文档结构  
翻译进度:已翻译     翻译赏金:0 元 (?)    ¥ 我要打赏

在制定网络标准时,会考虑可能影响隐私的多个场景. 这包括极端的情况;这是一件好事. 在利用网页这个功能之前,最好预测创意使用和滥用.

振动 API

允许网站利用设备的振动电机的机制叫 Vibration API. 该机构允许设备以特定模式振动. vibration() 函数的参数是一个称为pattern的列表.列表的奇数索引导致特定时间的振动,甚至是静止周期的值。例如,网页设计师可以使设备振动一段特定的持续时间,例如50 ms,然后使用以下调用继续使用100 ms的静止时间:

第 1 段(可获 1.66 积分)

navigator.vibration([50,100])

在某些情况下,这可能会产生几个有趣的潜在隐私风险.让我们从隐私的角度来看振动API. 我会在各种技术层面考虑一些场景.

匿名化场景

一个潜在的风险是在现实生活中确定一个特定的人。 想象一下,同一个房间的几个人将他们的设备放在桌子上。 在某些时候,一个人的设备以特定的模式振动。 这个人可能会被标记为一个潜在的观察者.

这样的脚本怎么可以交付? 一种可能是网络广告的基础设施. 这些提供了以相当准确(针对他们的位置)定位个人的能力.

第 2 段(可获 1.43 积分)

一般来说,导致设备振动只提供写入的能力:沟通。 隐私技术通常需要读取能力:沟通和解释消息。

通讯频道

引起振动模式的能力可用于创建带外通信通道,不一定限于网络 - 也可以在外部世界访问。这可以使得设备像以类似于摩尔斯电码的方式振动一样简单,同时使另一设备收听外部音频信号并接收消息。 这样的技术甚至可以允许创建跨设备链路 - 可能跨设备跟踪用户。这种技术实际上正在使用——尽管利用超声波,而不是振动,这是出于效率的原因。

第 3 段(可获 1.5 积分)

疯狂地滥用振动API

有趣的是, 似乎网络广告商的创造力试图欺骗用户做不明智的事情导致一些网络广告滥用振动和刺激用户。这是有关于使用API的一些限制的原因之一。

振动和指纹

可以使用各种传感器对移动设备进行指纹识别和分析, 通常是运动传感器,例如加速度计或陀螺仪。在许多情况下,导致设备振动有助于指纹识别。 到目前为止,大多数相关隐私研究都使用外部振动电机进行演示。 虽然这使得在实验室环境下更容易分析,在现实世界中的实际威胁可能是不清楚的。在这个意义上,振动 API可能被用作“激发”某些组件并允许测量指纹的可行工具。

第 4 段(可获 1.76 积分)

振动API的隐私分析

现在让我们从一个非常严格的隐私工程的角度来考虑振动API。我将直接使用W3C标准。

振动 API的有趣方面有以下参数

max length(最大长度)

振动方法的模式参数的大小是有限的。在现代浏览器上,这个值设置为128. One of 这一限制的原因之一是为了避免恶意脚本造成的潜在用户不便,造成永久的振动模式和降低用户的浏览体验。

max duration(最大周期)

第 5 段(可获 1.16 积分)

该参数限制了最大的振动周期。在现代浏览器上,设置为10秒(10000毫秒)。

这意味着navigator.vibration([20000])将使设备振动只有10秒钟,如果模式包含超过128项,只有128将实际使用。这些知识可以以有趣的方式使用,知道现代浏览器能够检测何时发生振动。

恢复 max length

一个隐私攻击是恢复最大长度参数。可以通过监听DeviceOrientation事件,创建增加大小的模式列表并分析产生的振动。

第 6 段(可获 1.31 积分)

一个示例算法监控DeviceOrientation事件并引起单次振动,增加持续时间,同时跟踪设备振动的时间 。在某些时候,时间会停止增长,表明平台的最大持续时间。

这是假设,因为最大长度和最大持续时间在(Chrome,Firefox)API之间不会有所不同。因此,滥用是不可能的,除非用户将它们更改为自定义值。但是,无论什么原因,如果由于某种原因浏览器或物联网设备开始使用这些参数的不同值,这可能具有重要意义。

第 7 段(可获 1.23 积分)

最大周期恢复示例

我已经建立了一个示例页面显示最大时间参数恢复的基本思路。

示例 是一种概念证明它有一定的局限性。例如,它显示了近似值;它最好用放置在平面上的设备;它只在Chrome浏览器下测试过。 简单的演示可以产生近似的值,但可以很容易地优化,例如通过检查振动的性质和移动浏览器。

下面的图显示了在一个测试环境中模拟最大持续时间设置为500 ms的模拟测试。最初,振动的长度与实际的设置距离很远。一段时间后,实际读数稳定。以类似的方式,可以测量任何最大持续时间长度。

第 8 段(可获 1.69 积分)

Vibration duration detection

总结

即使是这种看似无害的机制,比如振动,也会给网络隐私带来意想不到的后果。从隐私的角度制定Web标准是很重要的。 我很荣幸能够在传感器隐私的工作中直接为这一努力做出贡献。

实施者,无论是浏览器还是互联网设备,都要记住振动是一个潜在的隐私风险。

第 9 段(可获 0.83 积分)

文章评论

访客
振动???震动???不知道哪个更准确些,但能否统一下?