È un fatto ben noto (almeno nella community che rispetta la privacy) che un fattore abbastanza utilizzato per il tracciamento è l'elenco dei font installati, che i browser sembrano esporre, ei tracker lo sfruttano.
Ci sono un sacco di domande e risposte su come evitare questo (falsa lista di caratteri installati, ecc.), ma mi chiedo: perché i browser hanno bisogno di per esporre i caratteri installati ? Quali usi utilizza i casi in primo luogo?
Per i layout dello schermo ultra-precisi come i giochi, uno sviluppatore spesso ha bisogno di conoscere le dimensioni a cui qualcosa si rivolge. Mentre un dev può istruire il browser a disegnare, ad esempio, 10px, le impostazioni della dimensione del carattere del sistema operativo, lo zoom, le variazioni dei caratteri e altro ancora possono influenzare l'altezza di rendering effettiva. Rilegando la dimensione dell'output, è possibile apportare piccole modifiche alla dimensione del font fino a quando non è "giusto". Questo meccanismo è per tutti i riquadri sulla pagina, non solo per i caratteri, ma i riquadri tipicamente "stirano" per riempire il contenuto del testo e l'unione dei due può rivelare se il rendering in un determinato carattere lascia la casella con dimensioni diverse rispetto a prima che il nuovo carattere fosse applicata.
L'esempio da manuale ridimensiona un iframe per adattarsi a una pagina di messaggi di errore su un altro dominio cooperativo.
Probabilmente è sicuro iniziare a bloccare i font ora perché i font personalizzati possono essere consegnati via web con la pagina stessa, piuttosto che fare affidamento sui built-in del sistema operativo. Anche quelli possono essere scoperti, ma dal momento che la pagina li ha portati, non c'è alcun valore da scoprire. Nota che scopriamo è la parola giusta; non c'è modo di iterare alcun elenco di caratteri, nativi o basati sul web, quindi l'ipotesi e il controllo sono l'unico modo.
I browser non rendono direttamente disponibile un elenco dei font installati. Invece forniscono informazioni sulla dimensione di un oggetto specifico come una casella di testo. Poiché lo stesso testo renderizzato con caratteri diversi causa dimensioni dell'oggetto leggermente diverse, questo può essere usato per dedurre quale font è stato usato per rendere un testo specifico e quindi verificare se un carattere specifico è stato usato per rendere il testo (ed è quindi installato sul sistema) oppure no.
Per ulteriori informazioni, consulta Font Fingerprinting su browserleaks.com o su carta Stampare gli utenti web tramite metriche dei caratteri .
Leggi altre domande sui tag tracking web-browser fingerprinting