Une
étrange question a été posée hier à Stack Overflow: pourquoi le chargement d'une page Stack Overflow déclenche-t-il du contenu audio? Quel genre de son sur un site texte?
Capture d'écran des outils de développement:
La réponse s'est avérée plus intéressante que ce à quoi on pouvait s'attendre.
L'auteur lui-même a soigneusement examiné le trafic et a compris que les demandes étaient liées au script:
https://static.adsafeprotected.com/sca.17.4.95.js... et n'apparaissent que s'il y a une certaine bannière sur la page qui est diffusée via le réseau publicitaire Google AdSense.
Les lecteurs ont d'abord pensé que c'était une blague du poisson d'avril. Mais l'un des développeurs n'a pas épargné le temps et a soigneusement compris ce que fait exactement le script ci-dessus.
Il s'est avéré une chose très intéressante. Il s'est avéré que la bannière essaie d'utiliser l'API audio comme l'une des
centaines de données qu'elle recueille sur le navigateur, en essayant de l'empreinte digitale. Cela est nécessaire pour identifier de manière unique le navigateur sur divers sites, quels que soient les paramètres de confidentialité. Bien que le navigateur bloque la transmission de données spécifiquement via l'API audio, il ne bloque pas la plupart du reste des données, de sorte que les propriétaires de bannières réussissent à prendre les empreintes digitales et éventuellement à désanonymiser les utilisateurs.
La fonctionnalité découverte n'est certainement pas nécessaire pour que la bannière fonctionne, c'est-à-dire qu'elle n'est pas utilisée pour activer ou désactiver certaines fonctions interactives. Ils ne sont utilisés que collectivement pour créer une «empreinte digitale» unique de l'utilisateur, qui passe ensuite la bannière avec l'ID de la publicité lors de l'enregistrement des analyses pour l'annonceur.
Par exemple, ce fragment définit la résolution d'affichage et les paramètres d'accessibilité dans le système:
function "==typeof matchMedia&&a239.a341.a77 (" all and(min--moz - device - pixel - ratio: 0) and(min - resolution: .001 dpcm) ")},function(){return" function "==typeof matchMedia&&a239.a341.a77 (" all and(-moz - images - in -menus: 0) and(min - resolution: .001 dpcm) ")},function(){return" function "==typeof matchMedia&&a239.a341.a77 (" screen and(-ms - high - contrast: active) and(-webkit - min - device - pixel - ratio: 0), (-ms - high - contrast: none) and(-webkit - min - device - pixel - ratio: 0) ")},function(){return" function "==typeof matchMedia&&a239.a341.a77 (" screen and(-webkit - min - device - pixel - ratio: 0) ")},function(){return"
Vérification des API cryptographiques spécifiques:
return "function" == typeof MSCredentials && a239.a341.a66(MSCredentials) }, function() { return "function" == typeof MSFIDOSignature && a239.a341.a66(MSFIDOSignature) }, function() { return "function" == typeof MSManipulationEvent && a239.a341.a66(MSManipulationEvent) }, function() {
Récupération d'une liste des polices installées:
return "object" == typeof document && a239.a341.a68("fonts", document.fonts)
Identification des fonctionnalités de l'API audio:
return "undefined" != typeof window && "undefined" !== window.StereoPatternNode && a239.a341.a66(window.StereoPannerNode)
Définir des API spécifiques dans les navigateurs mobiles:
return "function" == typeof AppBannerPromptResult && a239.a341.a66(AppBannerPromptResult)
Vérifiez la prise en charge DRM pour une plate-forme spécifique.
}, function() { return !!a239.a341.a72() && a239.a341.a66(a239.a341.a72().webkitGenerateKeyRequest) && a239.a341.a66(a239.a341.a72().webkitCancelKeyRequest) && a239.a341.a66(a239.a341.a72().webkitSetMediaKeys) && a239.a341.a66(a239.a341.a72().webkitAddKey) }, function() {
Et des centaines d'autres paramètres, qui forment ensemble un "portrait" unique du navigateur. Un ID unique lui est attribué, qui est ensuite utilisé pour suivre l'activité des utilisateurs sur Internet.
Il semble que les méthodes de prise d'empreintes digitales aient déjà quitté la catégorie des «pratiques sombres» et soient ouvertement utilisées par les principaux annonceurs et réseaux publicitaires. Un bloqueur de publicités aide à protéger contre une telle analyse du système.
Dans une telle situation, le blocage des publicités devient non seulement une option pratique, mais une
exigence obligatoire pour un travail normal sur Internet. Il s'agit d'une exigence minimale mais non suffisante de protection contre le suivi.
L'Electronic Frontier Foundation a longtemps mis en garde contre l'utilisation des empreintes digitales par les annonceurs. L'outil
Panopticlick fonctionne sur leur site Web, qui émule les actions d'un tracker hostile et détermine le caractère unique de l'empreinte digitale de votre navigateur.
Par exemple, le tableau en haut correspond aux résultats réels de l'analyse du navigateur avec l'identification de 17,67 bits d'informations d'identification. Il s'agit d'une impression unique parmi les 208 788 utilisateurs qui ont été testés sur le site au cours des 45 derniers jours.
Et il s'agit d'un navigateur de bureau, et les empreintes digitales sont encore plus faciles sur un appareil mobile, car les scripts
scannent les données des capteurs du téléphone . De tels scripts se trouvent sur de nombreux grands sites sur Internet. Les capteurs de balayage aident à bloquer les bots et sont également utilisés pour le suivi et l'analyse.
Les représentants de Stack Overflow ont
déclaré être conscients du problème. Ils n'aiment pas cette situation et ils pensent comment y faire face. Mais le fait est que les bannières avec suivi peuvent être trouvées sur n'importe quel site.
