[发明专利]一种浏览器指纹探测行为监测方法

说明书

本发明公开了一种浏览器指纹探测行为监测方法。本方法为：1)对可用于指纹探测的API进行改写，加入计数功能；2)浏览器向web服务器请求页面，将该web服务器返回给该浏览器页面脚本中的API替换为改写后的对应API；然后将修改后的页面脚本返回给该浏览器；3)当改写后的API被该web服务器调用执行时，更新该API的执行次数；然后将计数结果注入页面；4)当该浏览器向web服务器再次向该web服务器请求页面时，从页面请求的HTTP报头中Cookie值并将其传递至目标域；5)通过对该目标域中的Cookie值确定该web服务器的浏览器指纹探测行为。本发明可使用户直观的了解自身浏览器指纹的泄露程度。

技术领域

本发明属于网络通信领域，涉及一种对Web站点探测用户浏览器指纹行为的监测方法，尤其涉及一种基于Chrome扩展的浏览器指纹探测行为监测方法。

背景技术

随着互联网技术的发展，互联网应用种类越来越多，用户参与互联网活动的形式越来越丰富，如电子政务、社交网络、网上购物、网上理财、机票酒店预订、即时通信等。互联网应用的普及使得收集用户真实信息的途径大大增多。用户对于互联网应用的使用程度越深入，其真实身份信息被互联网企业收集的可能性就越高，甚至可能已被很多不同的互联网企业掌握。网络在给我们的工作、生活带来便利的同时，也使得个人的信息变得更为透明，导致越来越多针对个人隐私信息的窃取、滥用等行为不断出现。最新的研究表明，web服务器对用户浏览器指纹的探测可以对用户达到90％的识别率。目前，并没有统一的标准来规范Web服务提供方对用户隐私收集的范围与保护能力。因此设计一个可以兼顾用户隐私、又可以探究Web站点究竟获取了哪些用户的隐私信息的监控方法就显得非常必要。一方面可以让用户清晰的了解，究竟哪些站点收集了什么信息，也可以为监管部门提供一项有力的工具进行客观可量化的监测。

目前针对网站隐私安全测评的技术方法主要有以下几种：

静态分析法，JavaScript在第三方追踪中有十分重要的作用，可以实现几乎所有的指纹收集追踪技术。根据目的不同，有指纹收集行为的JavaScript代码和没有该行为的JavaScript代码通常会调用不同的API集合。有研究通过爬虫爬取热门网站的原始JavaScript代码，进行静态分析。即在代码不运行的情况下来提取JavaScript代码中的API，并进行统计分析。静态分析的方法易于实现，但是无法对加入代码混淆或加壳的JavaScript代码进行分析。

第三方追踪探测。第三方在线追踪就是当用户浏览第一方网站时，嵌入在第一方网站中的与第一方网站不属于同一域或同一公司的第三方网站也在收集用户的点击、浏览指纹等行为信息。第三方追踪方法一般是将追踪代码嵌入到第一方浏览页面的iframe dom中，所以阻止脚本执行在一定情况下可以防御主动指纹追踪，当第三方应用通过执行脚本来获取http Cookies，Flash Cookies,html Local Storage信息时，阻止脚本执行可以阻止这些有状态的追踪，阻止http Cookies或Flash Cookies也可以防御有状态的追踪；过滤协议头部可以防御某些被动指纹信息被获取；黑名单防御对黑名单中的第三方应用防御有效。但是上述阻止脚本执行等方法一方面容易被信息收集者跨越或忽略，另一方面也将影响网站的正常功能。

发明内容

针对上述隐私安全现状和现有方法的不足，本发明提出一种基于Chrome扩展的浏览器指纹探测行为监测方法。该方法通过API的改写，并在页面加载前替换API，可以监测API的调用次数，对不影响页面功能的指纹探测API可以进行混淆，使得利用浏览器指纹信息识别用户的功能难以发挥作用。这样不影响脚本代码的执行，保障网站的正常运行，也可以达到隐私保护的目的。

本发明能够实现对Web服务的跨域监测，定量分析出其究竟收集了哪些用户浏览器的指纹信息，明确服务方对隐私信息的收集内容。本发明还能够对探测浏览器指纹的API进行混淆，使得服务方难以通过浏览器指纹信息唯一确定用户。

为了达到上述目的，本发明采用了以下方案：