譯者 | 晶顏
審校 | 重樓
隨著網(wǎng)絡(luò)數(shù)據(jù)成為一座金礦,瀏覽器指紋(Browser Fingerprinting)在日常瀏覽中變得越來越普遍。而作為用戶的我們,也在不知不覺中為此做出貢獻(xiàn)。根據(jù)2021年的一項研究顯示,超過四分之一的“Alexa Top 10000”網(wǎng)站正在使用瀏覽器指紋腳本。這些網(wǎng)站包括(但不限于):
- 谷歌
- YouTube
- X(Twitter)
- 亞馬遜
如果你想知道如何隱藏自己的瀏覽器指紋,并在瀏覽網(wǎng)絡(luò)時恢復(fù)自己的匿名性,這篇文章正好能夠解決你的煩惱。
什么是瀏覽器指紋?
切勿將瀏覽器指紋(Browser Fingerprinting)與cookie混為一談,前者是一種對你的瀏覽會話進(jìn)行各種度量以建立有關(guān)你的活動“圖像”的方法。網(wǎng)站會在你不知情的情況下收集大量關(guān)于你的信息。與cookie不同,指紋不需要用戶的同意,也沒有“選擇退出”功能,這個功能在你首次使用cookie訪問網(wǎng)站時通常會看到。
指紋是在后臺收集的,主要使用一小段JavaScript,掃描所有可用的瀏覽器和系統(tǒng)參數(shù),以創(chuàng)建有關(guān)你及你行為的圖像。近年來,由于指紋技術(shù)在廣告和營銷中的應(yīng)用,它的受歡迎程度呈爆炸式增長。我們都知道個性化和準(zhǔn)確的數(shù)據(jù)可以帶來的價值,而你的指紋恰恰提供了這一點。
你的指紋是非常獨特的,是隨著時間的推移從你的網(wǎng)絡(luò)訪問行為中建立起來的。電子前沿基金會(EFF)發(fā)現(xiàn),在28.6777萬個瀏覽器中,只有一個會與其他用戶共享相同的指紋。
指紋不僅僅是一個平臺所獨有的,移動和桌面設(shè)備上都能找到它們的蹤跡。2016年進(jìn)行的一項研究調(diào)查了11.8934萬個瀏覽器指紋,結(jié)果發(fā)現(xiàn)90%的桌面瀏覽器和81%的移動瀏覽器都有唯一的指紋。
識別指紋的一個簡單方法是從識別其主要成分開始。具體如下所示:
- 導(dǎo)航器(Navigators):瀏覽器及其環(huán)境;
- 畫布(Canvas):用于測量渲染的HTML5畫布;
- WebGL:顯示GPU和驅(qū)動程序信息;
- 字體(Font):系統(tǒng)可用字體和活動字體;
- 機(jī)器人(Bot):任何非人類的活動;
- WebRTC:網(wǎng)絡(luò)信息;
- 音頻(Audio):任何唯一的音頻信號或輸出swebgl2:來自GL1的更高級信號。
然而,指紋正變得越來越復(fù)雜。現(xiàn)在,我們從70多個數(shù)據(jù)點出發(fā),來看看瀏覽器指紋的典型組成因素:
瀏覽器和網(wǎng)絡(luò)信息
網(wǎng)站可以追蹤你的瀏覽器版本、你的設(shè)備平臺或架構(gòu)(例如,32位或64位),甚至你的連接類型——無論是Wi-Fi、4G還是以太網(wǎng)。他們還會試圖通過你的IP地址檢查你的位置,并在TLS/SSL握手期間檢查你的時區(qū)和支持的加密協(xié)議等設(shè)置。如果你使用代理或VPN,也可以檢測到。
特定于設(shè)備的詳細(xì)信息
通過WebGL/GL2,指紋識別工具可以直接查看設(shè)備的硬件,識別GPU(圖形卡)、CPU及其核心數(shù)、可用內(nèi)存,甚至電池電量。你使用的設(shè)備類型,無論是移動設(shè)備、臺式機(jī)還是平板電腦,統(tǒng)統(tǒng)包含在內(nèi)。
瀏覽器配置
網(wǎng)站會檢查你安裝了什么字體,你正在運(yùn)行什么擴(kuò)展,甚至你的瀏覽器中可用的存儲機(jī)制,比如IndexedDB或WebSQL。像你的網(wǎng)絡(luò)攝像頭或麥克風(fēng)這樣的媒體設(shè)備也會被記錄下來,以及你是否啟用了“禁止跟蹤”設(shè)置。
視覺和渲染數(shù)據(jù)
視覺和渲染數(shù)據(jù)是指紋的主要組成部分。從分析WebGL渲染器到檢查顏色深度和渲染速度等顯示屬性,每個像素都很重要——甚至是你對特定CSS媒體查詢的響應(yīng)。
它也被稱為“畫布”(canvas)指紋,通常是最常見的指紋方法,使用瀏覽器的HTML5“畫布”來構(gòu)建你的圖像。
行為模式
你的鼠標(biāo)移動、輸入節(jié)奏和滾動行為都無意中揭示了你的個性。網(wǎng)站會跟蹤這些互動,以補(bǔ)充你的指紋,讓你更難避免被發(fā)現(xiàn)。
先進(jìn)的跟蹤技術(shù)
網(wǎng)站可以使用Web audio API收集有關(guān)音頻輸出設(shè)置和振蕩器頻率的數(shù)據(jù)。“畫布”指紋是另一個狡猾的伎倆;分析瀏覽器如何呈現(xiàn)圖像以提取獨特的細(xì)節(jié)。最后是來自加速度計和陀螺儀的傳感器數(shù)據(jù)(現(xiàn)在經(jīng)常在手機(jī)中找到),雖然很少見。
自定義數(shù)據(jù)點
除了以上幾點,網(wǎng)站還會檢查廣告攔截器的使用,自動填充設(shè)置,剪貼板訪問權(quán)限,甚至你的referrer信息。
指紋還是cookie?
cookie和瀏覽器指紋都是用來跟蹤用戶在線的工具,但它們的運(yùn)作方式卻明顯不同。cookie是網(wǎng)站存儲在你設(shè)備上的小塊數(shù)據(jù),用于記住你的訪問信息,如登錄詳細(xì)信息或購物車內(nèi)容。它們是透明和可管理的,允許用戶通過瀏覽器設(shè)置查看、刪除或阻止它們。然而,指紋完全是被動的;它們靜默地收集數(shù)據(jù),不需要存儲在你的設(shè)備上,也不需要你的任何直接交互。
關(guān)鍵的區(qū)別在于是否“同意”。cookie通常需要通過熟悉的“cookie同意”橫幅獲得用戶許可,允許用戶選擇退出或限制其使用。然而,指紋是不為人知的:沒有提示,沒有披露,當(dāng)然也沒有“接受全部”按鈕。這使得指紋更具侵入性,更難以檢測或反擊。
與相對容易刪除或阻止的cookie不同,指紋是通過分析你的瀏覽器和系統(tǒng)配置動態(tài)創(chuàng)建的,讓你幾乎沒有辦法阻止它們的使用。
另一個區(qū)別是持久性。cookie會過期或被手動刪除,這意味著它們的跟蹤功能是暫時的。指紋是建立在來自硬件、軟件和行為的數(shù)據(jù)基礎(chǔ)上的,這些數(shù)據(jù)變化的頻率較低。這使得指紋成為一種長期的跟蹤方法——它可以跨越會話、設(shè)備甚至不同的網(wǎng)絡(luò)跟蹤你,通常會繞過隱私瀏覽模式或VPN等傳統(tǒng)的隱私工具。雖然cookie至少提供了一種控制方法,但指紋被設(shè)計成幾乎不可能完全刪除。
特性 | Cookies | 指紋 |
跟蹤 | 存儲在用戶的設(shè)備上,通常需要用戶明確同意。 | 未經(jīng)用戶同意的被動數(shù)據(jù)收集。 |
透明度 | 需要用戶同意;用戶可以查看、刪除或阻止cookies。 | 通常在用戶不知情或無法選擇退出的情況下悄無聲息地運(yùn)行。 |
持久性 | 暫時的;可以過期或手動刪除。 | 長期:基于硬件、軟件和很少變化的行為數(shù)據(jù)。 |
范圍 | 除非明確共享,否則僅限于特定網(wǎng)站。 | 跟蹤用戶跨網(wǎng)站,會話,設(shè)備,甚至不同的網(wǎng)絡(luò)。 |
規(guī)避難度 | 可以很容易地使用瀏覽器設(shè)置或擴(kuò)展進(jìn)行阻止或管理。 | 需要先進(jìn)的措施,如反檢測瀏覽器或?qū)iT的工具,以盡量減少暴露。 |
信息披露 | 通過橫幅和隱私政策公開披露。 | 幾乎從未披露過,這使得用戶很難理解他們什么時候被錄入了指紋。 |
為什么我會被采集指紋?
盡管存在隱私問題,但指紋為合法用例提供了各種數(shù)據(jù)點,通常用于保護(hù)企業(yè)免受欺詐、身份驗證方法和各種類型的自動化的侵害。以下是指紋在追蹤和廣告之外的一些用途:
- 欺詐檢測:指紋為可能遭受嚴(yán)重欺詐的站點提供早期預(yù)警指標(biāo)。并非所有隱藏指紋的人都是因為擔(dān)憂隱私;有些則更加險惡。一個被打亂的或不真實的指紋可以用來識別那些存在惡意企圖的人,并可以成為抵御這些人的第一道防線。
- 帳戶創(chuàng)建和恢復(fù):通常,在大型社交網(wǎng)絡(luò)中,指紋可以防止同一用戶生成/創(chuàng)建太多帳戶。這可以防止他們網(wǎng)站上的垃圾郵件,并提供更強(qiáng)大的保護(hù)。例如,指紋是防止社交網(wǎng)絡(luò)上的垃圾廣告或防止投票/競爭操縱的大規(guī)模注冊的好方法。除此之外,對于那些在忘記登錄后需要恢復(fù)帳戶的人來說,匹配指紋也是一個非常有用的工具,可用于驗證用戶是否存在。
- 內(nèi)容個性化:不管你喜不喜歡,內(nèi)容個性化都離不開指紋。廣告和網(wǎng)頁的個性化可以建立在你的使用歷史上,引導(dǎo)你達(dá)到想要看到、聽到的內(nèi)容。
指紋的隱私擔(dān)憂
瀏覽器指紋的被動特性帶來了嚴(yán)重的隱私問題。指紋識別繼續(xù)通過以下方式侵犯你的瀏覽匿名性:
- 持久跟蹤:指紋可以用來跟蹤用戶在不同的網(wǎng)站和會話,即使cookie被清除,或使用私人瀏覽模式。
- 缺乏透明度:用戶通常不知道他們的信息正在被收集,因為指紋識別沒有得到明確同意。這讓許多用戶措手不及;大多數(shù)人都沒有意識到他們留下的足跡有多深。它不再像使用“隱身”瀏覽標(biāo)簽?zāi)敲春唵巍膩頉]有一個橫幅或公告告知你被跟蹤了。一切都在悄無聲息地進(jìn)行,你正在瀏覽的網(wǎng)站正在慢慢地創(chuàng)建你的肖像。你知道谷歌Chrome的“incognito”對任何指紋或其他跟蹤都沒有任何保護(hù)作用嗎?
- 規(guī)避困難:與可以通過瀏覽器設(shè)置來管理的cookie不同,避免指紋識別需要更高級的措施。這為某些群體(比如老人、孩子和技術(shù)受限的企業(yè))創(chuàng)造了一個不公平的競爭環(huán)境。如果事先不知情,你永遠(yuǎn)不會知道自己被跟蹤了。越來越多的證據(jù)表明,指紋正被用于制作超定向廣告。你的瀏覽創(chuàng)造了幾乎完美的廣告形象。
我被采集指紋了嗎?
你是否曾經(jīng)發(fā)現(xiàn)自己在網(wǎng)上瀏覽過一個產(chǎn)品后,該產(chǎn)品的廣告會在不同的網(wǎng)站上“跟著”你?
很顯然,你被采集指紋了!
當(dāng)你在網(wǎng)上瀏覽產(chǎn)品時,零售商可以在回訪時使用你的瀏覽器指紋來識別你,即使你已經(jīng)清除了你的cookies。這使得他們可以定制產(chǎn)品推薦,調(diào)整定價策略,或者根據(jù)你之前的互動向你投放個性化廣告。它甚至可以跨設(shè)備使用,你可能會在手機(jī)上看到兩個小時前在電腦上看過的廣告。
當(dāng)你瀏覽旅游網(wǎng)站、航空公司或預(yù)訂平臺時,也可以看到類似的概念。瀏覽器指紋使這些服務(wù)能夠跟蹤你的唯一蹤跡,即使你清除了cookie或使用了“隱身”模式。通過識別出你是“回頭客”,他們可以利用這些數(shù)據(jù)來調(diào)整定價策略,并創(chuàng)造一種緊迫感。例如,反復(fù)搜索某個特定的航班或酒店可能表明人們對其興趣濃厚,從而促使價格動態(tài)上漲,促使人們在價格進(jìn)一步上漲之前更快地做出預(yù)訂決定。
瀏覽器指紋還可以揭示你的位置、設(shè)備類型和瀏覽習(xí)慣等細(xì)節(jié),旅游平臺可以利用這些信息提供個性化服務(wù)。如果你從高收入地區(qū)或使用高級設(shè)備訪問該網(wǎng)站,你可能會看到更昂貴的選擇或被排除在折扣之外,因為系統(tǒng)推斷出更高的支付意愿。另一方面,本土化的交易或促銷活動可能會根據(jù)你的地理特征呈現(xiàn),提供特定地區(qū)的獎勵。這被稱為“精準(zhǔn)群體營銷”,根據(jù)人們的在線資料進(jìn)行指紋識別和標(biāo)簽可以被視為一個主要的道德問題。
此外,指紋還可以實現(xiàn)跨站點重定向,允許旅游服務(wù)在不相關(guān)的網(wǎng)站上跟蹤你。在瀏覽了航班或度假套餐后,你可能會注意到同樣選項的廣告,上面寫著“獨家折扣”或“有限供應(yīng)”。這些策略利用你的瀏覽行為來推動你購買,通常會增加快速行動的壓力。
反指紋策略
隨著網(wǎng)站爭相收集所有可能的數(shù)據(jù),并在數(shù)字法律范圍內(nèi)跟蹤你的活動,指紋識別變得相當(dāng)具有侵入性。這不僅適用于普通人,也適用于任何在線運(yùn)行抓取或自動化的人。在對抗機(jī)器人的戰(zhàn)爭中,指紋成為了一把利刃。
幸運(yùn)的是,下述一些方法可以讓你的活動保持匿名性:
使用反檢測瀏覽器
反檢測瀏覽器被設(shè)計成隨機(jī)化或掩蓋指紋工具所依賴的唯一簽名。這些瀏覽器通常模擬硬件、軟件和網(wǎng)絡(luò)環(huán)境的各種配置,這使得跟蹤器很難生成一致的指紋。
通過使用真實指紋創(chuàng)建不同的用戶配置文件,他們開始抵消指紋識別的企圖。這對于從事自動化、抓取或其他匿名性至關(guān)重要的活動的個人來說尤其有益。
我們已經(jīng)在下面的文章中詳細(xì)介紹了反檢測/隱私瀏覽器以及如何開始使用:
將反檢測瀏覽器與代理配對是掩蓋在線痕跡的好方法。住宅代理(Residential Proxies)提供了一種隱藏IP地址的方法,并在任何大規(guī)模在線抓取或自動化操作中發(fā)揮關(guān)鍵作用。
使用擴(kuò)展/工具
瀏覽器擴(kuò)展和專用工具也可以在防止指紋識別方面發(fā)揮關(guān)鍵作用。以隱私為重點的擴(kuò)展,如廣告攔截器、腳本攔截器或指紋攔截工具,限制了網(wǎng)站可以從你的系統(tǒng)中提取的信息。
可用于此目的的流行工具和擴(kuò)展包括以下幾種:
- Privacy Badger
- Ghostery
- uBlock
- DuckDuckGo
瀏覽器指紋的倫理問題
瀏覽器指紋由于其隱蔽性和侵入性引起了重大的倫理問題。與cookie不同,指紋沒有得到用戶的明確同意,這破壞了其他人所倡導(dǎo)的知情權(quán)和隱私原則。缺乏透明度意味著用戶往往不知道所收集的數(shù)據(jù)或數(shù)據(jù)可能被濫用。
此外,指紋可能會導(dǎo)致不道德的行為,如群體分析或歧視性定價。例如,來自特定地區(qū)或擁有高端設(shè)備的用戶可能面臨過高的價格,從而加劇了不平等。此外,反指紋識別的困難性對兒童或技術(shù)不太熟練的人等弱勢群體的影響尤為嚴(yán)重,從而加劇了數(shù)字鴻溝。
盡管存在道德問題,指紋在許多地區(qū)仍然是合法的,并且正在現(xiàn)有數(shù)字法律的范圍內(nèi)廣泛應(yīng)用。在歐盟等地區(qū),《通用數(shù)據(jù)保護(hù)條例》(GDPR)規(guī)定了數(shù)據(jù)收集的透明度和合法性,但由于指紋的被動性質(zhì),它經(jīng)常會利用這些漏洞。同樣地,在美國,《加州消費(fèi)者隱私法案》(CCPA)等法規(guī)也為用戶提供了一些權(quán)利。然而,針對無聲跟蹤(比如指紋提供的追蹤)的執(zhí)法仍然有限,而且很少執(zhí)行。
結(jié)語
瀏覽器指紋已經(jīng)成為一種強(qiáng)大但有爭議的在線跟蹤工具,它將復(fù)雜的技術(shù)與深刻的隱私影響結(jié)合在一起。與使用cookie不同,指紋被動地收集數(shù)據(jù),且能夠規(guī)避傳統(tǒng)的隱私防御措施,如“隱身”,使其成為一種極具侵入性的跟蹤方法。雖然存在合法的用例,例如防止欺詐,但隨著數(shù)據(jù)變得越來越有價值,缺乏用戶知情權(quán)和“同意”將繼續(xù)引發(fā)道德問題。
常見問題
什么是瀏覽器指紋,它與cookie有什么不同?
瀏覽器指紋是一種網(wǎng)站用來收集有關(guān)你的瀏覽器、設(shè)備和上網(wǎng)習(xí)慣等獨特數(shù)據(jù)的方法,且該過程無需征得你的同意。與需要征得同意、可以被阻止或刪除的cookie不同,指紋是不可見的,會悄無聲息地進(jìn)行。它們依賴于你的硬件和瀏覽模式等細(xì)節(jié),這使得它們比cookie更持久,更難以規(guī)避。
網(wǎng)站是如何使用我的指紋的,為什么這是一個問題?
網(wǎng)站使用指紋來個性化廣告、檢測欺詐或識別機(jī)器人。然而,缺乏透明度令人擔(dān)憂。即使你刪除了cookie或使用隱私瀏覽功能,指紋也能讓你在網(wǎng)站間持續(xù)追蹤。這可能會導(dǎo)致定向廣告、價格操縱和其他隱私問題,最重要的是所有這些都沒有征得你的同意。
我怎么知道自己是不是被采集了指紋?
你可以使用諸如Cover your Tracks或Browserleaks等免費(fèi)工具來檢查網(wǎng)站對你瀏覽器的了解。這些工具會揭示你的指紋有多獨特,并顯示是什么讓你在網(wǎng)上被識別出來。獨一無二的指紋意味著你更容易被追蹤。
我如何保護(hù)自己避免被采集指紋?
你可以使用隱私保護(hù)工具,如Privacy Badger、Ghostery或uBlock Origin。嘗試反檢測瀏覽器(如GoLogin/MultiLogin)隨機(jī)化你的指紋。與住宅代理配對以隱藏你的IP地址。使用像Brave或Tor這樣的隱私優(yōu)先瀏覽器來增加匿名性。
原文標(biāo)題:The Sneaky Way Web Browsers Are Identifying You (Even When You Turn Off Cookies),作者:Rampage Proxies
