◢ перехвачено ·

ха-ха, попался

это была ссылка-ловушка. ниже — досье собранное за … мс из … точек данных. без зловредов и эксплойтов — только то, что браузер сам отдаёт.

сеть · 01

IP: определяю…
город: …
регион: …
страна: …
координаты: …
провайдер: …
ASN: …
тип сети: …
таймзона: …
CF colo: —
TLS: —
HTTP: —

браузер02

браузер
версия
full версия: …
языки
cookies
DNT
adblock: …

устройство · железо03

OS (frozen)
OS (реальная): через UA-CH…
архитектура: …
модель: …
CPU логических
CPU физических: бенчмарк…
RAM
батарея: …
диск (≈): …
камеры/микро: …
сеть

экран · предпочтения04

разрешение
окно
retina
глубина
частота: замер RAF…
тема
цв. охват
HDR
анимации
указатель

GPU · WebGL + WebGPU05

WebGL renderer
vendor
WebGPU vendor: …
WebGPU arch: …
WebGPU device: …
shader prec
extensions

медиа-кодеки06

API возможностей07

отпечатки · уникальные ID08

canvas FP
audio FP: вычисляю…
WebRTC IPs: multi-STUN…
WebRTC mDNS: —
часы рассинхрон

софт-отпечаток9

шрифты: детектю…
TTS голоса

тайминги · performance API10

тип навигации
DNS lookup
TCP connect
TLS handshake
ответ сервера
загрузка DOM
локальное время

web3 · крипто-кошельки11

расширения · dev-tools12

поведение · live 13

на странице: 0 сек
фокус
курсор: —
прокрутка: 0%
клики: 0
выделено: —

↑ траектория твоего курсора

сетевая триангуляция · latency до CDN14

persistence · live tracker15

визит
service worker: не зарегистрирован
tracker UUID: —

что это: UUID запишется в IndexedDB + Service Worker + LocalStorage. Любой возврат на этот домен — узнается даже после очистки cookies. Это и есть supercookie: tracker, который сохраняется одновременно в 5 хранилищах, и если хоть одно не очищено — другие восстанавливаются.

advanced techniques

дальше — то, что не на каждом сайте есть

биометрика, платежи, история посещений, точное железо через timing-атаки. То, о чём редко упоминают в "мы используем cookies".

разрешения · что можно запросить16

точная гео: prompt будет показан
камера: prompt будет показан
микрофон: prompt будет показан
уведомления: prompt будет показан
буфер обмена: prompt будет показан

биометрика и сохранённые платежи17

WebAuthn: проверяю…
Touch/Face ID: …
Conditional UI: …
Apple Pay: …
Google Pay: …
сохранённые карты: …
установленные PWA: …

без диалогов: PublicKeyCredential.isUserVerifyingPlatformAuthenticatorAvailable() и PaymentRequest.canMakePayment() возвращают результат без какого-либо prompt'а пользователю. Сайт узнаёт что у тебя есть Touch ID и Apple Pay — до того как ты что-то сделал.

gravatar · по email18

введи email — если у человека есть Gravatar, выскочит его аватарка с именем и связанными аккаунтами.

history · favicon cache timing19

пытаемся загрузить favicon с разных сайтов. если ответ <30ms — favicon уже в кеше браузера → ты там был.

trust boundary

а вот это уже почти zero-day

три техники, где браузер до сих пор отдаёт то, что не должен: автозаполнение, состояния всех permission, и устройства уже разрешённые ранее.

🍯 autofill honeypot · 15 невидимых полей20

вокруг этого поля — 15 скрытых input'ов с правильными autocomplete= атрибутами: email, имя, телефон, адрес, номер карты, имя на карте, срок, organization, username, password. кликни в видимое поле email и нажми autofill — менеджер (Chrome/Bitwarden/1Password) заполнит ВСЕ совпавшие поля, включая скрытые. JS читает значения.

почему это работает в 2026: Chrome ограничил автозаполнение требованием user gesture, но НЕ ограничил количество полей, которые менеджер заполняет за один gesture. Один клик "автозаполнить" — заполняются все 15 hidden полей, и JS читает их через events. Bitwarden и 1Password — то же самое. Большинство пользователей не знают, что менеджер заполняет невидимые поля.

permission state · без prompt21

navigator.permissions.query() возвращает granted / denied / prompt для 20+ permission'ов без какого-либо диалога. Если где-то granted — пользователь раньше уже разрешал.

hardware · уже разрешённое22

navigator.usb/hid/serial/bluetooth.getDevices() возвращает устройства, уже разрешённые ранее на этом домене — без нового prompt'а. С VID/PID/именем.

USB: сканирую…
HID: …
Serial: …
Bluetooth: …
MIDI: …

limits

а вот это всё-таки нельзя

стена песочницы — фундаментальная граница веб-безопасности.

что НЕЛЬЗЯ получить без эксплойта23

файлы на диске список папок рабочий стол история браузера (напрямую) закладки сохранённые пароли кэш других сайтов cookies других доменов MAC-адрес серийный номер устройства список установленных нативных приложений

Если кто-то обещает это вытащить через веб без user gesture — он либо использует zero-day (надо обновить браузер), либо врёт.