tu diminues peut-être un peu la précision de l’empreinte.

mais il reste : les polices, la langue, l’os, les capacités de ta carte graphique (exhttp://www.geeks3d.com/webgl/) …

Il y a de quoi faire.

Et vu viens de rajouter 1 bit d’information : utilise un anti-canvas fingerprinting tool.

 

OK donne moi 8 noms de polices.

De préférence avec au moins 1 installée sur ton poste (non détectée par le script précédent tant qu’à faire)

Je voulais dire peu de sens d’essayer de calculer une empreinte pour une police qui serait chargée depuis un cdn. Je ne disais pas que cela n’a pas de sens de charger une police custom. Bien sûr que ça en a.



On s’était mal compris. On est d’accord qu’il n’est pas possible de connaître la liste des polices installées.

C’est même moi qui l’ai dit le premier ; ) #22



Si ça n’a pas d’intérêt de tester les x polices qui viennent avec l’OS en revanche tester des polices particulières qui viennent avec certains logiciels (très chers) ça permet : et de créer une empreinte et de dresser potentiellement un profil d’acheteur (CSP-créatif ou vilain pirate collectionneur) sans que l’internaute ait même rempli le moindre formulaire.



Je ne vois pas en quoi il faut “deviner”.

La page citée fait un test de 512 fonts.

Ca prend pas des plombes à tester.

Ca prend pas de place (10 ko pour la liste des font-family)

Ca te fait -potentiellement- 2^512 combinaisons possibles. 

Certes l’ajout/suppression peut modifier le bitArray des font identifiés

Mais si tu combines ça avec les infos leakés par le webgl ça te fait un identifiant relativement robuste.

Que tu peux apparier (et synchroniser) avec les cookies/IP. Et qui peut te permettre -potentiellement- de retrouver le vrai unique id si le client a essayé de se débarasser en virant cookie et en changeant d’IP.

Après c’est sûr que s’il a changé d’OS, d’écran, de carte graphique, qu’il a installé/supprimé des polices et qu’il a changé de langue ça va être compliqué de remonter jusqu’à un id connu.  

      

Fuinril a écrit :



Et au passage ton script comporte des erreurs de syntaxe (ça passe peut être mais jusqu’à preuve du contraire ta ligne 1 renvoie un dom element, pas un tableau de dom element - après jQuery est excessivement crade sur la gestion du typage donc bon…) et ne prend pas en considération 2 police ayant le même empâtement, ni les différences entre la police chargée et la police de l’OS, ni…. bah rien en fait, il suffit que je change les alias de police dans mon navigateur et ton truc plante.



Du coup autant demander directement au DOM la police qu’il applique non ? Ca revient au même, c’est moins compliqué et c’est infiniment plus propre….





ben oui c’est ce que je veux. UN DOM pas besoin d’un tableau.



Je n’ai jamais dit qu’en l’état le script était parfait. C’était pour illustrer le principe.

Oui effectivement si tu trouves 1 police pour laquelle le mot “abcdefg” a EXACTEMENT la même largeur qu’avec la police par défaut il te dira que la police n’est pas installée.



Plante c’est-à-dire ?



Comment tu demandes au DOM la police utilisée ?

Fuinril a écrit :



Tu prends le problème à l’envers.



Le SEUL intérêt du tracking du point de vue de ceux qui financent le marché (c’est à dire les clients, pas les chercheurs) c’est d’être unique et fiable. Et à priori ce n’est pas le cas avec cette technique.



Des techniques avancées de tracking fiables à 80% basées sur l’histo y en a à la pelle. Ici on est largement en dessous, le seul intérêt de la technique c’est d’être crossbrowser mais si c’est pas fiable…. Et même en admettant qu’ils arrivent à 90% de fiabilité c’est par machine et non par utilisateur (exit le cross media - pas de bol en tant que webmarchand j’aimerais bien savoir combien de % de mes clients visitent le site sur mobile pour acheter sur desktop ou l’inverse….), du coup…..



Et je ne parle pas de la technique en elle même que personne ne voudra implémenter : bouffer 80-100% du CPU de l’utilisateur pendant plusieurs secondes au chargement de la page alors qu’on essaye d’accélérer le chargement des scripts fonctionnels, mais bien sûr !



Sinon : les polices dépendent de l’OS (principalement), les plugins la plupart n’en ont pas, le support de webGL dépend du navigateur de la CG et des pilotes, canvas de l’OS et du navigateur (et du CPU mais non pris en compte pour des raisons évidentes). L’audio c’est devenu inutile depuis que toutes les CM implémentent la même carte….



Je le redis : c’est une recherche bidon publiée pour le fric. Le navigateur peut lire des données ! Scandale ! Ca fait jamais que 25 ans qu’on le sait (au bas mot), en attendant ça reste basé sur la fiabilité de l’IP (qui ne l’est pas, donc….)







Tu veux commander sur un site de voyages.

 Tu es déjà allé plusieurs fois sur le site.

Et à chaque fois le prix augmente. Tu changes de browser tu passes par un proxy et magique le prix a diminué. Plus de cookie, adresse IP changée tu es considéré comme un nouvel utilisateur.



 Maintenant si au lieu de stocker simplement cookie et IP on stocke en plus la résolution de l’écran (1920 ? 2560 ?4k ?) les capacités de ta carte graphique (modèle, fréquence,  ram, résolution max de la texture) les polices exotiques liées à la présence d’un logiciel (barcode, notation musicale, tablature…), que crois-tu qu’il va arriver si  tu fais ta recherche ? 

Fuinril a écrit :



Impossible. Le navigateur n’a pas accès à ces données (heureusement). Dans la technique décrite ils passent par des calculs de rendu… et ne peuvent jamais s’affranchir du navigateur. Tu veux utiliser une police non standard comme une notation de musique pour la détection ? Bah amuse toi ! Mais va falloir recoder une partie de firefox qui ne connait pas….





Tiens, un bon exemple : tu as certainement déjà vu des petits losange noirs avec un “?” blanc sur des pages web. C’est dû à des encodages de caractères non standards W3C. C’est parfaitement supporté par ton OS (d’ailleurs la plupart viennent de copier coller, tu as l’apostrophe design word par exemple), parfaitement par un moteur de BDD (du moins un peu évolué), mais ton navigateur sera absolument incapable de lire ce caractère.



Donc amuse toi avec tes polices ;)







http://www.geeks3d.com/webgl/



presencePoliceTypeMyMusic =  div_texte_toto_defaut_fontFamily.getClientBoundingBox() != div_texte_toto_fontTypeMyMusic.getClientBoundingBox()

Effectivement cela semble donner la liste complète avec Edge. Mais pas avec Chromium

 

Fuinril a écrit :



Tu prends (comme Ricard) le problème à l’envers. La question n’est pas de savoir si l’on peut reconnaitre l’internaute, mais la robustesse de la reconnaissance.



Encore une fois, c’est caricatural mais créer une empreinte pour détecter si un internaute particulier a changé de navigateur c’est super simple, il suffit de se baser sur la résolution d’écran. Ce ne va pas t’aider quand tu auras 250k internautes qui ont la même….



C’est tout le problème de leur méthode : ils n’ont aucun moyen novateur d’identification. Après, combiné au reste, certes…. mais la plus grande discrimination est faite via l’IP et les cookies, ça n’est jamais que de l’affinage (genre la paille est jaune, mais j’ai une super méthode qui coute un million à implémenter qui permet de détecter la nuance exacte de jaune….).



Je vais citer juste un petit passage :











Ouha ! Ils font des ratios largeur / hauteur ! Quelle innovation !



Le papier c’est uniquement des conneries du genre ! Que ça berne des marketteux qui pètent plus haut que leur cul, ok, c’est fait pour leur soutirer du fric. Mais des techniques (desquels tu me sembles faire partie) ça m’inquiète….







Non. Je prends le problème par les 2 bouts. Tu es dans une optique panier classique ou on connaît déjà tout de l’internaute. Connaissant les habitudes de consommation de ton mouton ça suffit à ta problématique. Bien.



On remplace ton mouton par un rebelZ. Il sait qu’on se fait traquer à longueur de journée et ayant déjà passé commande pour du matos assez cher il sait qu’on l’a rangé dans la catégorie CSP+ (et même avec l’ID 1234567) et qu’on essaye de lui soutirer un max de pognon en gonflant artificiellement le prix. Il en a marre. Il passe par un proxy, vire ses cookies et à lui le shopping à moindre prix.

Ce manque à gagner est insupportable au magasin virtuel qui se trouve devant un problème : il doit afficher des prix bas pour attirer des nouveaux clients mais il doit soutirer un max de pognon aux anciens. Une fois qu’il a affiché un prix il doit s’y tenir, les grugeurs qui ont passé à travers les mailles du filet en virant leurs cookies profite donc d’un prix outrageusement bas et ne sont démasqués qu’au moment de payer.

Il faudrait donc pouvoir identifier ces mauvais payeurs même en l’absence de cookies.



Comment faire ?



En plus des cookies et IP on va essayer de stocker des informations que l’internaute ne pourra pas camoufler. Comme il ne donnera pas d’infos sur lui on va essayer d’identifier sa machine.

Notre internaute se connecte au grand jour, on stocke ip on met à jour les cookies et on calcule une empreinte : on stocke de manière préférentielle les informations sur lesquelles il a peu de prise (carte graphique), qu’il ne pensera pas forcément à changer (quelques fontes bien choisies) et on finit par le tout venant (user agent…)

On conserve l’information que l’utilisateur 1234567 a consulté la page X ou le produit était à 100 euros (au lieu de 99 pour un primovisiteur)

La politique maison c’est d’augmenter les prix de 1 euro à chaque consultation pour faire croire à une raréfaction du produit.

L’internaute se déconnecte(proxy,cookie etc) et revient sur la page s’attendant à la trouver à 99euros.

Pas de bol elle est à 101 euros. Pourquoi ?

Recalcul d’empreinte on identifie que c’est -très très très très probablement -la même machine (et donc le même utilisateur) qui s’est connectée il y a 10 minutes même si elle a changé d’IP (et même si le produit a été consulté entre temps par qq1 d’autre).

Il se déconnecte (proxy,cookies) il change une police et se reconnecte. 102 euros. Pourquoi ? la carte graphique est la même, le user-agent est le même, la langue est la même, la résolution écran est la même et sur les 32 polices (=bits) stockées seul un a changé. Bref on t’a reconnu.



C’est un peu le principe de akinator qui peut retrouver un objethttp://fr.akinator.com/ même si tu lui mens (un peu) à condition que le nombre de questions soit suffisamment important