResult)
Überprüfen Sie die DRM-Unterstützung für eine bestimmte Plattform.
}, function() { return !!a239.a341.a72() && a239.a341.a66(a239.a341.a72().webkitGenerateKeyRequest) && a239.a341.a66(a239.a341.a72().webkitCancelKeyRequest) && a239.a341.a66(a239.a341.a72().webkitSetMediaKeys) && a239.a341.a66(a239.a341.a72().webkitAddKey) }, function() {
Und Hunderte anderer Parameter, die zusammen ein einzigartiges "Porträt" des Browsers bilden. Es wird eine eindeutige ID zugewiesen, mit der die Benutzeraktivität im Internet verfolgt wird.
Es scheint, dass Fingerabdruckmethoden die Kategorie der „dunklen Praktiken“ bereits verlassen haben und von großen Werbetreibenden und Werbenetzwerken offen verwendet werden. Ein Werbeblocker schützt vor einem solchen System-Scan.
In einer solchen Situation wird das Blockieren von Anzeigen nicht nur zu einer bequemen Option, sondern zu einer
obligatorischen Voraussetzung für die normale Arbeit im Internet. Dies ist eine minimale, aber nicht ausreichende Anforderung zum Schutz vor Verfolgung.
Die Electronic Frontier Foundation warnt seit langem vor der Verwendung von Fingerabdrücken durch Werbetreibende. Das
Panopticlick- Tool arbeitet auf seiner Website, die die Aktionen eines feindlichen Trackers emuliert und bestimmt, wie eindeutig der Fingerabdruck Ihres Browsers ist.
Beispielsweise entspricht die Tabelle oben den tatsächlichen Ergebnissen des Scannens des Browsers mit der Identifizierung von 17,67 Bit identifizierender Informationen. Dies ist ein einzigartiger Druck unter allen 208.788 Benutzern, die in den letzten 45 Tagen auf der Website getestet wurden.
Dies ist ein Desktop-Browser, und Fingerabdrücke sind auf einem mobilen Gerät noch einfacher, da Skripte
Daten von den Sensoren des Telefons scannen . Solche Skripte finden sich auf vielen großen Websites im Internet. Scan-Sensoren helfen beim Blockieren von Bots und werden auch zur Verfolgung und Analyse verwendet.
Vertreter von Stack Overflow
sagten, sie seien sich des Problems bewusst. Sie mögen diese Situation nicht und überlegen, wie sie damit umgehen sollen. Tatsache ist jedoch, dass Banner mit Tracking auf absolut jeder Website zu finden sind.
