¿Las huellas dactilares de Canvas identifican el sistema operativo?

Navega tus respuestas
1

Recientemente leí this artículo, sobre cómo un periodista fue hackeado. Ella describe cómo usaron una técnica de "huellas digitales" para identificar su sistema operativo. La forma en que utilizan una imagen de un píxel, suena como la técnica de huellas dactilares de lienzo.

Según lo que he leído sobre esto, entiendo que las huellas dactilares de lienzo le dan a su sistema operativo una huella dactilar única que puede identificar y seguir en la web. Ni siquiera recuerdo haber podido identificar tu sistema operativo. ¿O me he perdido este importante detalle? +

    
pregunta JohnnyElite 10.08.2015 - 21:11
fuente

3 respuestas

2

Las otras dos respuestas son buenas, pero no abordan explícitamente un punto crítico (lo que considero que es): lo que el artículo menciona es no huellas dactilares (ni el autor declara que sí lo es). huellas dactilares de lona)!

La huella digital del lienzo se describe en este documento . Del resumen:

  

Exhibimos una nueva huella digital del sistema basada en la fuente del navegador   y la representación de WebGL. Para obtener esta huella digital, un sitio web.   representa el texto y las escenas WebGL en un elemento <canvas> , luego   Examina los píxeles producidos. Diferentes sistemas producen   Salida diferente, y por lo tanto diferentes huellas dactilares. Incluso   Pruebas muy simples, como la representación de una sola oración en una   Fuente del sistema ampliamente distribuida: produce una variación sorprendente.

Creo que tienes una idea errónea acerca de las huellas dactilares de lienzo dada tu declaración:

  

Según lo que he leído sobre esto, entiendo que las huellas dactilares del lienzo le dan a su sistema operativo una huella dactilar única para que pueda ser identificado y seguido en la web.

El sistema operativo juega un factor en la determinación de la huella digital de un lienzo, pero con tantos otros factores, como la tarjeta gráfica, los controladores de gráficos, la pantalla, etc., probablemente no sería posible deducir el sistema operativo de la huella digital del lienzo (ni es ese el punto).

La técnica utilizada en el artículo, como se indica, es:

  

Normalmente, cuando un correo electrónico contiene una imagen, el cliente de correo electrónico del receptor tiene que ponerse en contacto con el servidor de correo electrónico del remitente para 'buscar' la imagen.

Un 'fetch' es una solicitud GET, que tiene un agente de usuario como encabezado, y un agente de usuario indica el sistema operativo del cliente.

    
respondido por el puzzlepalace 11.08.2015 - 11:20
fuente
1

Para citar la parte relevante del artículo:

  

No obstante, más tarde descubrí que el correo electrónico contenía una imagen diminuta (solo un píxel por píxel). Este fue el primer intento de los hackers de "huella digital" de mi computadora.

Esto parece simplemente incrustar una imagen ubicada en el servidor de los atacantes en un correo con la esperanza de que el cliente de correo realice una solicitud HTTP para recuperar esta imagen. Dentro de la solicitud HTTP, el cliente enviará un encabezado de Usuario-Agente que generalmente contiene mucha información, incluido el navegador y el sistema operativo utilizados y tal vez también información sobre los complementos instalados. Mi conjetura es que la toma de huellas dactilares se hizo simplemente mirando este encabezado User-Agent.

Aquí hay algunos ejemplos de encabezados de Usuario-Agente contenidos en la solicitud, para que pueda ver cuántos detalles se encuentran en una solicitud HTTP simple y que no es necesaria una huella compleja de huellas digitales:

Chrome en Linux: 

Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/44.0.2403.107 Safari/537.36

Chrome en Windows: 

Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/44.0.2403.130 Safari/537.36

Firefox en Windows: 

Mozilla/5.0 (Windows NT 6.1; WOW64; rv:39.0) Gecko/20100101 Firefox/39.0

Internet Explorer 11 en Windows: 

Mozilla/5.0 (Windows NT 6.3; Win64; x64; Trident/7.0; rv:11.0) like Gecko

Safari en Mac OS X: 

Mozilla/5.0 (Macintosh; Intel Mac OS X 10_8_2) AppleWebKit/536.26.17 (KHTML, like Gecko) Version/6.0.2 Safari/536.26.17

Para obtener más información, puede consultar enlace

    
respondido por el Steffen Ullrich 10.08.2015 - 21:20
fuente
0
  

¿La huella dactilar del lienzo identifica el sistema operativo?

La técnica se basa en el hecho de que la misma imagen de lienzo se puede representar de manera diferente en diferentes máquinas dependiendo del hardware y sistema operativo disponibles.

Para mostrar texto e imágenes, el navegador los dibuja en el sistema operativo y el hardware del host. Para las imágenes, la huella digital del lienzo utiliza el controlador de gráficos y el modelo GPU para gráficos 3D y posicionamiento de gráficos 2D. Para el texto, el navegador utiliza el código de representación de fuente del sistema operativo para mostrarlo.

  

Mi comprensión de lo que he leído sobre esto es ese lienzo   la huella dactilar le da a su sistema operativo una huella dactilar única de usted puede ser   identificado

Cuando visitas un sitio web, representa el texto y las escenas WebGL en un elemento único <canvas> que identifica tu máquina.

El charateristis mencionado anteriormente puede usarse para objetivos infames:

  1. Lasfuenteswebsepuedenutilizarpararealizarunaejecuciónremotadecódigo,comopuedeleerdesde aquí :
  

Esta actualización de seguridad resuelve una vulnerabilidad divulgada públicamente en   Microsoft Windows. La vulnerabilidad podría permitir la ejecución remota de código.   Si un usuario abre un documento especialmente diseñado o visita un sitio web malicioso.   página que incrusta archivos de fuentes TrueType.

    
respondido por el user45139 10.08.2015 - 21:42
fuente

Lea otras preguntas en las etiquetas

La mejor manera de garantizar la integridad de los datos cifrados que se guardan en un lugar público Confidencialidad e integridad