- Снемането на пръстови отпечатъци комбинира множество технически сигнали от браузъра и устройството, за да създаде уникален идентификатор без използване на „бисквитки“.
- Съществуват пасивни (HTTP заглавки) и активни (canvas, WebGL, аудио, TLS, поведение) техники, които увеличават уникалността на профила.
- Използва се за проследяване, персонализиране и сигурност (измама, удостоверяване), със сложна и развиваща се правна рамка.
- Намаляването на въздействието изисква генерализация/рандомизация, защита на браузъра, блокери, контрол на разрешенията и тестване с AmIUnique.
Ако сте загрижени за поверителността в интернет, пръстови отпечатъци на браузъра Трябва да го имате предвид. Освен „бисквитките“, съществуват и безшумни техники, способни да ви идентифицират, като комбинират десетки технически сигнали от вашето устройство и браузър.
Дори ако изтриете „бисквитките“ или разглеждате в режим „инкогнито“, ще се запази отпечатък, съставен от подробности, като например часова зона, инсталирани шрифтове или начинът, по който вашата графична карта рендира изображенията Това може да ви направи практически уникални в мрежата. А с тази уникалност идва и проследяване между сайтове, агресивна персонализация и скрити рискове за вашата поверителност.
Какво е пръстов отпечатък на браузъра?
Отпечатъкът на браузъра (наричан още пръстов отпечатък на устройството или пръстов отпечатък на браузъра) е набор от техники, които събират, без видима намеса от страна на потребителя, информация за вашия компютър и вашия софтуер, за да съставят много характерен идентификатор. Това не е файл, който се запазва като „бисквитка“: това е съчетание на технически характеристики, които ви издават.
Сред данните, които могат да бъдат обединени, са: операционна система, браузърът и неговата версия, инсталирани разширения, език, часова зона, резолюция и дълбочина на цвета, списък с шрифтове, подробности за графичната карта и нейната контролери, мултимедийни възможности, наличие на блокери на реклами и много други.
Помислете как бихте описали човек от тълпата, използвайки отличителни черти; с достатъчно качества, намирането му е тривиалноСнемането на пръстови отпечатъци прави същото и с вашето устройство: с десетки технически сигнали, вашият профил става изключително разпознаваем сесия след сесия, дори сред милиони потребители.
По какво се различава от „бисквитките“?
„Бисквитките“ изискват съгласие в много страни и може да бъде изтрито; освен това, употребата му е регулирана (напр. GDPR в ЕС). Снемането на пръстови отпечатъци, от друга страна, се извършва във фонов режим, без предупреждение и без съхранение видимо място, така че потребителят обикновено не го забелязва или може да го елиминира директно.
Последицата е, че дори ако изчистите историята си или активирате личен режим, все още си разпознаваем/а ако комбинацията от технически атрибути остане стабилна. Следователно, тя се използва за проследяване между сайтове, профилиране на реклами и разширен поведенчески анализ.
Как работи снемането на пръстови отпечатъци: пасивно и активно
Сайтовете зареждат скриптове, които използват API на браузъра, за да събират функции и с тяхна помощ генерират хеш или идентификаторНай-общо казано, има два подхода: пасивен (използване на данни, които вече са налични в заявките) и активен (изпълнение на код във вашия браузър за заявки за повече сигнали).
В пасивно снемане на пръстови отпечатъци HTTP заглавките, придружаващи всяка заявка, се проверяват: IP адрес, потребителски агент, предпочитани езици и приети формати, наред с други. Тази информация се предава с всяко зареждане на страницата, без да са необходими допълнителни скриптове.
Най-полезните заглавки за профилиране включват: Препратени (страница с източник), User-Agent (браузър и често операционна система), приемам (типове съдържание), Accept-Charset (набори от символи), Приемане-кодиране (компресии като gzip или br) и Приемам-Език (предпочитани езици). Тези части, комбинирани, вече осигуряват диференциращи сигнали.
В активно снемане на пръстови отпечатъци Сайтът използва JavaScript, за да поиска изрично повече подробности: версия и платформа на браузъра, дали имате активирани бисквитки, точен език, часова зона, характеристики на екрана (ширина/височина, налично пространство, дълбочина на цветовете), списък с плъгини, инсталирани шрифтове и др.
Механизми като AJAX позволяват тези заявки да се изпълняват във фонов режим, без да се презарежда страницата, а обекти като навигатор y екран Те разкриват голяма част от информацията. Например: navigator.userAgent, navigator.language, navigator.platform, screen.width o screen.colorDepth разкриват подробна информация за вашата среда.
Дори и часова зона може да се извлече с new Date().getTimezoneOffset(), а определени стойности на системните цветове могат да бъдат изведени чрез изчислени CSS стилове, добавяйки още един слой от странности, които, когато се сумират, подсилване на уникалността вашия отпечатък.
Често срещани техники за снемане на пръстови отпечатъци
Няколко усъвършенствани техники допълват основните заглавки и свойства, за да разграничават устройствата много прецизно. Много от тях работят „извън екрана“, така че ти не възприемаш нищо докато тичат.
- Отпечатъци от пръсти на платноПринуждава браузъра да нарисува изображение или текст върху HTML5 платно. Малките разлики в шрифтовете, графичните процесори и драйверите водят до вариране на двоичния изход в зависимост от устройството, осигурявайки много стабилен сигнал.
- WebGL и рендиране: генерира невидими (често 3D) графики и измерва как се рендират. Вариации между графичните процесори, шофьори y операционни системи те предават железария с голяма прецизност.
- Аудио пръстови отпечатъциАнализира как системата обработва аудио. Звуковият канал (драйвери, хардуер и софтуер) създава фини разлики, които служат като идентификатори; има и легитимни приложения, свързани с DRM и контрол на копирането.
- Отпечатък на медия/устройствоИзброяване на медийни устройства (камери, микрофони, слушалки) и техните идентификатори. Обикновено изисква потребителско разрешение, така че е по-рядко срещано, но е много информативно, когато се получи.
- Проследяване на поведениетомодели на употреба, като движения на мишката, ритъм на писане или начин, по който превъртате страница. Тези поведенчески сигнали, често подсилени с изкуствен интелект, помагат за определяне на предпочитания и откриване на автоматизации.
- Дактилоскопични отпечатъци с браузър: опитва се да закачи идентификатора към железария вече системни атрибути за разпознаване на потребителя в различни браузъри или дори свързани устройства.
- TLS пръстови отпечатъци: Проверява TLS протокола за ръкостискане (пакети шифри, разширения, ред и предпочитания), за да определи спецификите на клиентския софтуер и мрежовия стек.
- WebRTCПроектиран за комуникация в реално време, той може да разкрива IP адреси (включително локални), което осигурява много постоянни мрежови сигнали, ако не е правилно конфигуриран.
Имат ли значение IP адресът и портовете?
Въпреки че IP адресът се появява във всяка заявка, неговата стойност за чисто снемане на пръстови отпечатъци е ограничена поради практически и правни причини. От една страна, динамично разпределение променя адреса ви с времеОт друга страна, техники като NAT предполагат, че няколко потребители споделят един и същ публичен IP адрес.
TCP портовете също не предоставят надежден идентификатор: пристанище на произход Избира се на случаен принцип за всяка връзка, а целевите портове за уеб услуги (като 80 или 443) са стандарти и споделено от всички.
За какво се използва: между полезността и риска
Основната цел е проследяване между сайтове За реклама и персонализиране. С достатъчна история на сърфиране могат да се изградят високоточни профили относно интереси, потребителски навици и дори чувствителни аспекти (напр. здравни теми, изведени от търсения).
Това се отнася и за сигурността: откриване на измама (аномални резолюции, уязвими по-стари браузъри, модели на автоматизация), удостоверяване на уеб приложения и ранно предупреждение за необичайно поведение. Дори помага за разпознаване характеристики на ботнет мрежите и смекчаване на DDoS атаките.
Динамичното ценообразуване илюстрира друга страна на историята: с изведени социално-икономически сигнали (местоположение, често срещани устройства), някои търговци на дребно се адаптират цени в реално време, което поражда опасения относно справедливостта на тези практики.
Освен това, посредниците на данни могат да комбинират информация от физическия свят (публични регистри, програми за лоялност) с вашия дигитален отпечатък, подобрявайки повторна идентификация дори ако никога не влизате в услуга.
Настояща правна рамка
Днес снемането на пръстови отпечатъци е правен в повечето юрисдикции, но регулаторната рамка е сложна. В ЕС GDPR регулира обработката на лични данни, а Директивата за електронна поверителност (в процес на обсъждане) се стреми да обхване практики като снемане на пръстови отпечатъци отвъд традиционните „бисквитки“.
В Съединените щати няма всеобхватен федерален закон за поверителност. Разпоредби като например ССРА Законът за брокерите на данни на щата Калифорния (Калифорния) или Върмонт разглежда аспекти на събирането и търговията с данни, но не разглежда конкретно използването на тези техники.
Мерки за намаляване на вашия отпечатък
Пълното му премахване не е реалистично, но е възможно. смекчаване стойността на идентификатора. На ниво браузър има две ключови технически стратегии: генерализация и рандомизация.
La обобщение Това хомогенизира API отговорите, така че много потребители „изглеждат еднакво“ един с друг, разреждайки уникалността. рандомизация въвежда малки, контролирани вариации в атрибутите с течение на времето, което затруднява постоянното проследяване.
Някои браузъри вече включват защити: Tor насърчава всички потребители да подадат равномерен отпечатъкBrave прилага рандомизация и блокира множество вектори; Firefox блокира известни тракери по подразбиране като част от своята подобрена защита от проследяване.
на VPN Прокси сървърите помагат за скриване на информация за IP адрес и местоположение, но не предотвратяват активни техники (Canvas, WebGL, аудио, API на браузъра). Те са полезно допълнение, а не цялостно решение против пръстови отпечатъци.
Разширенията, фокусирани върху поверителността, могат да блокират скриптове и тракери (uBlock Origin, Privacy Badger) или дори използването на JavaScript на ненадеждни сайтове (NoScript). Добре е да знаете, че чрез деактивиране на JavaScript много услуги са влошени или спират да работят.
По отношение на навигацията, търсачки като DuckDuckGo предотвратяване на проследяване на заявки. И си струва да се помни, че колкото повече плъгини, теми и персонализации приложите, толкова по-лесно е разграничете устройството си от останалите.
Препоръки от властите и добри практики
За потребителите: изразете предпочитанията си с Не Проследявай (въпреки че уважението му не е всеобщо), инсталирайте надеждни блокери, помислете за смяна на браузъри според контекста и използвайте частно сърфиране, знаейки неговите ограничения срещу пръстови отпечатъци.
За разработчици: Предоставя ясни опции за приемане или отхвърляне Разрешения и проследяване, прилага най-личните настройки по подразбиране и позволява на потребителя да ги намали, ако желае.
За организации, които експлоатират отпечатъци: докладвайте прозрачно, изисквайте съгласие когато е уместно, улеснява упражняването на права, записва дейностите по обработка и извършва анализ на рискове защита на данните преди прилагането на тези техники.
Проверка на вашата уникалност: полезни инструменти
Ако искате да оцените експозицията си, проекти като Уникален ли съм Те ви показват какви атрибути ви правят уникални и колко рядка е вашата комбинация в сравнение с милиони пръстови отпечатъци. Ще видите секции с HTTP, JavaScript и графики (WebGL/Canvas), и дори откриване на блокиране на браузъра.
Тези услуги помагат за идентифициране слаби точки: инсталирани шрифтове, откриваеми разширения, открити API, течове на WebRTC IP и други. Чрез промяна на настройките и разширенията можете значително да намалите уникалността си.
Още сигнали, които пръстовите отпечатъци използват
При мобилните телефони, освен модела и версията на Android/iOS, са от значение следните фактори: резолюция, състояние на батерията, мрежа и приложения на браузъра. Устройства като например Smart TV Те могат също така да предоставят сигнали. На работния плот, освен плъгините, се показва и списъкът с източници, аудио/видео кодеци и броят на мониторите.
Съществуват и техники за индиректно откриване, като например вмъкване на ресурси от частни области на услуги (например от социална мрежа) в DOM и наблюдение дали зареждане или неуспех със събития зареждане/грешка при зареждане, за да се прецени дали сте удостоверени във фонов режим.
На мрежово ниво, снемане на пръстови отпечатъци TLS изследва параметрите за ръкостискане (шифри, разширения и техния ред), за да профилира клиентите. Наред със заглавките и поведението при кеширане/компресия, това е друг слой на диференциация.
Инструменти за анализ на трафика и сигурността (снафъри като например Wireshark или пакети като Ettercap/Nessus) играят друга роля: те не са браузърни пръстови отпечатъци в тесния смисъл на думата, но позволяват наблюдавайте трафика, откриват системи и откриват уязвимости, които, съчетани с идентификацията на клиента, подобряват профилирането.
Алтернативна цена и равновесие
Намаляването на вашия отпечатък може да повлияе на вашето преживяване: някои уебсайтове ще изискват активиране на скриптове, да предоставите разрешения за медийни файлове или да облекчите ограниченията за функциониране. Време е да намерите баланс между поверителност, сигурност и удобство въз основа на вашия случай на употреба.
Разумен подход е да се запази един „засилен“ браузър за чувствителни задачи и друг, по- толерантен за ежедневна употреба, с диференцирани разширения и правила. Минимизирайте ненужните персонализации и периодично преглеждайте инсталираните приложения.
Вашият браузър и вашето устройство разкриват повече, отколкото си представяте. Знаейки как се изгражда този отпечатък, какво го захранва и какви инструменти намаляват вашата уникалност ви дава контрол: ограничаването на изложените сигнали и хомогенизирането на профила ви ще направи проследяването ви много по-трудно.
Страстен писател за света на байтовете и технологиите като цяло. Обичам да споделям знанията си чрез писане и това е, което ще направя в този блог, ще ви покажа всички най-интересни неща за джаджи, софтуер, хардуер, технологични тенденции и много други. Моята цел е да ви помогна да се ориентирате в дигиталния свят по лесен и забавен начин.