Primeiro, não acho realista esperar que os usuários tenham o JavaScript desativado na web moderna. Então, vamos dar uma olhada no que o Panopticlick pode coletar somente através do JavaScript, juntamente com a pontuação de exclusividade do meu navegador em particular:
- Agente do usuário (1 em 4.184)
- Cabeçalhos HTTP_ACCEPT (1 em 14)
- Detalhes do plug-in do navegador (1 em 1,8 milhão)
- Fuso horário (1 em 24)
- Tamanho da tela e profundidade de cor (1 em 1.700)
- Fontes do sistema (1 em 11)
- Cookies ativados? (1 em 1,3)
- Teste limitado de SuperCookie (1 em 2)
Os destaques da exclusividade são claramente os plugins de agente e navegador do usuário. Lembre-se de que esses itens são usados juntos para formar uma impressão digital do navegador, portanto, são mais do que tão fortes quanto as pontuações individuais. A singularidade cumulativa aqui é: 4,184 x 14 x 1.8 million x 24 x 1,700 x 11 x 1.3 x 2
também conhecida como NÚMERO REALMENTE GRANDE . Isso é ... único.
Eu tenho o Flash desativado no momento, com "clique para ativar". A ativação do Flash adiciona:
- Fontes do sistema (1 em 374k)
O Flash fornece o segundo elemento detectável mais exclusivo, mas, dado o enorme número que até a detecção de JavaScript padrão no Panopticlick produz, não tenho certeza se o Flash é necessário para que esse tipo de impressão digital do navegador funcione. Apenas o JavaScript ativado é suficiente.
A impressão digital do navegador é apenas uma parte da história. Considere a soma do que tudo o que podemos detectar de usuários anônimos, porque tudo pode funcionar em conjunto para imprimir usuários anônimos. Quão difícil é reunir e usar os dados detectados?
- Detecção de detalhes do navegador, como mostrado acima (fácil)
- Endereço IP, que possui um nível conhecido de confiabilidade com prós e contras (fácil)
- Padrões de comportamento do usuário, como uso (hora do dia), digitação, movimentos de mouse ou dedo, uso de palavras (difícil, no servidor, no cliente)
Uma coisa com que me preocupo apenas com o sniffing do navegador é como é trivialmente fácil para os usuários trocarem de navegador. Existem pelo menos quatro alternativas excelentes e gratuitas de navegador na maioria das plataformas: Chrome, Opera, Firefox, Safari. Portanto, para interromper o cheiro do navegador ou, pelo menos, interrompê-lo, você pode mudar de navegador com frequência.
Vale mencionar os SuperCookies aqui, pois eles podem realmente funcionar, em alguns casos, mesmo se você alternar entre navegadores e mesmo se o JavaScript, o HTML 5 Local Storage e o Flash estiverem desativados .
Um pesquisador de privacidade revelou a genialidade por trás de um serviço de análise da web com fins lucrativos, capaz de seguir usuários em mais de 500 sites, mesmo quando todo o armazenamento de cookies foi desativado e os sites foram visualizados usando o modo de privacidade do navegador.
(Se você estiver curioso, a versão TL; DR é que eles fazem isso explorando princípios obscuros do cabeçalho ETag .)
Enfim, voltando a cheirar o navegador - há duas coisas um tanto inconvenientes que os usuários podem fazer para combater isso:
- Alterne constantemente os navegadores.
- Sempre navegue com JavaScript e Flash desativados.
No entanto, se o usuário não souber que as configurações do navegador estão sendo detectadas e usadas como parte do método para obter impressões digitais, duvido muito que eles necessariamente se metessem ao trabalho de fazer essas duas coisas. Isso funciona.
Com base nos dados acima, acredito que o sniffing do navegador pode ajudar a identificar o usuário anônimo típico da Internet - mas é eficaz apenas em combinação com outras coisas que normalmente detectamos de usuários anônimos da Internet, como o Endereço IP.