Canvas Fingerprinting Hoe Werkt Het?
Sinds kort wordt er in het nieuws veel gesproken over Canvas Tracking. Door middel van deze techniek worden internet gebruikers in de gaten gehouden, dit kan niet geblokkeerd worden. Derde partijen plaatsen normaal gesproken cookies op je computer om te monitoren welke pagina’s je bezoekt.
Wanneer je gebruikmaakt van een Adblocker of Private browsing kun je ervoor zorgen dat je privacy wordt gewaarborgt.Met de komst van Canvas Tracking is het niet meer mogelijk af te schermen welke pagina’s je hebt bezocht.
Wat kan een partij met jouw fingerprint?
Een derde partij kan d.m.v. jouw fingerprint zien welke pagina’s je allemaal hebt bezocht en van welke webpagina je bent gekomen. Daarnaast kunnen ze additionele informatie zien zoals je webbrowser, apparaat, etc.
Als je bijvoorbeeld eerst website_1 bezoekt en je gaat vervolgens naar website_2, dan weet website_2 van welke website je bent gekomen; namelijk van website_1.
Daarnaast als je website_2 regelmatig bezoekt heeft website_2 een database opgebouwd met al jouw fingerprints. Zo ziet website_2 welke pagina’s je allemaal hebt bezocht, met de bovengenoemde gegevens.
Werking Canvas Tracking
Canvas tracking is een nieuwe manier van meten tegenover cookie tracking en device tracking. Door middel van canvas tracking wordt er een tekening gemaakt op de webbrowser, uiteindelijk wordt de tekening omgezet in een hashcode.
Deze manier van meten werd al in 2012 besproken door Mowery en Shachham .
Daarnaast maken veel gerenommeerde websites gebruik van deze techniek. Op de website van de onderzoekers is een lijst beschikbaar welke websites dit inmiddels toepassen.
Wanneer je Canvas Tracking toepast, schrijf je in de Javascript code een “tekst” wat omgezet wordt naar een afbeelding. Een afbeelding in Canvas is op iedere computer uniek omdat per computer de videokaart, het lettertype en de browser verschillend is. Ik heb een voorbeeld gemaakt om te illustreren hoe Canvas Tracking werkt. Op de pagina is te zien hoe de afbeelding wordt omgezet in een hashcode, wat je vervolgens weer kunt opslaan in je database om een bezoeker te herleiden. Je ziet ook dat de afbeelding op diverse browsers en computers anders is, en dit resulteert ook in een andere hashcode.
Fingerprint wel uniek?
Mijn vraag is of een fingerprint wel uniek is. Als je een website hebt met weinig bezoekers dan zal deze manier van tracken wel werken, maar zodra er miljoenen entries in je database staan met fingerprints dan zal dit niet meer uniek zijn. Er zullen ongeheid computers zijn die dezelfde settings hebben. Hetzelfde heb je ook met fingerprint tracking, wat kijkt naar de browsersettings, tijdzone etc. Wellicht als je een ip achter de hash toevoegt kan dit wel een unieke hashcode opleveren.
Hoe kun je Canvas Tracking blokkeren?
Canvas tracking kun je maar op 1 makkelijke manier blokkeren en dat is door Javascript uit te schakelen. Maar ik denk dat niemand dit zal doen omdat Javascript essentieel is om websites goed te tonen. Deze manier van tracken is dus wel te blokkeren, maar de situatie laat het op dit moment niet toe. Er zijn nog wel een aantal andere manieren om Canvas Tracking te blokkeren.
- Je kan gebruikmaken van Tor. Dit is een webbrowser wat proxies op het internet zoekt zodat je anoniem kunt browsen.
- Je kan een verouderde versie van een browser gebruiken dat geen HTML5 ondersteund. Een goed voorbeeld is Internet explorer 6 of lager. Helaas heeft deze webbrowser wel veel kwetsbaarheden.
Conclusie
Canvas tracking is een technologie die recent in het nieuws is gekomen. Deze techniek bestaat al sinds 2012, maar slechts enkele websites wisten dit toe te passen. Nu we weten wat Canvas Tracking is, kun je dit implementeren in je eigen organisatie en kijken of je meer zult meten. Ik heb een Canvas Tracking tool beschikbaar gesteld waarmee je een image en een hash kunt genereren om de werking te begrijpen. Voor nadere informatie over dit onderwerp kunt u direct contact met mij opnemen.