web-dev-qa-db-ja.com

サードパーティはCSSと画像だけでユーザーについて何を知ることができますか?

デフォルト設定では、 Matrix コンテンツブロッカーは、サイト固有のブロックリストで拒否されていない限り、すべてのソースからのCSSおよび画像(JPG、PNGなど)を許可します。また、ファーストパーティのCookie、スクリプト、マルチメディアも使用できます。

サードパーティは、CSSと画像だけでサイト訪問者についてどのくらい知ることができますか? :visited statusについて である最新の標準準拠ブラウザーを想定します。

明らかに、それらはHTTPヘッダー(IPアドレス、userAgentなど)を受信し、 メディアクエリ によっていくつかのブラウザー機能を決定できます。彼らはあなたが印刷することを選択したかどうか、そしておそらく ページをロードした状態に保つ時間 を知ることができます。

:hover疑似クラスは、(部分的に)マウスの動きを追跡できると思います。

他に何ができますか?複数のサイト間で一意のフィンガープリントを提供するのに十分な機能であり、効果的にスーパーCookieですか?

privacyweb-browserfingerprintthird-partycss
1
Foo Bar

この回答は網羅的なものではないため、部分的な回答と見なすことができます。

CSSのみの場合、サードパーティは実際に(特定のポイントまで)次の方法でユーザーのブラウザのフィンガープリントを作成できます。

  1. CSSクエリ 一部のブラウザーの固有のプロパティを検出することにより(接頭辞を使用。たとえば、Chrome&Safatiは、接頭辞-webkit-
  2. システムフォントの取得 /フォントインスペクション:互換性の理由から、Webブラウザーには各フォントファミリのフォールバックフォントがあります。

コレクションスクリプトは、Webページに非表示要素を生成することにより、インストールされているフォントをデバイスに照会します。非表示要素には所定の文字列が含まれ、照会されたフォントごとに、非表示要素の高さと幅が、同じ文字列を含むがフォールバックフォントでフォーマットされた要素の高さと幅と比較されます。高さと幅が異なる場合、フォントがインストールされていると見なされます。

  1. CSSメディアクエリ:メディアクエリを使用して、WindowオブジェクトやScreenオブジェクトとほぼ同じ量の情報を収集できます。

それが少し範囲外であっても、「 Canvas Fingerprinting ":

これは、HTML5のcanvas要素を利用することで機能します。ユーザーがWebサイトにアクセスすると、ブラウザーはテキストまたは3Dグラフィックの隠線を「描画」して単一のデジタルトークンにレンダリングするように指示されます。マシン上の実際の識別子の永続性。

ここ は、CSSフィンガープリント技術を実装するかなり興味深いコードです。そして here (中国語)CSSのみを使用したブラウザのフィンガープリントに関する優れた論文。

1
Soufiane Tahiri

すでにご存じのとおり、CSSだけを使用してユーザーとそのブラウザーについて学ぶ方法はたくさんあります。その結果、私はあなたの質問の主要な側面であるユーザー追跡に焦点を当てるつもりです。

スーパーCookieを作成してユーザーを追跡するために、フィンガープリントは必要ありません。これは、ユーザーを追跡するための非Cookieメソッドがすでに多数あるためです。頭に浮かぶ2つは次のとおりです。

  1. Etags( ここ および ここ を参照)
  2. HSTSヘッダー( ここ を参照)

さて、ページを完全に制御できれば、これはスラムダンクになりますが、サードパーティとしても、どちらの方法(理想的には両方)でも十分に実行できると思います。

ページを完全に制御できなければ、CSSのトリックに依存して、ブラウザーがトラッキングエンドポイントにアクセスできるようにする必要があります。簡単に説明すると、HSTSトラッキングでは通常、ページに多数のイメージタグを書き込む必要があり、各ページはわずかに異なるサブドメインからのものです。サードパーティがインクルードされているCSSファイルを制御することしかできない場合、これは不可能です。ただし、ページのコンテンツを制御せずにCSSにリソースを読み込ませるために使用できるトリックがあるため(例として here を参照)、3番目の位置は期待できません-partyは、上記のいずれかの方法の取引ブレーカーである必要があります。

つまり、ETAGSヘッダーとHSTSヘッダーはどちらも、画像またはCSSのみを使用してユーザーを追跡できる「スーパーCookie」を作成する方法を提供します。 HSTSは少し理論的ですが、ETAGSは過去にこの目的で実際に使用されていました。

JavaScriptとCookieが完全に無効になっている場合でも、サードパーティがインターネットを介してユーザーを完全に追跡できることは、それほど問題なくできると思います。

0
Conor Mancone