研究人员称 HTML5 可以被用来追踪网民
2018-01-20 00:00
260 查看
(点击上方公众号,可快速关注)英文:Sphinx 译文:freebufhttp://www.freebuf.com/news/160692.html
HTML5可能是现在最流行的网页制作手段,但小心哦,由于它的新特性,追踪网民变得非常容易。普林斯顿计算机科学助理教授Arvind Narayanan本周在加利福尼亚的Usenix’s Enigma 2018大会上发表演讲,展示了如何利用HTML5的一些高级功能(如音频播放功能)来识别各种浏览器类型,从而了解用户的喜好。例如,不同的浏览器处理声音文件的方式略有不同,别有用心者就可以判断访客的浏览器、操作系统版本。将其与其他细节(如电池电量和WebRTC)结合起来,就可以为单个用户生成指纹。
不过大家知道,通常我们的浏览器在访问web网站时就会显示相关的操作系统信息。但是,如果使用了HTML5的跟踪方法,完全可以不依赖Javascript和cookie只依赖HTML5自带的特性就可以精准跟踪。
Narayanan解释说:“HTML5浏览器使用一个库来进行音频处理,但不同的软件栈结合上其他数据可以生成一个独特的指纹。同理,电池和WebRTC功能都存在这样的问题。“Narayanan和他的团队多年来一直在监视广告追踪器的行为。 2014年,他们发现世界上访问量最大的十万个网站中有五千个使用了Canvas指纹识别技术来识别和跟踪访客,而访客全然不知。去年的进一步研究发现,广告网络正在使用会话重播脚本追踪用户,他把这种方法起名为“类固醇分析”。 Narayanan表示,他和他的团队在8000个网站上发现了以这种方式追踪访客信息的广告追踪器,其中包括美国药房连锁店Walgreens的网站上的代码,显然他们很有可能通过这种方式将保密病历记录交给了广告商。在事件曝光后,这种追踪技术遭到了大家的反对,广告跟踪提供商纷纷停止了服务。但是通过曝光能够起到的作用十分有限,广告追踪公司还是会追踪网络周围的人,并找出他们感兴趣的东西,以便为他们提供有针对性的广告和特别优惠。 Narayanan是Do Not Track浏览器功能的团队成员之一。
唯一的办法就是浏览器开发者从一开始就采取防护措施禁止广告商追踪用户,可是浏览器厂商往往不想参与。因为浏览器厂商往往会选择中立,让用户自己解决,但实际上对于用户来说这就类似于邮件提供商不屏蔽垃圾软件,说他们要保持中立。好消息是,Brave浏览器已经内建了反追踪功能,Firefox、Safari和Chrome也正在努力。不过最根本的是我们需要重新思考反追踪功能,不要让网站记录信息,并且要更普及这个概念,可以向https一样做一个专门的警告提示。隐私对于社会至关重要,如果我们无时无刻都能被追踪,被监视也就失去了隐私。
觉得本文对你有帮助?请分享给更多人关注「前端大全」,提升前端技能
HTML5可能是现在最流行的网页制作手段,但小心哦,由于它的新特性,追踪网民变得非常容易。普林斯顿计算机科学助理教授Arvind Narayanan本周在加利福尼亚的Usenix’s Enigma 2018大会上发表演讲,展示了如何利用HTML5的一些高级功能(如音频播放功能)来识别各种浏览器类型,从而了解用户的喜好。例如,不同的浏览器处理声音文件的方式略有不同,别有用心者就可以判断访客的浏览器、操作系统版本。将其与其他细节(如电池电量和WebRTC)结合起来,就可以为单个用户生成指纹。
不过大家知道,通常我们的浏览器在访问web网站时就会显示相关的操作系统信息。但是,如果使用了HTML5的跟踪方法,完全可以不依赖Javascript和cookie只依赖HTML5自带的特性就可以精准跟踪。
Narayanan解释说:“HTML5浏览器使用一个库来进行音频处理,但不同的软件栈结合上其他数据可以生成一个独特的指纹。同理,电池和WebRTC功能都存在这样的问题。“Narayanan和他的团队多年来一直在监视广告追踪器的行为。 2014年,他们发现世界上访问量最大的十万个网站中有五千个使用了Canvas指纹识别技术来识别和跟踪访客,而访客全然不知。去年的进一步研究发现,广告网络正在使用会话重播脚本追踪用户,他把这种方法起名为“类固醇分析”。 Narayanan表示,他和他的团队在8000个网站上发现了以这种方式追踪访客信息的广告追踪器,其中包括美国药房连锁店Walgreens的网站上的代码,显然他们很有可能通过这种方式将保密病历记录交给了广告商。在事件曝光后,这种追踪技术遭到了大家的反对,广告跟踪提供商纷纷停止了服务。但是通过曝光能够起到的作用十分有限,广告追踪公司还是会追踪网络周围的人,并找出他们感兴趣的东西,以便为他们提供有针对性的广告和特别优惠。 Narayanan是Do Not Track浏览器功能的团队成员之一。
唯一的办法就是浏览器开发者从一开始就采取防护措施禁止广告商追踪用户,可是浏览器厂商往往不想参与。因为浏览器厂商往往会选择中立,让用户自己解决,但实际上对于用户来说这就类似于邮件提供商不屏蔽垃圾软件,说他们要保持中立。好消息是,Brave浏览器已经内建了反追踪功能,Firefox、Safari和Chrome也正在努力。不过最根本的是我们需要重新思考反追踪功能,不要让网站记录信息,并且要更普及这个概念,可以向https一样做一个专门的警告提示。隐私对于社会至关重要,如果我们无时无刻都能被追踪,被监视也就失去了隐私。
觉得本文对你有帮助?请分享给更多人关注「前端大全」,提升前端技能
相关文章推荐
- 科研级CCD相机不仅可以拍照还可以用来研究
- 用户研究人员从福尔摩斯身上可以学到什么
- html5 利用重力感应实现摇一摇,可以用来做抽奖等等
- AI一分钟|研究人员证明“金钱真的可以买到快乐”;特斯拉中国梦面临威胁
- 关于:安全研究人员发现新木马 可以隐蔽ICMP协议传数据
- 斯坦福视觉实验室最新研究:人眼移动也可以用来探测病情!?
- 工作4-5年的.NET开发人员也需要有人带带才可以保证软件项目的质量
- IE8可以兼容HTML5的标签
- 对Qt for Android的评价(很全面,基本已经没有问题了),可以重用QT积累20年的RTL是好事,QML效率是HTML5的5倍
- 习惯把运行的class的名字作为文件名保存 如果文件中类是public修饰,那么类名必须和文件名相同 一个java文件中可以放几个public的类??? java变量:变量是用来标识一块内存的,变量必
- js中我使用hover事件当处于这个div上时显示,离开时慢慢消失,研究了很久,最后发现添加了return就可以了
- Asp.Net中的正则表达式问题可以在此提问,今后大家一起研究!贴出基本语法参考
- 原来 Razor 也可以作为模版用来生成代码,看来 T4 即将过时
- HTML5 audio标签使用 浏览器触发函数提示声音(最小化后 、当前任务非浏览器时都可以使用)
- 如何在HTML5页面中启动本地的App? 下面的方法应该可以。
- 总结一下可以研究的CAD源代码
- 研究人员发现绝大部分酷派(Coolpad)手机暗藏后门(转)
- android保存文件到sd卡,读取和清空记录功能(可以用来保存用户名和密码)
- 从qglobal.h中可以得到的信息-我们应该多研究优秀软件的源码
- 使用HTML5 -Canvas追踪用户,Chrome隐身模式阵亡