13/05/19
Исследователь в области безопасности Дэви Вибирал (Davy Wybiral) продемонстрировал новый метод, с помощью которого сайты могут отслеживать перемещение курсора мыши посетителей, используя исключительно HTML и CSS. Более того, данный метод позволяет обойти все известные технологии защиты от отслеживания.
На сегодняшний день большинство методов отслеживания задействуют код JavaScript, загружаемый на сайты или встраиваемый в рекламные объявления. Таким образом сайты и рекламные компании могут отслеживать, какие ресурсы посещают пользователи, и другое их поведение в Сети. Защититься от подобных скриптов можно с помощью блокировщиков рекламы или специальных программ и расширений для браузеров.
Однако Вибирал нашел способ, позволяющий отслеживать перемещение курсора мыши на интернет-странице без использования JavaScript. Для данной цели применяется только HTML и CSS, что значительно затрудняет блокирование такого метода отслеживания.
Новый метод предполагает создание сетки из DIV, в которых применяется CSS псевдокласс :hover. Данный псевдокласс подставляет новое фоновое изображение всякий раз, когда пользователь наводит курсор мыши на блок в сетке. Поскольку запрос изображения осуществляется в фоновом режиме, браузер не отображает данную информацию и таким образом все запросы проходят незаметно для пользователя.
Как отметил исследователь, подобный подход работает и в браузере Tor с отключенным JavaScript. Вибирал опубликовал видео с демонстрацией новой технологии (ниже), а также разместил на GitHub PoC-код.
