Приголомшлива новина, іконки favicon тепер використовують в ролі supercookies. Тепер від них сховатися стандартними методами не вийде. Буквально на днях німецький розробник ПО Йонас Штреле зробив публікацію в своєму акаунті GitHub, в якій описав метод використання на сайтах іконки favicon в ролі supercookies. В даному методі, відмінною рисою такого виду cookies є несприйнятливість до VPN, режиму інкогніто і інших.

Хто вони, ці supercookies та favicon's?

Supercookie - це тип файлу cookie для відстеження, який вставляється в заголовок HTTP постачальником інтернет-послуг (ISP) для збору даних про історію поведінки і звички користувача в інтернеті.

Іконка Favicon - це значок веб-сайту або веб-сторінки у вкладці перед назвою сторінки, а також представлений в якості картинки поруч із закладкою, у вкладках і в інших елементах інтерфейсу.

Як на ділі працює цей хитрий метод німця Штреле?

Використовуючи такі іконки, будь-якому користувачеві сайту присвоюється унікальний ідентифікатор, який дуже складно стерти користувачеві своїми силами. Німець Штреле пояснює можливу модель загроз, яка дозволяє призначати унікальний ідентифікатор кожному браузеру, щоб робити висновки про користувача і мати можливість ідентифікувати цього користувача навіть в разі застосування заходів захисту, таких як використання VPN, видалення файлів cookie, видалення кеша браузера або маніпулювання інформацією заголовка клієнта.

Веб-сервер надсилає запит, завантажив чи браузер значок вже чи ні: тому, коли браузер запитує веб-сторінку, якщо значок не перебуває у локальному F-кеші, виконується інший запит для значка. Якщо значок вже існує в F-Cache, подальший запит не надсилається. Комбінуючи стан доставлених і недоставлених значків для певних URL-адрес для браузера, клієнту може бути присвоєно унікальний шаблон (ідентифікаційний номер). Коли веб-сайт перезавантажується, веб-сервер може відновити ідентифікаційний номер за допомогою мережевих запитів, надісланих клієнтом для відсутніх значків, і таким чином ідентифікувати браузер користувача.

А саме зберігаються дані про користувача, де був користувач і що робив, а це вже повноцінний додатковий інструмент для стеження за ним, за допомогою Favicon.