Font e fingerprinting

Il sito BrowserLeaks dice che le tecniche di fingerprinting che coinvolgono i font si basano sulla misura delle dimensioni di elementi Html riempiti con testo o singoli glifi unicode. I risultati possono variare a seconda del browser, portando a piccole differenze.

Il sistema basato sulla misura delle metriche consiste nel provare tanti font da una collezione di caratteri conosciuti. Confrontando la dimensione dell’elemento con i valori di default, questo sistema può determinare se un font è presente sul sistema.

Visitando questa pagina su BrowserLeaks il sito analizza il dispositivo che state usando e mostra i risultati che riesce ad ottenere, sia con l’analisi dei glifi Unicode, sia con quella delle metriche.

Mentre la prima dà dei risultati che non sono d’impatto, ma che comunque sono associati ad un fingerprint utilizzabile per identificare l’utente, l’analisi delle metriche restituisce anche una lista dei font che il sito è riuscito ad identificare.

Visitando la pagina con un computer su cui è installato il sistema operativo Windows, l’esito dell’analisi mi riesce ad identificare 124 font e 90 “unique metrics”.

Scorrendo la lista trovo tutte le versioni dell’Arial, del Segoe, dello Yu Gothic e dei font di sistema Microsoft. Più Calibri, Cambria, Candara, Comic Sans e così via. C’è perfino il Plantagenet Cherokee.

Visitando la stessa pagina con un vecchio cellulare, ottengo una risposta diversa: 15 font e 7 unique metrics. 

Nella lista dei font ci trovo Times, Georgia, Baskerville, Palatino e vari Courier. E anche il Monaco.

Non credo che questi font siano effettivamente installati sul telefono. Può darsi che siano stati trovati altri font con le stesse metriche. Ma a chi mette in atto queste tecniche interessa ben poco sapere il nome esatto del font installato. Quello che si vuole è seguire la navigazione di un singolo utente. Indipendentemente dal fatto se questo abbia bloccato i cookies.

Per chi non vuole essere riconosciuto esistono delle add-on che possono essere installate nel browser e che creano un disturbo alle misurazioni. L’utente che l’ha installato può visitare due volte la stessa pagina di prova che gli mostra il codice derivato dalle operazioni di fingerprinting, e constatare che ogni volta viene fornito un codice diverso. Questo significa che il sito non ha riconosciuto che si tratta dello stesso dispositivo.

Estensioni del genere si possono trovare sia per Chrome che per Firefox, sui rispettivi siti. 

Quando parla di unique metrics, BrowserLeaks si riferisce al numero di righe della risposta. Times, Baskerville e Georgia sono sulla stessa riga, quindi evidentemente hanno le stesse metriche. Eppure una parola in Times non ha le stesse dimensioni della stessa parola in Georgia. E allora, cosa misura di preciso l’algoritmo?