Sebuah
pertanyaan aneh diajukan kemarin di Stack Overflow: mengapa memuat halaman Stack Overflow memicu konten audio? Jenis suara apa di situs teks?
Tangkapan layar dari alat pengembang:
Jawabannya ternyata lebih menarik daripada yang bisa diharapkan.
Penulis sendiri dengan cermat memeriksa lalu lintas dan mengetahui bahwa permintaan terkait dengan skrip:
https://static.adsafeprotected.com/sca.17.4.95.js... dan hanya muncul jika ada spanduk tertentu pada halaman yang dikirimkan melalui jaringan periklanan Google AdSense.
Para pembaca pada awalnya mengira itu adalah lelucon April Mop. Tetapi salah satu pengembang tidak menyisihkan waktu dan dengan hati-hati menemukan apa yang sebenarnya dilakukan oleh script di atas.
Ternyata hal yang sangat menarik. Ternyata spanduk tersebut mencoba menggunakan Audio API sebagai salah satu dari
ratusan keping data yang dikumpulkannya tentang peramban, mencoba untuk mengambil sidik jari. Ini diperlukan untuk mengidentifikasi browser secara unik di berbagai situs, terlepas dari pengaturan privasi. Meskipun peramban memblokir transfer data secara khusus melalui Audio API, peramban tidak memblokir sebagian besar data lainnya, sehingga pemilik spanduk berhasil mengambil sidik jari dan mungkin membuat deanonimisasi pengguna.
Fungsionalitas yang ditemukan jelas tidak diperlukan agar spanduk berfungsi, artinya, spanduk tidak digunakan untuk mengaktifkan atau menonaktifkan beberapa fungsi interaktif. Mereka hanya digunakan secara kolektif untuk membuat "sidik jari" unik dari pengguna, yang kemudian melewati spanduk bersama dengan ID iklan saat merekam analitik untuk pengiklan.
Misalnya, fragmen ini menentukan resolusi layar dan parameter aksesibilitas di sistem:
function "==typeof matchMedia&&a239.a341.a77 (" all and(min--moz - device - pixel - ratio: 0) and(min - resolution: .001 dpcm) ")},function(){return" function "==typeof matchMedia&&a239.a341.a77 (" all and(-moz - images - in -menus: 0) and(min - resolution: .001 dpcm) ")},function(){return" function "==typeof matchMedia&&a239.a341.a77 (" screen and(-ms - high - contrast: active) and(-webkit - min - device - pixel - ratio: 0), (-ms - high - contrast: none) and(-webkit - min - device - pixel - ratio: 0) ")},function(){return" function "==typeof matchMedia&&a239.a341.a77 (" screen and(-webkit - min - device - pixel - ratio: 0) ")},function(){return"
Memeriksa API kriptografi tertentu:
return "function" == typeof MSCredentials && a239.a341.a66(MSCredentials) }, function() { return "function" == typeof MSFIDOSignature && a239.a341.a66(MSFIDOSignature) }, function() { return "function" == typeof MSManipulationEvent && a239.a341.a66(MSManipulationEvent) }, function() {
Mengambil daftar font yang diinstal:
return "object" == typeof document && a239.a341.a68("fonts", document.fonts)
Mengidentifikasi Fitur API Audio:
return "undefined" != typeof window && "undefined" !== window.StereoPatternNode && a239.a341.a66(window.StereoPannerNode)
Menentukan API tertentu di peramban seluler:
return "function" == typeof AppBannerPromptResult && a239.a341.a66(AppBannerPromptResult)
Verifikasi dukungan DRM untuk platform tertentu.
}, function() { return !!a239.a341.a72() && a239.a341.a66(a239.a341.a72().webkitGenerateKeyRequest) && a239.a341.a66(a239.a341.a72().webkitCancelKeyRequest) && a239.a341.a66(a239.a341.a72().webkitSetMediaKeys) && a239.a341.a66(a239.a341.a72().webkitAddKey) }, function() {
Dan ratusan parameter lainnya, yang bersama-sama membentuk "potret" browser yang unik. Itu diberikan ID unik, yang kemudian digunakan untuk melacak aktivitas pengguna di Internet.
Tampaknya metode sidik jari telah meninggalkan kategori "praktik gelap" dan secara terbuka digunakan oleh pengiklan besar dan jaringan iklan. Pemblokir iklan membantu melindungi terhadap pemindaian sistem seperti itu.
Dalam situasi seperti itu, pemblokiran iklan tidak hanya menjadi pilihan yang nyaman, tetapi
persyaratan wajib untuk pekerjaan normal di Internet. Ini adalah persyaratan minimal tetapi tidak cukup untuk perlindungan terhadap pelacakan.
Electronic Frontier Foundation telah lama memperingatkan tentang penggunaan sidik jari oleh pengiklan. Alat
Panopticlick berfungsi di situs web mereka, yang mengemulasi tindakan pelacak yang bermusuhan dan menentukan seberapa unik sidik jari peramban Anda.
Misalnya, tabel di atas sesuai dengan hasil aktual pemindaian browser dengan identifikasi 17,67 bit informasi pengidentifikasian. Ini adalah cetakan unik di antara 208.788 pengguna yang telah diuji di situs selama 45 hari terakhir.
Dan ini adalah browser desktop, dan sidik jari bahkan lebih mudah pada perangkat seluler, karena skrip
memindai data dari sensor ponsel . Skrip semacam itu ditemukan di banyak situs besar di Internet. Sensor pemindaian membantu memblokir bot, dan juga digunakan untuk pelacakan dan analisis.
Perwakilan Stack Overflow
mengatakan mereka menyadari masalah ini. Mereka tidak menyukai situasi ini dan mereka berpikir bagaimana menghadapinya. Tetapi kenyataannya adalah bahwa spanduk dengan pelacakan dapat ditemukan di situs mana pun.
