Complex gevalletje: Canvas Fingerprinting

Gisteren verscheen er een interessant artikel over Canvas Tracking op VentureBeat: Canvas fingerprinting is tracking you, and you don’t even know what it is. In dit artikel zei head of intelligence bij Malwarebytes, Adam Kujawa al dat ‘canvas fingerprinting’ een stap verder is dan cookies en extreem complex is. Wat betreft dat laatste punt ben ik het met hem eens.

Op zich ziet het er allemaal relatief logisch uit.

Op zich ziet het er allemaal relatief logisch uit. 🙂

Standaard cookies hebben lang de bewegingen over het internet gevolgd, met standaard cookies is het mogelijk te opt-outen. Met canvas fingerprinting / tracking wordt in feite deze controle weggehaald bij de gebruiker en is het vrijwel onmogelijk te detecteren. We hebben informatie ingewonnen bij Erwin Nandpersad van ERMMedia over deze vorm van tracking. Hieronder Erwin over Canvas Tracking.

Canvas Fingerprinting, wat is het?

Door middel van deze techniek worden ‘internetroutes’ gemeten, eigenlijk identiek aan wat cookies doen dus. En nu komt de grote ‘maar’: het kan niet geblokkeerd worden. Wanneer je gebruikmaakt van een Adblocker of Private browsing kun je ervoor zorgen dat je privacy wordt gewaarborgd. Met de komst van Canvas Tracking is het niet meer mogelijk af te schermen welke pagina’s je hebt bezocht.

Nut van deze fingerprints?

Partijen kunnen d.m.v. jouw fingerprint zien welke pagina’s je allemaal hebt bezocht en van welke website je bent gekomen. Daarnaast kunnen ze additionele informatie zien zoals je webbrowser, apparaat, etc. Aan de hand van die gegevens kunnen ze bijvoorbeeld weer een advertenties optimaliseren.

Als je een website regelmatig bezoekt is er vaak een database opgebouwd met al jouw fingerprints. Zo wordt de meest relevante informatie aan je voorgelegd, althans geprobeerd, met de bovengenoemde gegevens.

Werking Canvas Trackining

Canvas tracking is een nieuwe manier van meten tegenover cookie tracking en device tracking. Door middel van  canvas tracking wordt er een ‘tekening’ gemaakt op de webbrowser, uiteindelijk wordt de tekening omgezet in een hashcode. Deze manier van meten werd al in 2012 besproken door Mowery en Shachham.

Van de top 100 websites ter wereld maakt reeds 5% gebruik van deze techniek. Wanneer je Canvas Tracking toepast, schrijf je in de Javascript code een “tekst” welke omgezet wordt naar een afbeelding. Een afbeelding in Canvas is op iedere computer uniek . Per computer is de videokaart, het lettertype en de browser verschillend is, hier een illustratie. Ook is te vinden hoe een afbeelding wordt omgezet in hashcode. En waarom het in verschillende databases anders werkt. Je ziet ook dat de afbeelding op diverse browsers en computers anders is, en dit resulteert ook in een andere hashcode.

Fingerprint wel uniek?

Als je een website hebt met weinig bezoekers dan zal deze manier van tracken wel werken, maar zodra er miljoenen entries in je database staan met fingerprints dan zal dit  niet meer uniek zijn. Er zullen hoogstwaarschijnlijk computers zijn die dezelfde settings hebben.

Hetzelfde heb je ook met fingerprint tracking, wat kijkt naar de browsersettings, tijdzone etc. Wellicht als je een ip achter de hash toevoegt kan dit wel een unieke hashcode opleveren.

Canvas Tracking blokkeren?

Canvas tracking kun je maar op 1 makkelijke manier blokkeren en dat is door Javascript uit te schakelen. Dit zal echter niet snel gebeuren omdat Javascript vaak essentieel is om websites goed te tonen. Deze manier van tracken is dus wel te blokkeren, maar de situatie laat het op dit moment niet toe. Er zijn nog wel een aantal andere manieren om Canvas Tracking te blokkeren.

  • Je kan gebruikmaken van Tor. Dit is een webbrowser welke proxies op het internet zoekt zodat je anoniem kunt browsen.
  • Een verouderde versie van een browser gebruiken dat geen HTML5 ondersteund. Een goed voorbeeld is Internet explorer 6 of lager.
Conclusie

Canvas fingerprinting bestaat al sinds 2012, maar slechts enkele websites wisten dit toe te passen. Nu we weten wat Canvas Tracking is, kun je dit implementeren in je eigen organisatie en kijken of je meer zult meten. Op de site van ERM is een Canvas Tracking tool beschikbaar gesteld waarmee je een image en een hash kunt genereren om de werking te begrijpen.

Zoals ik al in de inleiding stelde: complexe materie. Toevoegingen, aan- of opmerkingen? We ontvangen het graag, en we zijn ook benieuwd naar jouw mening over Canvas Fingerprinting? Een goed artikel is te vinden op VentureBeat en zeker de moeite waard om even door te lezen.

Nog dieper in de materie duiken? Dan is dit onderzoek van de K.U. Leuven over canvastracking wellicht wat voor je.

Geef een reactie

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>