Firefox gaat pop-up tonen als sites aan tracking via canvastekening doen

Browser Firefox krijgt volgend jaar een functie die gebruikers op de hoogte stelt als een site probeert gebruikers te tracken via de canvastekening. Gebruikers kunnen er vervolgens voor kiezen om dat niet toe te staan. De functie is afkomstig uit Firefox-variant Tor Browser.

De 'canvastrackingblocker' verscheen in Bugzilla, merkte Bleeping Computer op. De functie staat op de rol voor een release in Firefox 58, een versie die in januari van volgend jaar uit moet komen. De browser zal in eerste instantie waardeloze data doorgeven aan de site, totdat de gebruiker tracking via de canvastekening toestaat.

Het gebruiken van canvastracking is sinds een paar jaar in zwang. Daarbij wordt via de canvasfunctie van de browser een onzichtbare afbeelding getekend, waarna de getekende pixels via de canvas-api geanalyseerd worden. Aan de hand van unieke kenmerken van de computer, bijvoorbeeld de geïnstalleerde lettertypes, de tijd en browsergegevens, kan een gebruiker gevolgd worden, net als met cookies het geval is.

De Tor Browser had de functie om tracking via canvastekeningen tegen te gaan al enige jaren ingebouwd zitten, maar de functie kwam tot nu toe niet beschikbaar in de reguliere versie van Mozilla's browser. Er verschenen eerder wel add-ons voor browsers om tracking via canvastekeningen tegen te gaan.

Reacties (52)

herofruit 30 oktober 2017 15:20

Op https://panopticlick.eff.org/ (een initiatief van EFF - Electronic Frontier Foundation) is het mogelijk jouw digitale fingerprint te controleren. Dit gaat zowel in op cookies als het canvassen/fingerprinten.

Fingerprinting werkt eigenlijk net als cookies, maar is hardnekkiger (want je systeem verandert niet zo vaak). Deze informatie wordt o.a. gebruikt door grote dataexchanges cq. advertentieboeren die op basis van jouw fingerprint een gerichte advertentie tonen (en dus meer verdienen).

edit: typo

[Reactie gewijzigd door herofruit op 23 juli 2024 01:08]

A64_Luuk @herofruit • 30 oktober 2017 15:31

Ik ga eigenlijk met alle geweld in tegen alle vormen van tracking, gewoon omdat. panopticlick zegt me dat de boel goed dicht zit, maar mijn browser checkt niet of websites die "do not track" beloven een uitzondering krijgen.

"Yes! You have strong protection against Web tracking, though your software isn’t checking for Do Not Track policies."

Kan iemand me uitleggen waarom die websites zo nodig een uitzondering moeten krijgen? Of ik ze niet toelaat me te tracken of dat ze dat zelf dan maar bij voorbaat niet doen boeit toch weinig?

[Reactie gewijzigd door A64_Luuk op 23 juli 2024 01:08]

Verwijderd @A64_Luuk • 30 oktober 2017 17:30

Van de website van EFF:

Setting your browser to unblock ads from websites that commit to respecting Do Not Track rewards companies that are respecting user privacy, incentivizing more companies to respect Do Not Track in order to have their ads shown at all. By preserving privacy-friendly ads, sites that rely on advertising funding can continue to thrive without adjusting their core business model, even as they respect users’ privacy choices.

Over time, we believe we can shift the norms on the Web to ensure privacy and respect for users comes first. But that can only happen if online advertisers are incentivized to respect user choices.

Edit: Dit is niet mijn mening, maar die van de EFF

[Reactie gewijzigd door Verwijderd op 23 juli 2024 01:08]

A64_Luuk @Verwijderd • 30 oktober 2017 17:49

Dat is een beetje onzin. Als een site zelf zijn advertenties host en niet laat uitserveren op basis van "ff kijken, wie ben jij ook alweer..." worden ze over het algemeen niet eens geblockt. Als de privacy gerespecteerd wordt kies je daar dus voor en niet alsnog voor een tracker (maar we respecteren wel je privacy) die met al dat gerespecteer en weet ik wat nog steeds een gepersonaliseerd advertentietje laat zien.

Ik ben het gelukkigst op sites die me reclame voor luiers laten zien, dan weet ik in ieder geval zeker dat ze geen idee hebben wie ik ben. Dat gezegd hebbende heeft de ad-industrie het natuurlijk al lang verbruid en krijg ik nu eigenlijk niets meer geserveerd. Behalve dus van sites die zelf de ads hosten, ongepersonaliseerd.

Verwijderd @A64_Luuk • 30 oktober 2017 17:52

Ik vind het presoonlijk ook totaal onzinnig, maar dit is toch echt wat de EFF stelt. Er werd gevraagd om een uitleg,die gaf de EFF, en het is ook op geen enkele manier gebaseerd op mijn eigen mening.

A64_Luuk @Verwijderd • 30 oktober 2017 17:55

Dat zeg ik ook niet, ik zeg alleen dat het geciteerde stukje informatie onzin bevat

Maar bedankt voor het opzoeken

[Reactie gewijzigd door A64_Luuk op 23 juli 2024 01:08]

Verwijderd @A64_Luuk • 30 oktober 2017 15:35

Dat viel me ook al op. En als ze toch niet tracken zouden ze ook niks moeten merken van tracking protection.

YangWenli @A64_Luuk • 30 oktober 2017 18:43

Daily reminder dat deze site óók Google analytics gebruikt

GA en Facebook zit overal tegenwoordig. Gelukkig makkelijk te blocken.

OxiMoron @herofruit • 30 oktober 2017 15:32

De fingerprint test kan hij bij mij niet afronden omdat het hele fingerprint script geblocked wordt...

t link @OxiMoron • 31 oktober 2017 00:01

bekend probleem hahaha, altijd zoeken welke scripten niet direct verbonden zijn aan databoeren voordat ik iets tijdelijk toesta

A64_Luuk @OxiMoron • 30 oktober 2017 15:44

Hier ook, blijft maar loopen

DigitalExorcist 30 oktober 2017 15:07

Waar gáát dit over ... ik snap echt geen regel van tekst die hier staat.. hoe kan een gebruiker geïdentificeerd worden aan de hand van geïnstalleerde lettertypes !? Wat voor canvas? Wat voor tekening?

MsG @DigitalExorcist • 30 oktober 2017 15:13

Het gaat niet per se om iets visueels, maar je kan als browser en dus als website best nog wat systeeminformatie krijgen van een computer. Op basis van al die gegevens bij elkaar ben je als PC vaak nog best redelijk uniek te onderscheiden van andere computers/gebruikers. Op basis van het canvas-element wordt dit blijkbaar tegenwoordig gedaan.

Het is een alternatief voor het vele cookieblokkeren. Alleen val je hiermee net zo goed onder de cookiewet, deze heet wel zo, maar gaat over alle vormen van tracking. Eigenlijk overtreden server-logs net zo goed de cookiewet.

Op basis van dit soort informatie, die de browser over het systeem doorgeeft heb je bijvoorbeeld ook vaak bij downloads dat de kloppende versie, 32-bits/64-bits, of Linux/Windows al voor je klaar staat. Het zou voor veel functionaliteit denk ik ook onwenselijk zijn als de browser níets meer door zou geven over het systeem.

[Reactie gewijzigd door MsG op 23 juli 2024 01:08]

Yooo Kerol @MsG • 30 oktober 2017 15:27

Kun je nog wat meer informatie geven wat betreft dat canvastekening gedoe, hoe dat werkt? Ik snap er namelijk ook de ballen van.

MsG @Yooo Kerol • 30 oktober 2017 15:32

Je kan beter even het canvas-element vergeten, dat is even een specifiek detail.

Je moet het zo zien, elke website kan diverse systeemgegevens opvragen, bij elkaar zijn dat wel duizenden dingen. Bijvoorbeeld welke lettertypen geïnstalleerd zijn, welke schermresolutie je draait, welk besturingssysteem, welke drivers je draait, welke DLL's geladen zijn. (Ik noem even wat random dingen, waarvan ik niet weet of het allemaal nog steeds mogelijk is). Hoe meer gegevens een website over jouw computer opvraagt aan de browser, hoe groter de kans is dat jij uniek te herleiden bent. Want stel ze konden alleen opvragen welk besturingssysteem je draait, dan ben jij niet te onderscheiden van alle miljoen andere Windows-gebruikers, bijvoorbeeld. Maar als ze dit gecombineerd met je geïnstalleerde lettertypen, je taalinstelling, je geïnstalleerde drivers, je computernaam, je IP-adres, etc. opvragen dan ben je op den duur wel uniek te herleiden. Hoe meer gegevens er doorgespeeld worden, hoe nauwkeuriger dit kan worden.

Er zijn diverse websites waar je kan inzien welke items jouw computer teruggeeft en hoe uniek je bent. Die sites lijken momenteel alleen wat slecht bereikbaar. In ieder geval zijn deze 2 wel interessant: https://amiunique.org/ en https://panopticlick.eff.org/

[Reactie gewijzigd door MsG op 23 juli 2024 01:08]

Titusvh @MsG • 30 oktober 2017 15:53

Je kan beter even het canvas-element vergeten, dat is even een specifiek detail.

Maar da's misschien juist het enige waarin @Yooo Kerol is geïnteresseerd omdat hij de rest wel snapt.
Datzelfde geldt namelijk voor mij!

anargeek @Titusvh • 30 oktober 2017 16:09

Canvas is een html-element waar je makkelijk mee kan tekenen. Het fingerprinting-script tekent dan een hele zooi aan elementen (stukken tekst met schaduwen, kleuren, groottes etc), die verschillend zullen zijn afhankelijk van welk systeem je gebruikt. Gebruik bijvoorbeeld een aantal Chrome-specifieke eigenaardigheden, en als die "correct" worden gerenderd is de kans groot dat de gebruiker Chrome gebruikt. Ditzelfde trucje kan worden herhaald om je OS te bepalen, welke browser, welke plugins je geinstalleerd hebt, wat je schermformaat is, etc etc om uiteindelijk een "unieke" rendering te maken die er alleen op jouw computer zo uit ziet. Deze canvas-tekening wordt dan omgezet naar een Base64-string, waardoor je een unieke string per gebruiker krijgt.

De canvas tekening wordt meestal verborgen op de pagina (want het is geen relevante informatie voor je content) maar is wel een makkelijke truc om bezoekers te identificeren zonder cookies te gebruiken.
Voor een voorbeeld waarbij je wel de canvastekening ziet, zie https://browserleaks.com/canvas. Deze geeft mij aan dat mijn browser 99.98% "uniek" is (38 of 216343 user agents have the same signature)

edit: Valve's Fingerprintjs2 is een van de bekendste en meest gebruikte fingerprinting scripts. Leuk om zelf uit te proberen en kijken tussen verschillende browsers wat de verschillen zijn

[Reactie gewijzigd door anargeek op 23 juli 2024 01:08]

GateKeaper @Titusvh • 30 oktober 2017 16:11

Ze maken een "tekening" met daarin de informatie van jouw systeem. Basic voorbeeld:

+-------------------------------+
| ip: 127.0.0.1
| resolutie: 1024x768
| fonts: Arial;Verdana;Times
| browser: Chrome
| os: Windows 10
| lang: NL;EN
+-------------------------------+

Die tekening wordt vervolgens gehashed naar een unieke string. De sha-1 van bovenstaand zou iets worden als 7676d3654e7b4ef9152e87337b195bb632478bcd. De volgende keer dat jij op die site; of een andere aangesloten site komt. Wordt de tekening volgens dezelfde logica opgesteld, en wordt dus ook dezelfde hash gegenereerd. Doordat de hash op site A hetzelfde is als site B, kunnen ze je volgen.

De site die hierboven gelinkt staat; doet hetzelfde en laat dus ook zien onder hoeveel bezoekers jouw browser uniek bevonden is.

Waarom ze het met een tekening (canvas) doen, is omdat een website bijvoorbeeld niet kan opvragen welke fonts jouw systeem ondersteund. Wel kan je het canvas element verzoeken om een tekst in font X (bijvoorbeeld Arial) te renderen. Beschikt jouw systeem niet over Arial, dan geeft hij geen foutmelding weer, maar gebruikt hij een alternatief (fallback) font.

Print dus een "A" op een canvas element, in 1.000 verschillende fonts, en gegarandeerd dat jij al een andere tekening hebt dan ik. Dit omdat ik een aantal custom, maar redelijk bekende, fonts heb geïnstalleerd.

Ook op deze site kan je zien of jouw systeemconfiguratie uniek is, en waarom: https://amiunique.org/fp

Een andere site die nog een beter inzicht geeft in wat er allemaal van jou wordt verzameld, en op wat voor manier: https://browserprint.info/test

*edit; geen code-tags op de FP

[Reactie gewijzigd door GateKeaper op 23 juli 2024 01:08]

D3F @GateKeaper • 30 oktober 2017 21:24

Dus in theorie zou het mogelijk zijn om elke dag een andere font te installeren/verwijderen en een andere hash te krijgen? Iemand een tooltje die een random gratis font van internet af haalt en installeert en/of verwijderd?

MsG @D3F • 31 oktober 2017 12:00

Pak 1 systeemeigenschap extra en je hebt al weer een grote kans op uniciteit. Het is denk ik lastiger dan je in eerste instantie zou denken.

MsG @Titusvh • 30 oktober 2017 15:55

Nou van die unieke gegevens wordt dan een onzichtbare afbeelding 'getekend' middels het HTML5-canvas element. Dat leek me juist het eenvoudigst ;-).

Dit kan ook op duizenden andere manieren, bijvoorbeeld een tracking-pixel, of de unieke gegevens daadwerkelijk server-side opslaan, en de analyse en herkenning server-side doen.

Yooo Kerol @MsG • 30 oktober 2017 16:08

Dank voor je voorgaande uitleg. In zijn algemeenheid zoals je het uitlegt begrijp ik het wel.
Maar lol nee dat wat jij eenvoudig noemt begrijp ik dus juist niet. Waarom een onzichtbare afbeelding tekenen ...

?

Edit: De uitleg van VNA om 15.24 en van jou daaropvolgend ergens hieronder maakt het nu wel een stuk duidelijker.

[Reactie gewijzigd door Yooo Kerol op 23 juli 2024 01:08]

MsG @Yooo Kerol • 30 oktober 2017 18:25

Visueel voor de gebruiker onzichtbaar, maar voor de website wel aanwezig, zodat deze uitgelezen kan worden om de gebruiker te herkennen. je zult hem op dat soort sites ook gewoon in de broncode terug moeten kunnen vinden.

Verwijderd @MsG • 30 oktober 2017 15:37

En dan wil ik op de Linux computer op m'n werk een windowsversie voor thuis downloaden en dan gaat dat niet of lastig. Of ze kijken naar m'n IP adres en besluiten dat ik alleen nog maar pagina's in het Duits te zien krijg. Dan liever blokkeren die zooi, geef maar een lijst met opties.

MsG @Verwijderd • 30 oktober 2017 15:42

Tja dat zijn de randgevallen, en de eerste site waar ik niet alsnog een andere download kon aanklikken moet ik nog tegenkomen. Zet dat weg tegen de miljarden leken op aarde die anders moeten kiezen tussen iets abstracts als 32-bits of 64-bits bij elk programma en je bent als softwareleverancier via het web al een aanzienlijk deel van je bezoekers kwijt.

Ook voor accessibility-software of herkenning is het zeker wel wenselijk dat er enige koppeling blijft tussen wat een website kan opvragen en het systeem. Responsieve websites zouden ook niet kunnen werken als de vensterbreedte niet bekend mag zijn.

DigitalExorcist @MsG • 30 oktober 2017 15:15

Kijk, dát is info waar ik wat mee kan

VNA9216 @DigitalExorcist • 30 oktober 2017 15:24

Wat ze doen, is (simpel gezegd) een lading objecten tekenen op een javascript canvas, afhankelijk van de versies van software en hardware die je hebt geinstalleerd zijn niet al die afbeeldingen gelijk, er kunnen subtiele verschillen zijn tussen de gerenderde resultaten door andere driver versies, versies van geinstalleerde software enzovoorts, en door de gegenereerde beelden te analyseren op verschillen kan je pc's (soort van) volgen.

Er zitten heel veel haken en ogen aan om iemand echt goed te kunnen volgen, maar combineer het met bijvoorbeeld de staat van de accu van je apparaat die je ook via javascript kan/kon opvragen (als het goed is laten de meeste browsers dat intussen ook niet meer toe om deze reden), en dan is de kans al een stuk groter dat je iemand kan volgen op verschillende sites.

Het is de zoveelste poging om mensen online te kunnen volgen, en er zullen er nog vele volgen.

DigitalExorcist @VNA9216 • 30 oktober 2017 15:43

er kunnen subtiele verschillen zijn tussen de gerenderde resultaten door andere driver versies, versies

en dát snap ik dus niet... hoe dan? Is het een soort fingerprint van dll-versies oid die je in een soortement van barcode rendert op de website?

En dat die site vervolgens gewoon die zelfgemaakte barcode weer uitleest? Wat is dan het nut van dat renderen? Dat die barcode client-side gemaakt wordt omdat een webserver dat niet mag?

[Reactie gewijzigd door DigitalExorcist op 23 juli 2024 01:08]

VNA9216 @DigitalExorcist • 30 oktober 2017 16:02

GPU's renderen niet alles het zelfde, vroeger kon je echt grote verschillen zien in hoe bijvoorbeeld met transparantie werd omgegaan (sommige mensen kunnen zich misschien de verschillen in hoe bijvoorbeeld hekken er uit zagen in het originele half-life zich nog herinneren). Tegenwoordig is het allemaal zo klein dat je het met het blote oog meestal niet meer kan zien.
Maar stel bijvoorbeeld dat je een streep tussen 2 punten trekt, en je zegt tegen de GPU "trek een streep van punt A naar punt B, punt A is rood (255), punt B is zwart(0), en zorg maar dat het in elkaar overloopt."
Hoe het verloopt kan een beetje verschillen, met de ene hard en software combinatie zal de pixel in het midden een rood waarde van 127 hebben, bij een andere combinatie 128. en door die verschillen weer uit te lezen kan je een soort profiel opbouwen van een PC en hem op andere pagina's waar je dezelfde tests doet kunnen herkennen.

Het is een behoorlijk versimpeld voorbeeld van een van de dingen die je zou kunnen gebruiken om PC's te identificeren, er zullen 101 verschillende twitches in drivers zijn waar ze specifiek naar zullen zoeken en situaties voor bedacht zullen hebben om ze te laten verschijnen, maar het komt er dus op neer dat ze verschillen in hoe je systeem iets tekent gebruiken om je te identificeren, en niet zo zeer gegevens van je systeem coderen in een afbeelding.

MsG @DigitalExorcist • 30 oktober 2017 15:51

Het renderen in een plaatje is maar een middel. De website kan dit ook server-side kaal opslaan en later zelf analyseren. Dat is echter veel meer gedoe en kostenintensiever. Als je alles lokaal bij de gebruiker laat uitlezen en het enkel opslaat in een soort patroon, of bijvoorbeeld barcode heb je er als bedrijf veel minder werk van. Immer je wil al die informatie helemaal niet per se, je wil enkel iemand uniek kunnen labelen om diegene te herkennen.

Het zou overigens ook kunnen dat de browser wellicht herkend als je iets server-side doorstuurt, en dat dit soort gegevens niet meer op een normale manier kaal kunnen worden doorgestuurd, en dat het via canvas dus wel noodzakelijk is tegenwoordig?

[Reactie gewijzigd door MsG op 23 juli 2024 01:08]

Verwijderd @VNA9216 • 30 oktober 2017 22:12

Wanneer komt er nou eens iemand met een browser met:
granular Javascript permissies: per functie aan of uit te zetten
Of nog beter: een browser die gewoon alles stript tot kale content en het opmaakt zoals jij het zelf wilt. Beetje zoals het initiatief Tabbloid van HP dat ooit deed.

Verwijderd @Verwijderd • 30 oktober 2017 22:25

Doei, he. Het gros van de mensheid weet niet eens wat Javascript is. Ik ga ook mijn tijd niet verdoen met het doorlopen van tientallen, zo niet honderden permissies waarvan ik geen enkel idee heb wat ze doen en wanneer. Tien tegen een dat een voor mij nuttige site nét zo'n rare functie nodig heeft.

Ik wil ook geen gedoe met 'opmaak zoals ik het zelf wil'. Heb je wel eens met GreaseMonkey een site aangepast? Wat een afgrijselijk rampenplan om onnavolgbaar dynamische DOMs te doorlopen en programmatisch aan te passen... en met de volgende iteratie van de site kun je weer van voren af aan beginnen.

Nee, gaat niet gebeuren. Dit probleem moet je aanpakken bij aggregeren van gegevens tot er na elke stap maximaal x bits entropie overblijven... maar dit verder charmante idee sterft uiteraard ook een stille dood omdat er veel te veel discutabele aanbieders en scrapers zijn die zich niets van zo'n verbod aantrekken. De beste verdediging lijkt simpelweg niet teveel van jezelf bloot te geven.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 01:08]

Verwijderd @Verwijderd • 1 november 2017 11:40

Je beschrijft keurig het failliet van de huidige ellende waaring webdesign terecht is gekomen. Ik heb tegenwoordig weer heimwee naar de jeuk die je kreeg als dingen 1 pixel verschoven waren in Explorer 6. Was kinderspel vergeleken bij de render-ellende en DOM bloat nu. Apps zijn bijna de enige uitweg: de contentmaker bepaalt exact hoe het eruit ziet en kan naar hartelust graaien naar gebruikersdata. Wil je dat niet, neem dan de ellendige web-browser beleving. Veel plezier.... We zien je snel terug in de app.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 01:08]

Pikoe @DigitalExorcist • 30 oktober 2017 15:09

Hier meer info en een test om te kijken hoe uniek jouw canvas is.

[Reactie gewijzigd door Pikoe op 23 juli 2024 01:08]

Basszje @DigitalExorcist • 30 oktober 2017 15:31

Canvas is een HTML5 element. Je geinstalleerde fonts kan je gebruiken om een computer mee te identificeren. Bedenk alleen al dat windows / apple / linux specifieke fonts hebben. Je kan meestal via Javascript uitlezen wat er geinstalleerd is.

Check anders - https://panopticlick.eff.org/ . Het gedeelte over fingerprinting.

[Reactie gewijzigd door Basszje op 23 juli 2024 01:08]

Chester @DigitalExorcist • 30 oktober 2017 15:09

Zie het als een watermerk die voor de blote oog niet te zien is, maar wel voor de websites die je bezoekt.

Afhankelijk van wat ze van je PC kunnen uitlezen, proberen ze die watermerk zo uniek mogelijk te maken. Hoe meer gegevens ze kunnen uitlezen, hoe unieker die watermerk.

[Reactie gewijzigd door Chester op 23 juli 2024 01:08]

kalikatief @DigitalExorcist • 30 oktober 2017 15:26

Hoe kan een persoon worden geidentificeerd op basis van een aantal lijntjes? Dat is echter exact wat gebeurd met een vingerafdruk.

En dit is de digitale variant daarvan. Ze gebruiken normale en erg legitieme methoden (een klikje herkennen hier, een plaatje tekenen daar, etc.) om iets te doen dat niet mag: een gebruiker uniek herkennen en dus profileren.
Vroeger had je al dat gedoe waar met Javascript alle geinstalleerde lettertypen, het vensterformaat e.d. konden worden opgevraagd om als een soort vingerafdruk te dienen. Vergelijk dit met van elke bezoeker de vingerafdruk te registreren.Dit is echter weer een volgende variant hierop nadat dat moeilijker werd gemaakt.

Maar nu laten ze gewoon een plaatje tekenen op basis van instructies die op elke computer weer uniek anders worden. Om weer naar de vingerafdruk vergelijking te gaan... nu laten ze je vinger met rust maar kijken ze naar de plek waar je de website vasthoudt om aan je vingerafdruk te komen. Technisch gezien is het niet dezelfde vingerafdruk maar een iets ander soort afdruk, maar het enige dat voor hen uitmaakt is dat de gebruiker uniek kan worden herkend op basis hiervan.

Vervolgens kunnen de advertentie netwerken en search engine optimalisatie netwerken deze gebruiken om van jou een profiel op te bouwen dat je katten leuk vindt, waarschijnlijk een man bent, misschien wel religieus actief bent enz.

Zoek maar eens naar de evercookie en de supercookie. Deze technieken hebben een andere insteek en doen iets dat net anders is, maar het doel is hetzelfde: onwillende gebruikers uniek identificeren zonder dat ze het weten.

MsG @kalikatief • 30 oktober 2017 15:38

Het is toch nog steeds preces hetzelfde als het uitlezen van de geïnstalleerde lettertypen en dergelijke? Alleen het verschil is dat nu deze waarden worden verwerkt via het canvas-element. De website in kwestie zou ook evengoed die data in ruwe vorm kunnen doorsturen, maar het gaat hen puur om je te kunnen herkennen, niet zozeer om daadwerkelijk in te willen zien welke drivers men geïnstalleerd heeft.

Hoe is iemand uniek te herleiden aan zijn vingerpositie op de website? Wellicht dat deze nog als extra variabele wordt meegenomen, maar het lijkt me niet heel specifiek herleidend.

kalikatief @MsG • 30 oktober 2017 16:17

Het resultaat is hetzelfde, de methode verschilt.

Als ik het goed begrijp is de bedoeling dat ze de lettertypen zelf gebruiken om rotzooi op het element te schrijven. Dan houd je dus alleen een X bij Y pixels groot vlak met pixels over, welk dan doorgestuurd wordt. Uit deze pixels zelf zijn de lettertypen niet of juist heel slecht te achterhalen. Het is een soort DNA sequentie waarvan de betekenis van een specifiek gen zeer moeilijk te achterhalen is.

Maar omdat er zo veel variaties mogelijk zijn om het te maken, blijft het toch uniek.

Voor mijn (ietwat manke) vergelijking was niet de vingerpositie dat uitmaakt, maar het feit dat de digitale vingers van je browser sporen achterlaten om die webpagina te kunnen tonen. Ik heb het niet over fysieke vingers. Ook al wordt het onmogelijk gemaakt om alle lettertypen e.d. direct uit te lezen, het blijft noodzakelijkerwijs wel mogelijk om deze te gebruiken.

Arjen de Jager 30 oktober 2017 17:23

Deze melding is geen losstaande functie, maar een onderdeel van anti-fingerprinting-bescherming. Die functie is te activeren door in about:config 'privacy.resistFingerprinting' te activeren en heeft veel meer gevolgen. Zie https://bugzilla.mozilla.org/show_bug.cgi?id=967895#c124

Yamotek 30 oktober 2017 15:08

Nu begrijp ik dat het langer getest moet worden voordat het geïmplementeerd kan worden, maar als het al toegepast wordt in de TOR versie, waarom kan het dan niet eerder uitgebracht worden met Firefox?

Desnoods zouden ze het als een add-on tijdelijk uit kunnen brengen. Ik vind het namelijk lastig om te weten dat ik hierdoor wel gevolgd kan worden maar hier nog niets tegen kan doen tot volgend jaar januari. Zijn hier nog alternatieven voor te vinden behalve 'niet op het internet' te gaan?

Edit: Ik moet zeggen dat ik er niet vanaf wist dat de TOR browser dit al blokkeerde, maar ik ben wel hartstikke blij dat hier überhaupt al iets tegen gedaan gaat worden. uBlock gebruiken of andere 'anti-trackers' heeft weinig nut als je door pixels nog steeds gevolgd kan worden.

[Reactie gewijzigd door Yamotek op 23 juli 2024 01:08]

YangWenli @Yamotek • 30 oktober 2017 19:11

Canvasblocker.

https://github.com/kkapsner/CanvasBlocker/releases

Er zijn altijd mensen die ook een tering hekel hebben aan de marketing parasite of anoniem willen blijven en kunnen coden. Hier op Tweakers however...

"Wiens brood men eet diens woord men spreekt"

Data mining is big business.

VNA9216 @Yamotek • 30 oktober 2017 15:15

Het is al sinds 2014 bekend dat dit mogelijk is, dus al die tijd heb je je er dan niet druk om gemaakt terwijl het probleem er toen ook al was. Ik zou me er niet in ene extreem druk om maken tenzij je echt met extreem illegale zaken bezig bent.
Het is iig goed dat er nu eindelijk eens iets tegen gedaan gaat worden.

Verwijderd 30 oktober 2017 15:32

Lekker is dat - een volledig legitieme manier om grafische toevoegingen te doen blokkeren. De meeste mensen hebben geen idee wat HTML5 canvas image data is en zullen bij die melding denken "Oh, shit - nee, dat wil ik niet!"

Belgar @Verwijderd • 30 oktober 2017 17:06

Het is een onzichtbaar canvas, de browser kan dat herkennen en niet alle canvas elementen blokkeren.

Verwijderd @Belgar • 30 oktober 2017 17:11

De meeste leuke grafische dingen doe je juist met een onzichtbaar canvas...

luper 30 oktober 2017 15:07

Ik had hier nog nooit van gehoord. Hoe gaan de andere browsers hier eigenlijk mee om?

MsG @luper • 30 oktober 2017 15:16

Het is al steeds meer beperkt wat een browser over het systeem / de gebruiker doorgeeft, maar er zijn in de basis nog best wat gegevens die een website kan opvragen, dat is doorgaans bij alle browsers zo.

Voorheen was het bijvoorbeeld mogelijk om als websites de kleur van websitelinkjes uit te lezen, zo wist een website dan of je op bepaalde websites was geweest, omdat je browser deze normaliter anders kleurt dan linkjes waar je nog nooit bent geweest.

Verwijderd 30 oktober 2017 15:13

Tof, maar daar houdt EFF Privacy Badger reeds rekening mee. Firefox had evengoed de tool van EFF kunnen bundelen.

Of je gaat gebruik maken van de Brave browser, die adblocking en tracking bescherming (incl fingerprinting) als standaard functionaliteit aanbiedt. Brave is mijn standaard browser op m'n smartphone.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 01:08]

_Thanatos_ 30 oktober 2017 23:17

Nu bijna alles niet meer mogelijk is via addons, omdat ze bijna alle waardevolle addons een hele dinkke vinger hebben gegeven, wordt Mozilla min of meer geforceerd om zulke dingen in te bakken. Hoe anders ga je deze functionaliteit toevoegen?

Firefox was altijd lekker schoon en to the point, en uitbreidbaar met addons. Nu "moet" het een bloated browser worden, want alles wat met addons niet meer kan, kan alleen nog native.

eYaTed 30 oktober 2017 15:54

*snap*

[Reactie gewijzigd door eYaTed op 23 juli 2024 01:08]

straaljager27 31 oktober 2017 10:11

@MsG en @anargeek bedankt voor de uitleg! Heeft veel duidelijk gemaakt voor me

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (52)

Sorteer op:

Weergave: