Canvas fingerprinting, czyli jak śledzi cię twoja przeglądarka
Współczesne World Wide Web nie wygląda tak, jak sobie to wymarzył Tim Berners-Lee. Nie jest to miejsce do współpracy, współdzielenia wiedzy i wspólnego rozwiązywania problemów. Współczesne WWW to teren ciągłej walki między tymi, którzy chcą sprytnie skierować do nas wiadomość marketingową i dowiedzieć się o nas jak najwięcej, a tymi, którzy unikają dzielenia się swoją prywatnością, najlepiej tak, aby zachować możliwość oglądania interesujących treści.
Co jakiś pojawiają się nowe metody dowiadywania się o użytkownikach twojej strony więcej niżby oni chcieli o tym powiedzieć. Standardem jest śledzenie adresu IP i związanego z nim regionu, jak również odczytywanie i zapisywanie ciasteczek, oraz Flash Cookies. W pewnym momencie usłyszeliśmy o evercookies - ciasteczkach tak przygotowanych, aby utrudnić ich skasowanie. Teraz najwyraźniej pojawiło się coś nowego.
Firma AddThis to specjalista od zarządzania treściami i zdobywania wejść, otwarć, klików etc.
Oczywiście coś za coś - w zamian stara się dowiedzieć maksymalnie o użytkownikach, aby odpowiednio sprzedać ich reklamodawcom. W swojej ofercie ma najróżniejsze narzędzia do angażowania użytkowników w treści - to dla publikujących; jak również narzędzia dla agencji reklamowych - m.in. publikowanie reklam w treściach społecznościowych.
Aby reklama była skuteczna musi być odpowiedni "wycelowana" - nie ma sensu prezentować reklamy drogiego samochodu emerytowi, lub reklamy męskich kosmetyków do golenia nastolatce. W tym celu ważne jest wyciągnięcie maksimum informacji dostępnych o odwiedzającym, jak również maksymalnie dużo o innych stronach które odwiedza (off-domain engagement). AddThis jest w tym specjalistą.
Ich narzędzi używa w tej chwili 14 milionów stron. Aktywnie prowadzą w jednej chwili ponad tysiąc kampanii reklamowych. I to właśnie oni wymyślili coś, przed czym blokada ciasteczek nas nie ustrzeże.
Canvas fingerprinting, bo o tej technice mowa, pozwala ustalić tożsamość konkretnej przeglądarki za pomocą jednego z elementów HTML5 o nazwie canvas. Służy on do dowolnego rysowania kształtów.
I właśnie tą cechę wykorzystuje canvas fingerprinting - po narysowaniu konkretnego kształtu, różni się on nieco na poszczególnych komputerach. Tym sposobem uzyskujemy "odcisk palca" danego komputera. Sama metoda nie jest nowa - zaprezentowano ją w 2012 roku. Jednak dopiero zastosowanie jej w komercyjnym przedsięwzięciu śledzenia użytkowników zaniepokoiło opinię publiczną.
AddThis zastosowało, jak twierdzi agencja, testowo, tą metodę u 5,5% swoich klientów. Chciałaby zastąpić nią ciasteczka. Jakie to są strony? Najróżniejsze. Wymienia się m.in. WhiteHouse.gov (stronę Białego Domu) oraz YouPorn.com (nie wiem co to za strona). AddThis twierdzi, że dane zebrane za pomocą canvas fingerprinting nie będą używane do kampanii reklamowych, tylko do wewnętrznych badań statystycznych. Jednak wierzenie obietnicom agencji reklamowej w kwestii naszej prywatności byłoby chyba nieco naiwne.
Jak możemy się ustrzec przed uruchomieniem canvas fingerprinting w naszej przeglądarce (bo często odwiedzamy WhiteHouse.gov, oczywiście)?
- Możemy użyć przeglądarki Tor Browser
- Możemy użyć rozszerzenia NoScript i wyłączyć skrypty od np. AddThis
- Możemy wypróbować, na razie eksperymentalne, rozszerzenie Chameleon, które jednak musimy sobie sami zainstalować - nie ma go jeszcze w sklepie z rozszerzeniami i aplikacjami dla Chrome (https://github.com/ghostwords/chameleon)
Źródła: SecureHomes, ProPublica / Grafika główna pochodzi z serwisu ShutterStock.
