Google Chrome не спасает от слежки даже без cookies

Google Chrome не спасает от слежки даже без cookies

Google Chrome не спасает от слежки даже без cookies

Эпоха, когда приватность в браузере сводилась к вопросу «включены ли cookies», окончательно ушла в прошлое. Новый технический разбор проблем конфиденциальности в Google Chrome показывает: современные методы отслеживания стали намного продуманнее.

Теперь сайтам уже не обязательно полагаться только на cookies, они могут собирать цифровой отпечаток пользователя с помощью разных трюков с хранилищами браузера и даже утечек через HTTP-заголовки.

Цифровой отпечаток — это способ собрать множество мелких технических особенностей браузера и устройства, а затем сложить их в довольно уникальный профиль.

Даже если пользователь очистит cookies, такой «отпечаток» нередко всё равно остаётся устойчивым и позволяет распознать юзера повторно.

Как отмечается в материале, исследование 2025 года показало, что canvas fingerprinting использовался на 12,7% из 20 тысяч самых популярных сайтов, попавших в выборку. Это уже вполне рабочая и распространённая практика, а не редкий эксперимент для узкого круга специалистов.

У Chrome, конечно, есть определённые попытки сократить объём пассивно собираемых данных. Например, браузер ограничил часть информации в классической строке User-Agent и перенёс больше сведений в механизм User-Agent Client Hints. Но полностью проблема от этого не исчезла. Сайты по-прежнему могут запрашивать у браузера подробные сведения через navigator.userAgentData.getHighEntropyValues().

В результате им доступны такие детали, как архитектура устройства, разрядность, версия платформы и полная версия браузера, а всё это отлично усиливает точность цифрового отпечатка.

Отдельная история — сигналы, которые приходят из графических и мультимедийных API. Самыми полезными для отслеживания остаются canvas, WebGL и audio processing. Всё дело в том, что разные устройства и системы чуть-чуть по-разному рисуют изображения и обрабатывают звук. Для обычного пользователя эти различия незаметны, но они помогают отличить один компьютер от другого.

И это ещё не всё. Угрозы для приватности скрываются не только в JavaScript API. Даже HTTP-заголовки могут выдавать лишнюю информацию или помогать отслеживать пользователя между визитами. В качестве примера в материале приводится уязвимость CVE-2025-4664 в Chrome: она была связана с обработкой заголовка Link и позволяла навязать слишком мягкую политику referrer, из-за чего в межсайтовых запросах могли утекать полные строки запросов. А это уже потенциальный путь к раскрытию токенов. Позже Google закрыла проблему в Chrome 136.

Отдельно авторы материала напоминают и о больших переменах в политике Google по cookies. Долгий план по отказу от сторонних «печенек» в Chrome фактически был свёрнут ещё в июле 2024 года, а более широкий проект Privacy Sandbox затем вообще прекратили развивать в 2025 году на фоне слабого принятия рынком и критики со стороны экосистемы.

Не светите ключами в соцсетях: по фото можно напечатать рабочий дубликат

Фотография с ключами в руке может оказаться не такой милой, как кажется. Специалист по кибербезопасности Эван Оттингер показал, что по обычному снимку ключа из соцсетей можно сделать рабочую копию, для этого не нужна лаборатория злодея из кино.

Оттингер — типичный ред тимер, по заказу компаний имитирует реальные атаки, проверяет защиту сетей и иногда даже физическую безопасность зданий.

По его словам, люди постоянно выкладывают фото ключей — от обычных пользователей до знаменитостей. А зря.

Если на фотографии хорошо виден профиль и нарезка ключа, их можно проанализировать, восстановить геометрию и изготовить копию. Оттингер использовал открытые инструменты для декодирования ключей, графический редактор и 3D-принтер. В итоге эксперимент сработал: пластиковый ключ, напечатанный по данным со снимка, оказался пригоден для открытия замка.

 

Сам исследователь признаёт, что сначала тоже сомневался: «Да ладно, не может же это реально работать?» Оказалось, что может. Более того, для подготовленного человека весь путь от скачанного фото до готового ключа может занять около 10-15 минут.

Главная проблема в том, что такой способ не похож на взлом в привычном смысле. В отличие от отмычек, использование копии ключа не оставляет очевидных следов на замке. Для прохожих всё выглядит нормально: человек просто открыл дверь своим ключом. Именно такие сценарии, по словам Оттингера, и заставляют специалистов по безопасности нервничать.

Ключи нужно воспринимать как пароли. Их не показывают крупным планом, не выкладывают в сторис и не держат перед камерой ради красивого поста. Если очень хочется поделиться радостью о новом доме, лучше закрыть зубцы ключа рукой, размыть их или вообще сфотографировать брелок.

Оттингер также советует не полагаться только на один замок. Камеры, сигнализация и другие уровни защиты делают дом менее удобной целью.

RSS: Новости на портале Anti-Malware.ru