2016-05-20 From Browser Fingerprint to SuperCookie 追蹤單一裝置的技術與 AdNetwork 應用

1. To
SuperCookie
追蹤單一裝置的技術
與 AdNetwork 應用
Jazz Wang
From
Browser
Fingerprint

2. Agenda
研究源起
Browser Fingerprint 概念
Browser Fingerprint 實作
應用實例：Verizon的 ‘Supercookie‘ 追蹤碼
相關技術：
EverCookie , ZombieCookie

3. 研究源起 – Why
電商精準推薦系統
登入前埋一組 cookie 內含隨機產生的 RUID 用來追蹤搜尋、
瀏覽、購物車操作
登入後將 RUID 與唯一識別 UUID 做連結
使用協同過濾演算法進行商品推薦
問題：
若使用者經常清 cookie，需要額外的 MapReduce Job 來
關聯 N 組 RUID 到 1 組 UUID
RUID201403190735
RUID201403192058
….
RUID201404051321
UUID_Jazz

4. 思路：有沒有方法不用 cookie ?
有無方法可以識別同一台電腦的同一個瀏覽器？
方便直接使用單一個 Browser UID 來追蹤
當時有注意到 Firefox 的 “Do Not Track” 支援

5. 偶遇 EEF 的 PANOPTICLICK 專案
https://panopticlick.eff.org

6. Browser Fingerprint 的概念
透過蒐集瀏覽器的各項資訊，舉凡：
來源 IP、機器型號、作業系統、 Agent 名稱
安裝的 Extension 與 Plugin
安裝的 Font 清單
從熱力學的「熵（Entropy）」角度來看，
有很高的機率具備「唯一性」
歷史：https://firstpartysimulator.net/about
2010 年 EEF 開始 Panopticlick 的研究專案，
想瞭解「唯一性」的機率到底有多高？
2015 年 EEF 發現縱使很多人裝了 adblock、ghosty等
還是有 94% 的機率是具備「唯一性」的。

7. 越來越變態的 Device Fingerprint
https://en.wikipedia.org/wiki/Device_fingerprint
http://www.darkwavetech.com/fingerprint/fingerprint_code.html

8. Browser Fingerprint 實作
https://github.com/Valve/fingerprintjs (2013~2014)
https://github.com/Valve/fingerprintjs2 (2015~Now)

9. 這跟 RTB 有啥關係 ??
http://www.theverge.com/2016/3/7/11173010/verizon-supercookie-fine-1-3-million-fcc
2016-03-07

10. http://qz.com/634294/a-short-guide-to-supercookies-whether-youre-being-
tracked-and-how-to-opt-out/

11. http://qz.com/634294/a-short-guide-to-supercookies-whether-youre-being-
tracked-and-how-to-opt-out/

12. http://www.makeuseof.com/tag/what-are-supercookies-and-why-are-they-
dangerous/

13. 相關技術
Zombie Cookie
https://en.wikipedia.org/wiki/Zombie_cookie
EverCookie
http://www.samy.pl/evercookie/
https://github.com/samyk/evercookie

14. 很難砍掉的 EverCookie