Felhasználónév: Jelszó:
Regisztráció
Mernokport.hu
Mérnökkapu.hu Szakma Lejár a sütialapú nyomkövetés kora?
2012-04-05 09:42

Lejár a sütialapú nyomkövetés kora?

|

Új számítógép-ujjlenyomat tesztet és anti-ujjlenyomat védekezési alkalmazást mutattak be a Budapesti Műszaki és Gazdaságtudományi Egyetem Informatika épületében 2012. április 4-én a BME Híradástechnikai Tanszékének fiatal kutatói. A webezőket számítógépük ujjlenyomata könnyedén azonosítja – legalábbis erre a következtetésre jutottak a kutatók.

A weboldalaknak elemi – pontosabban üzleti – érdeke, hogy látogatóikat azonosítsák és tevékenységüket kövessék, például számokkal történő azonosítással. Az azonosítókat eddig leginkább az ún. sütikben tárolták a látogató gépén, de a felhasználók tudatosságának növekedése és az Európai Unió sütikezelési szabályozása következtében ez egyre nehezebbé válik. Ezért a webes üzleti szféra szereplői már elkezdték keresni az újabb lehetőségeket, ilyenek például az ún. ujjlenyomat alapú követési technikák: ezeknek már kereskedelmi alkalmazására is van példa. E módszerek lényege, hogy a látogatóhoz egy ujjlenyomatot rendelnek számítógépes rendszerének főbb jellemzői, mint például a képernyőfelbontás, vagy az időzóna alapján.

 

 

A tanszéken dolgozó szakemberek kutatásának egyik célja a modern böngészők gyengeségeinek demonstrálása, mivel eddigi eredményeik alapján olyan ujjlenyomat technikát sikerült kifejleszteniük, amely magát a látogató rendszerét képes sikeresen azonosítani, akkor is, ha az illető akár több böngészőt használ egyszerre, vagy privát böngészési móddal szeretné elrejteni magát – az új technikával ugyanúgy azonosítható marad. A kutatás következő fázisában a kifejlesztett technika egy publikus weboldalon válik széleskörűen tesztelhetővé. A tesztelésnek kettős célja van: egyrészt az érdeklődők meggyőződhetnek a probléma valódiságáról, másrészt a webhely ujjlenyomatok gyűjtésére is szolgál a további vizsgálatokhoz.

A kísérlet hivatalosan a BME Informatikai épületében április 4-én 11 órakor rendezett sajtótájékoztatón indul útjára. A helyszínen a Híradástechnikai Tanszék munkatársai bemutatják a kísérleti weboldalt, majd azt a saját fejlesztésű, kategóriájában egyedülálló anti-ujjlenyomat védekezési alkalmazást, amelynek segítségével az ujjlenyomat-készítés nehezebbé válik, de a böngészési élmény nem csorbul.

A bemutató keretében a vendégeket Gulyás Gábor (BME HIT) köszöntötte, a nemzetközi helyzet dr. Székely Iván (BME ETT) tekintette át.
Boda Károly, Gulyás Gábor (BME HIT) az élő demonstrációban bizonyították az új ujjlenyomat teszt böngésző-függetlenségét, amit az érdeklődő kollégák a helyszínen ki is próbálhattak
Bemutatták a saját készítésű védekezési megoldásunkat, és demonstráljuk hatékonyságát több, ujjlenyomat technikát alkalmazó weboldalon (Boda Károly)

 

Részletes tájékoztató

 

 Digitális ujjlenyomat a weben – beszámoló a nyilvános bemutató és sajtótájékoztató eseményről és háttéranyag a kutatásról


A webezőket számítógépük ujjlenyomata könnyedén azonosítja – legalábbis erre a következtetésre jutottak a BME Híradástechnikai Tanszékének fiatal kutatói.


Sajtóeseményen mutatták be az új ujjlenyomat technikát
A BME szakemberei 2012. április 4-én nyilvános bemutatón és sajtóeseményen mutattak be egy új technikát, ami a hirdetők és a webes profilírozók új – vitatható legalitású – eszköze lehet a felhasználók tevékenységének nyomon követésére. A hallgatók előtt is nyitott, majdnem teltházas rendezvény a BME lágymányosi kampuszán, az Informatika épület dísztermében került megtartásra. A program első részében Székely Iván, az Elektronikai Technológia Tanszék docense ismertette a jelenség mögött álló folyamatokat, illetve a nemzetközi helyzet aktualitásairól is beszélt, majd Gulyás Gábor, a Híradástechnikai Tanszék (HIT) óraadója mutatta be a webes nyomkövetési technikák működését illusztrációk, animációk segítségével.


A sajtóesemény második felében a gyakorlati demonstráción volt a hangsúly. Boda Károly,  a HIT hallgatója, és Gulyás Gábor először bemutatták a közismert, de korlátozott használhatóságú Panopticlick ujjlenyomat projektet, majd pedig a BME fiatal kutatói által kifejlesztett új technikát. A kísérlet látványosan sikerült; a közönség egy második kivetítőn is követhette az eseményeket, ahol egy ujjlenyomat falon voltak láthatóak a folyamatosan beérkező események. Miután a helyszínre a legtöbb látogató laptoppal érkezett, az előadók demonstrációjával párhuzamosan a hallgatóság soraiból is elkezdtek beérkezni az ujjlenyomat tesztek. A fiatal kutatók demonstrálták, hogy az ujjlenyomat teszt több böngészőben is képes volt azonosítani a számítógépet, még akár privát böngészési módban is.


A kutatás célja nem a nyomkövetők segítése, hanem a nagyközönség figyelmének felhívása az újszerű, többnyire ismeretlen problémára, illetve a módszer működőképességének tudományos igazolása. További célja a kutatásnak az, hogy felhívja a böngészők gyártóinak figyelmét erre a biztonsági résre, illetve magánélet-sértő lehetőségre.
A kutatók nem elégedtek meg a veszélyek ismertetésével, hanem egyúttal egy új koncepción alapuló „anti-ujjlenyomat” védekezési megoldást is bemutattak. Az ún. proof-of-concept program segítségével azt is demonstrálták, hogy ha a böngésző alkalmazások nem engedélyeznék az ujjlenyomatokhoz szükséges információk lekérdezését, a böngészési élmény akkor sem csorbulna.


A projekt honlapján  bárki kipróbálhatja az ujjlenyomat tesztet saját számítógépén, és ugyanitt a védekezési alkalmazás is már innen letölthető.


Webes nyomkövetés és ujjlenyomatok
A weboldalaknak elemi – pontosabban üzleti – érdeke, hogy látogatóikat azonosítsák és tevékenységüket kövessék, például számokkal történő azonosítással. Az azonosítókat eddig leginkább az ún. sütikben tárolták a látogató gépén, de a felhasználók tudatosságának növekedése és az Európai Unió 2009-es ún. „süti-irányelv” szabályozása következtében ez egyre nehezebbé válik (ennek értelmében a felhasználói hozzájárulás nélkül beállított cookie-k törvénysértőek). Ezért a webes üzleti szféra szereplői már elkezdték keresni az újabb lehetőségeket, ilyenek például az ún. ujjlenyomat alapú követési technikák, melyeknek már nyilvánosan hirdetett kereskedelmi alkalmazására is van példa 2012. januárja óta. E módszerek lényege, hogy a látogatóhoz egy ujjlenyomatot rendelnek számítógépes rendszerének főbb jellemzői, mint például a képernyőfelbontás, időzóna, vagy az elérhető betűtípusok alapján.

 

Az első nagyszabású ujjlenyomat kísérlet a Panopticlick  volt. Ez a kísérlet azt vizsgálta, hogy a látogató böngészője egyedi-e egy kellően nagy adatbázisban az azt leíró információk alapján. Ez a kísérlet inspirálta a Nemzetközi PET Portál és Blog  kutatóit, hogy a Rendszerujjlenyomat kísérletben  megvizsgálják, hogy az ujjlenyomat-információk segítségével böngésző- és plugin-független módon is azonosíthatóak-e a felhasználók. Ez azt jelenti, hogy függetlenül a Java vagy Flash elérhetőségétől, ugyanúgy azonosítani lehet a felhasználó számítógépét, bármelyik böngészővel is látogat el egy oldalra. A kísérlet során majdnem 1000 ujjlenyomat gyűlt össze, amivel sikerült igazolni  az egyik fő alapelvet: a felhasználókat – legalábbis ilyen számosság mellett – böngészőfüggetlen módon, egyedileg azonosítja a feltelepített betűkészletek jelenléte Windows és OS X rendszerek alatt. Azonban kevés olyan ujjlenyomat volt, amelyek egy felhasználó, különböző böngészőben lefuttatott tesztje alapján jöttek létre, és ez indokolta az új teszt elindítását.


Böngészőfüggetlen ujjlenyomat teszt 2.0
Az új teszt alapelve változatlan, és fő információforrásának jelenleg is a számítógépre telepített betűkészleteket tekinti, amelyet plugin-független módon ellenőriz, csak JavaScript alkalmazásával. A betűkészlet egyediségét prózai okokra lehet visszavezetni: ahogyan számítógépünkre feltelepített programok garmadája is egyedi konstellációt alkot, úgy az elérhető betűkészletek is, hiszen ezek listáját legtöbbször a feltelepített programok bővítik. Emellett további információforrásokat is használ az új ujjlenyomat, mint például a képernyőfelbontás, vagy az időzóna, de a betűkészlet mellett szintén az egyik alapvető információforrás lehet a böngészőkre telepített kiegészítők (pluginok) listája, de az új kísérlet ezt nem használja.


Az új ujjlenyomat fő előnye a tárolási elven működő technikákkal szemben, hogy nem igényel adattárolást, és privát böngészési módban is működik, sőt, akár kifejezetten a követés ellenszereként bevetett anonim böngészőkben is. A tesztet az érdeklődők is elvégezhetik saját számítógépükön a kísérlet hivatalos weboldalán , amelynek célja kettős: egyrészt az érdeklődők meggyőződhetnek a probléma valódiságáról, másrészt az ennek során generált ujjlenyomatok a további vizsgálatok sikeréhez járulnak hozzá.


A FireGloves nem hagy nyomot
A kísérletet hivatalosan is elindító sajtóeseményen került bemutatásra egy kategóriájában egyedülálló anti-ujjlenyomat védekezési alkalmazás, amelynek segítségével az ujjlenyomat-készítés nehezebbé válik, de a böngészési élmény nem csorbul. Az alkalmazás egy Firefox plugin, amely lehetővé teszi a felhasználóknak, hogy befolyásolhassák a számítógépükről lekérdezett (az ujjlenyomatoknál használt) információk tartalmát, azaz például meghatározhatják, hogy a weboldalak mindig egy adott ál-felbontás értéket detektáljanak, vagy pedig minden lekérdezésnél véletlen értékeket kapjanak. A sajtóeseményen a kutatók demonstrálták, hogy az ilyen jellegű működés befolyásolás mellett a weboldalak többsége továbbra is látogatható marad (mint például a Facebook, vagy a CNN hírportál), de az ujjlenyomatok nem működnek, illetve működésük a felhasználó szempontjából nézve kedvezően befolyásolható. Az új kiegészítő alkalmazása mellett az ACID3 teszt  is sikeresen lefutott, amely kifejezetten a web böngészők ilyen jellegű funkcionalitásának tesztelésére szolgál.


Az új kiegészítő és privát böngészési mód együttes használata mellett a Panopticlick nem tudott információt lekérdezni, és például a véletlen adatokat közlő random mód esetén a böngészőfüggetlen ujjlenyomat tesztnél lekérdezésenként eltérő ujjlenyomat készült. Az esemény végén a szakemberek hangsúlyozták, hogy a FireGloves csak a nyomkövetés egy aspektusa ellen nyújt védelmet, és így a teljes értékű védekezéshez több kiegészítő párhuzamos használata ajánlott.
Az új fejlesztésű kiegészítő ugyan átmenetileg védelmet ad az ujjlenyomat technikákkal szemben, azonban a FireGloves célja ezen túlmutat: a BME kutatói szeretnék elérni, hogy a böngészőgyártók is felfigyeljenek a problémára, és a böngészőkből eltávolítsák azokat a funkciókat, amelyek normális működését a FireGloves is befolyásolja, így hosszú távon is megoldást nyújtva a problémára.

 Gulyás Gábor (BME HIT)

 

 

További információ: gulyasg@hit.bme.hu

 

 

 

Nyomtatás
Hozzászólás beküldéséhez lépjen be felhasználónevével. Amennyiben még nem regisztrált felhasználó, itt regisztrálhat!

Bővebben kifejtené véleményét? Írását küldje el szerkesztőségünk e-mail címére.

Ehhez az íráshoz még nem érkezett hozzászólás.
További események »
Rovat legfrissebb hírei
  • Francia többsávos, koncentrikus körforgalmak »
  • Különböző úttípusok egymást követő sorozata egyazon úton »
  • Sávszámok és sebességek a holland A2 autópályán »
  • Újrapozicionálás vagy a káosz elmélyítése? »
  • Tisza és árvizei »
  • A tervezési sebességről a szolgáltatási színvonalra helyezzük át a súlypontot »
  • Az elkerülő utakért, a környezeti kapacitásért »
  • Az autómentes Tisza-partért »
  • Egy párbeszéd kezdete? »
  • Nem kellett volna inkább disztingválni? »
  • A vízgazdálkodás XXI. századi stratégiája »
  • Vélemény a Gyorsút nevű ÚME tervezetről »
  • Hajókázna-e ma Vedres István a Tiszán? »
  • A Szeged–Makó tram-train »
  • A szegedi Déli-hídról »
  • Az építő és a romboló Tisza »
  • Szegedi árapasztó csatorna és az első hivatalos, elutasító vélemény »
  • Dán úttípusok »
  • A tényekhez igazodó úthálózat-fejlesztésért IV. »
  • A tényekhez igazodó úthálózat-fejlesztésért III. »
  • Eseménynaptár
     « 
     » 
    H K SZ CS P SZo V
    30 31 01 02 03 04 05
    06 07 08 09 10 11 12
    13 14 15 16 17 18 19
    20 21 22 23 24 25 26
    27 28 29 30 01 02
    Legfrissebb képtárak

    Célkeresztben a vízgazdálkdás

    A Vidékfejlesztési Minisztérium, a Magyar Hidrológiai Társaság, az Agrárkamara, és a Magyar Mérnöki Kamara Vízgazdálkodási és Vízépítési Tagozata hívta a szakembereket a vízgazdálkodás változásait és korszerűsítési folyamatait tárgyaló konferenciára.