Ошеломляющая новость, иконки favicon теперь используют в роле supercookies. Теперь от них укрыться стандартными методами не получится. Буквально на днях немецкий разработчик ПО Йонас Штреле сделал публикацию в своем аккаунте GitHub, в которой он описал метод использования на сайтах иконки favicon в роле supercookies. В данном методе, самой отличительной чертой такого вида cookies является невосприимчивость к VPN, режиму инкогнито и прочие.

Кто они, эти supercookies и favicon's?

Supercookie - это тип файла cookie для отслеживания, который вставляется в заголовок HTTP поставщиком интернет-услуг (ISP) для сбора данных об истории поведения и привычках пользователя в интернете.

Иконка Favicon - это значок веб-сайта или веб-страницы во вкладке перед названием страницы, а также представлен в качестве картинки рядом с закладкой, во вкладках и в других элементах интерфейса.

Как на деле работает этот хитрый метод немца Штреле?

Используя такие иконки, любому пользователю сайта присваивается уникальный идентификатор, который очень сложно стереть пользователю своими силами. Немец Штреле объясняет возможную модель угроз, которая позволяет назначать уникальный идентификатор каждому браузеру, чтобы делать выводы о пользователе и иметь возможность идентифицировать этого пользователя даже в случае применения мер защиты, таких как использование VPN, удаление файлов cookie, удаление кеша браузера или манипулирование информацией заголовка клиента.

Веб-сервер посылает запрос, загрузил ли браузер значок уже или нет: поэтому, когда браузер запрашивает веб-страницу, если значок не находится в локальном F-Cache, выполняется другой запрос для значка. Если значок уже существует в F-Cache, дальнейший запрос не отправляется. Комбинируя состояние доставленных и недоставленных значков для определенных URL-адресов для браузера, клиенту может быть присвоен уникальный шаблон (идентификационный номер). Когда веб-сайт перезагружается, веб-сервер может восстановить идентификационный номер с помощью сетевых запросов, отправленных клиентом для отсутствующих значков, и таким образом идентифицировать браузер пользователя.

А именно сохраняются данные о пользователе, где был пользователь и что делал, а это уже полноценный дополнительный инструмент для слежки за ним при помощи Favicon.