JavaScript iz preglednika pretvara ritam diska u novi trag za praćenje
Web signali mogu otkriti više o uređaju nego što korisnik očekuje.📷 AI-generated image / TECH&SPACE
- ★Ars Technica navodi da se prepoznatljiva SSD aktivnost može mjeriti u pregledniku pomoću jednostavnog JavaScripta.
- ★Rizik je privatnosni: web stranica može dobiti signal o ponašanju uređaja bez klasičnog kolačića ili instaliranog softvera.
- ★Takva tehnika mogla bi potaknuti promjene u zaštiti preglednika, ograničenjima mjerenja i pravilima protiv fingerprintinga.
Za web sigurnost to je problem zato što preglednik godinama pokušava biti stroga granica. Stranica smije pokrenuti skriptu, prikazati sadržaj, spremiti ograničene podatke i razgovarati s dopuštenim API-jima. Ne bi smjela dobiti neuredan bočni kanal prema onome što se događa ispod haube. Ako se kroz mjerenje vremena i učinka može uhvatiti trag rada SSD-a, onda web okruženje odjednom ima još jedan oblik fingerprintinga: ne ime korisnika, nego ponašajni otisak stroja.
Tehnički detalj koji ovu priču čini važnom jest upravo običnost alata. JavaScript je standardni jezik weba, a ne sumnjivi dodatak. Moderni preglednici zato moraju stalno balansirati između korisnih funkcija, performansi i zaštite od zloupotrebe. Svaki dovoljno precizan mjerni kanal može postati senzor, čak i kada nije dizajniran kao senzor.
Ars Technica opisuje novu privatnosnu tehniku u kojoj običan JavaScript mjeri signale rada SSD-a iz preglednika.
SSD aktivnost postaje mjerljivi trag u privatnosnom modelu preglednika.📷 AI-generated image / TECH&SPACE
Ovdje treba biti precizan: iz dostavljenog konteksta ne proizlazi da web stranica može čitati datoteke, kopirati disk ili vidjeti sadržaj SSD-a. Problem je drukčiji i podmukliji. Signal aktivnosti može pomoći u razlikovanju uređaja, zaključivanju obrasca ponašanja ili povezivanju sesija bez oslanjanja na najvidljivije tehnike praćenja. To je poznata logika fingerprintinga: dovoljno sitnih tragova, skupljenih zajedno, može postati identitet.
Zato je tema vjerojatno važnija za proizvođače preglednika nego za prosječnog korisnika koji traži jedan prekidač u postavkama. Obrane protiv ovakvih napada često uključuju grublje tajmere, izolaciju resursa, ograničavanje promatranja performansi i strožu kontrolu API-ja koji webu daju uvid u stanje uređaja. MDN-ova dokumentacija o Web Storage API-ju pokazuje koliko je web već duboko vezan uz lokalno spremanje podataka, dok W3C-ov rad na Storage standardu podsjeća da se i najnormalnije web funkcije moraju promatrati kroz sigurnosni model.
Regulatorni dio priče također nije trivijalan. Ako se praćenje seli s vidljivih identifikatora na mjerljive fizičke ili performansne tragove uređaja, tada pravila o pristanku i transparentnosti kasne za praksom. Privacy Sandbox dokumentacija već pokazuje koliko je industriji teško zamijeniti stare mehanizme oglašavanja bez otvaranja novih kanala praćenja. SSD bočni kanal iz preglednika uklapa se baš u tu napetost: web želi biti brz i bogat, ali svaka precizna informacija o lokalnom sustavu može postati dokaz da je korisnik ponovno prepoznat.
