The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

15.01.2018 10:28  Метод отслеживания посетителей сайтов при помощи CSS, без JavaScript

Jan Böhmer опубликовал прототип системы для организации отслеживания перемещения посетителей по сайтам, который ограничивается использованием только CSS и не требует выполнения кода на JavaScript. При размещении на сайте представленного кода организуется передача на внешний сервер базовой информации о посетителе, включая сведения о разрешении экрана, типе браузера и наличии заданных шрифтов. На основе различий в доступных шрифтах можно определить тип ОС.

Кроме того, определяется по каким ссылкам на странице переходил пользователь или к которым из ссылок подводил курсор мыши. Также могут быть выявлены общие особенности перемещения мыши по экрану (фоном выводится невидимая таблица полей, по которой определяется перемещение мыши). В текущем виде код может отслеживать только первые клики и наведения мыши, последующие клики по тем же ссылкам или повторные наведения мыши не учитываются. Проверить работу метода можно на специально подготовленной демонстрационной странице.

Реализация использует возможности CSS по добавлению изображений из внешних источников при помощи свойства url("foo.bar") - так как ресурсы загружаются только при необходимости, можно указать вместо изображения ссылку на внешний скрипт-сборщик статистики и привязать к таким событиям, как переход на ссылку или подведение мыши к ссылке. Например для отслеживания кликов можно использовать код:


   #link2:active::after {
       content: url("track.php?action=link2_clicked");
   }

Для определения идентификатора бразуера можно использовать правила @supports для проверки наличия специфичных для каждого типа браузеров свойств CSS, например, только браузеры на движке Chromium поддерживают свойство "-webkit-appearance":


   @supports (-webkit-appearance:none) {
       #chrome_detect::after {
           content: url("track.php?action=browser_chrome");
       }
   }

Для определения наличия шрифтов в CSS создаётся новое фиктивное семейство шрифтов, в качестве источника для загрузки которого указывается внешний скрипт-сборщик данных. Далее формируются проверочные блоки текста в котором первым указывается проверяемый шрифт, а вторым фиктивный шрифт. Если проверяемый шрифт присутствует, то второй шрифт будет игнорирован, но если проверяемого шрифта нет, браузер попытается использовать фиктивный шрифт как запасной вариант и отправит запрос к внешнему скрипту:


   @font-face {
       font-family: Font1;
       src: url("track.php?action=font1");
   }
   #font_detection1 {
       font-family: Calibri, Font1;
   }


  1. Главная ссылка к новости (https://twitter.com/JGamblin/s...)
  2. OpenNews: В Firefox реализовано отложенное выполнение стороннего кода отслеживания перемещений
  3. OpenNews: Анализ средств отслеживания действий пользователей на сайтах
  4. OpenNews: В Firefox 57 появятся средства для блокирования отслеживания перемещений
  5. OpenNews: Отслеживание перемещения в соседней комнате при помощи динамика и микрофона обычного ПК
  6. OpenNews: Новый вид атак по определению ранее открытых в браузере сайтов и отслеживанию посетителей
Лицензия: CC-BY
Тип: Обобщение
Ключевые слова: tracking, css
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 11:06, 15/01/2018 [ответить] [смотреть все]
  • –14 +/
    ждем расширения NoStyles, чтобы фольгированно-шапочникам жилось спокойнее.
     
     
  • 2.12, леон, 13:37, 15/01/2018 [^] [ответить] [смотреть все] [показать ветку]
  • +8 +/
    > ждем расширения NoStyles, чтобы фольгированно-шапочникам жилось спокойнее.

    umatrix уже умеет резать ксс.
    как все, так и только от третьих лиц.

     
     
  • 3.33, Аноним, 00:02, 17/01/2018 [^] [ответить] [смотреть все]
  • +1 +/
    И еще ublock умеет запрещать грузить шрифты Так еще и сайты быстрее грузятся, а... весь текст скрыт [показать]
     
     
  • 4.34, Аноним, 01:47, 17/01/2018 [^] [ответить] [смотреть все]  
  • –3 +/
    >2,5Мб
    >минуту грузится

    Как оно там, на ADSL?

     
     
  • 5.38, Аноним, 18:20, 17/01/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    Как оно там, быть безграмотным технически Кстати, о том, что существует еще и м... весь текст скрыт [показать]
     
  • 5.40, Аноним, 00:10, 19/01/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    Знаешь, некоторые россияне не отказались бы даже от ADSL-я, в некоторых местах в... весь текст скрыт [показать]
     
  • 4.36, hh, 08:38, 17/01/2018 [^] [ответить] [смотреть все]  
  • +2 +/
    горе вебмастера сотрудничают с рекламой гугл поэтому и вставляют загрузки от них... весь текст скрыт [показать]
     
  • 2.19, Имя, 16:42, 15/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Такое есть, но оно гораздо полезнее тем, что можно на черных сайтах делать белый... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.32, Ващенаглухо, 09:48, 16/01/2018 [^] [ответить] [смотреть все]  
  • +/
    А наоборот можно?, ох уж эти наркоманы с белым фоном...
     
     
  • 4.35, Аноним, 01:48, 17/01/2018 [^] [ответить] [смотреть все]  
  • +/
    Никогда не думал, почему выворотка так назыается ... весь текст скрыт [показать]
     
  • 1.2, ыы, 11:11, 15/01/2018 [ответить] [смотреть все]  
  • +9 +/
    давайте назовем это CSSFS. файловая система работающая на голом css, без js...
     
  • 1.3, mimocrocodile, 11:18, 15/01/2018 [ответить] [смотреть все]  
  • +5 +/
    Чем это отличается от обычного tracking pixel?
     
     
  • 2.4, ыы, 11:21, 15/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    это вам к патентописателям. они обоснуют элемент новизны в чем угодно... :)
     
  • 2.9, Аноним, 12:28, 15/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Пиксель адблок порежет, а резать отдельные стили вроде ещё не умеет Или я ошиба... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.11, Аноним, 12:49, 15/01/2018 [^] [ответить] [смотреть все]  
  • +/
    Ему по идее всё равно, что резать.
     
  • 2.14, pda, 13:48, 15/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Ну, например, расширение браузера или прокси может подменять user-agent, а тут с... весь текст скрыт [показать] [показать ветку]
     
  • 2.26, anomymous, 21:15, 15/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Тем, что можно кое-какие параметры браузера передать.
     
  • 1.5, Гражданин, 11:42, 15/01/2018 [ответить] [смотреть все]  
  • +3 +/
    А я предупреждал: HTML5 сделан замороченным для встраивания бэкдоров.
     
     
  • 2.6, Анончик, 11:53, 15/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +9 +/
    Как же, тебя не послушали, бааатюшки. Может не в том месте предупреждал и не тем людям?
     
     
  • 3.7, Аноним, 11:56, 15/01/2018 [^] [ответить] [смотреть все]  
  • +2 +/
    в другом месте другие люди тоже предупреждали, но кто их будет слушать, когда пе... весь текст скрыт [показать]
     
  • 2.8, vz, 12:01, 15/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    GNU HTML устроил бы больше
     
     
  • 3.22, Тот_Самый_Анонимус, 18:06, 15/01/2018 [^] [ответить] [смотреть все]  
  • +/
    Так ГНУ ничего сам не умеет Только уже готовое обрезать или 171 делать более... весь текст скрыт [показать]
     
  • 3.24, Аноним, 19:38, 15/01/2018 [^] [ответить] [смотреть все]  
  • +/
    Проект XANADU тогда уж.
     
  • 2.15, Аноним, 14:42, 15/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Но ведь псевдоэлемент :after придумали ещё в CSS2 когда был HTML4.1
     
     
  • 3.28, пох, 21:47, 15/01/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    там content а не after главное ... весь текст скрыт [показать]
     
     
  • 4.37, Аноним, 13:46, 17/01/2018 [^] [ответить] [смотреть все]  
  • +/
    Ну а content ввели ещё в CSS2 :)
     
  • 1.10, Аноним, 12:30, 15/01/2018 [ответить] [смотреть все]  
  • +2 +/
    А вот фиг, любой вебкит поддерживает это свойство... весь текст скрыт [показать]
     
  • 1.18, Аноним, 15:51, 15/01/2018 [ответить] [смотреть все]  
  • –3 +/
    Обнаружена уязвимость в CSS при указании background-image url , можно запи... весь текст скрыт [показать]
     
  • 1.20, Аноним, 16:57, 15/01/2018 [ответить] [смотреть все]  
  • +1 +/
    Что вы там сказали? Отключать скрипты в тор браузере для анонимности?
     
     
  • 2.23, Аноним, 18:41, 15/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    https://trac.torproject.org/projects/tor/ticket/24901
     
     
  • 3.27, пох, 21:44, 15/01/2018 [^] [ответить] [смотреть все]  
  • +/
    мм а смысл Что-то они там не то прочитали по ссылке Глупо пытаться скрыть ф... весь текст скрыт [показать]
     
  • 1.25, Аноним, 20:17, 15/01/2018 [ответить] [смотреть все]  
  • –2 +/
    Метод отслеживания посетителей сайтов при помощи CSS, без JavaScript можно... весь текст скрыт [показать]
     
  • 1.29, Аноним, 02:47, 16/01/2018 [ответить] [смотреть все]  
  • +1 +/
    Юзеры NoScript отхватите!
     
     
  • 2.30, Аноним, 08:15, 16/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    кто-то просто выписывает газеты
     
  • 2.39, IY, 23:57, 18/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    noscript тормозен и глючен. Лучше QuickJava - он просто ставит несколько выключателей на сорта гуано: жаву, флэш, цсс, картинки и пр. - в любой момент можно тыкать.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor