- Vân tay kết hợp nhiều tín hiệu kỹ thuật từ trình duyệt và thiết bị để tạo ra một mã định danh duy nhất mà không cần sử dụng cookie.
- Có các kỹ thuật thụ động (tiêu đề HTTP) và chủ động (canvas, WebGL, âm thanh, TLS, hành vi) giúp tăng tính duy nhất của hồ sơ.
- Nó được sử dụng để theo dõi, cá nhân hóa và bảo mật (gian lận, xác thực), với khuôn khổ pháp lý phức tạp và liên tục phát triển.
- Để giảm thiểu dấu vết cần phải tổng quát hóa/ngẫu nhiên hóa, phòng thủ trình duyệt, trình chặn, kiểm soát quyền và thử nghiệm với AmIUnique.
Nếu bạn lo ngại về quyền riêng tư trên Internet, dấu vân tay trình duyệt Bạn nên lưu ý điều này. Ngoài cookie, còn có những kỹ thuật ngầm có khả năng nhận dạng bạn bằng cách kết hợp hàng chục tín hiệu kỹ thuật từ thiết bị và trình duyệt của bạn.
Ngay cả khi bạn xóa cookie hoặc duyệt ở chế độ ẩn danh, dấu chân bao gồm các chi tiết như múi giờ, phông chữ đã cài đặt hoặc cách card đồ họa của bạn hiển thị hình ảnh Nó có thể khiến bạn trở nên gần như độc nhất trên web. Và đi kèm với sự độc nhất đó là việc theo dõi chéo trang web, cá nhân hóa mạnh mẽ và những rủi ro tiềm ẩn đối với quyền riêng tư của bạn.
Dấu vân tay trình duyệt là gì?
Dấu vân tay trình duyệt (còn gọi là dấu vân tay thiết bị hoặc dấu vân tay trình duyệt) là một tập hợp các kỹ thuật thu thập, mà không cần sự can thiệp rõ ràng từ người dùng, thông tin về máy tính và phần mềm của bạn để tạo ra một mã định danh rất đặc trưng. Đây không phải là một tệp được lưu dưới dạng cookie: nó là kết hợp của các thuộc tính kỹ thuật khiến bạn mất cảnh giác.
Trong số các dữ liệu có thể được nối lại là: hệ điều hành, trình duyệt và phiên bản của nó, tiện ích mở rộng đã cài đặt, ngôn ngữ, múi giờ, độ phân giải và độ sâu màu, danh sách phông chữ, thông tin chi tiết về card đồ họa và trình điều khiển, khả năng đa phương tiện, có trình chặn quảng cáo và nhiều hơn nữa.
Hãy nghĩ về cách bạn sẽ mô tả một người trong đám đông bằng cách sử dụng các đặc điểm riêng biệt; với đủ các thuộc tính, việc xác định vị trí của nó là chuyện nhỏDấu vân tay cũng có tác dụng tương tự với thiết bị của bạn: với hàng chục tín hiệu kỹ thuật, hồ sơ của bạn sẽ trở nên cực kỳ dễ nhận biết qua từng phiên đăng nhập, ngay cả giữa hàng triệu người dùng.
Nó khác với cookie như thế nào?
Cookie yêu cầu sự đồng ý ở nhiều quốc gia và có thể bị xóa; hơn nữa, việc sử dụng nó được quy định (ví dụ: GDPR ở EU). Mặt khác, việc lấy dấu vân tay được tích hợp ngầm, không có cảnh báo và không lưu trữ vị trí dễ thấy nên người dùng thường không để ý hoặc có thể loại bỏ trực tiếp.
Hậu quả là ngay cả khi bạn xóa lịch sử hoặc kích hoạt chế độ riêng tư, bạn vẫn còn nhận ra được nếu sự kết hợp các thuộc tính kỹ thuật vẫn ổn định. Do đó, nó được sử dụng để theo dõi chéo trang web, lập hồ sơ quảng cáo và phân tích hành vi nâng cao.
Cách thức hoạt động của dấu vân tay: thụ động và chủ động
Các trang web tải các tập lệnh tận dụng API trình duyệt để thu thập các tính năng và tạo ra một băm hoặc mã định danhNói chung, có hai cách tiếp cận: thụ động (tận dụng dữ liệu đã có trong các yêu cầu) và chủ động (chạy mã trong trình duyệt của bạn để truy vấn thêm tín hiệu).
Trong dấu vân tay thụ động Tiêu đề HTTP đi kèm với mỗi yêu cầu sẽ được kiểm tra: địa chỉ IP, tác nhân người dùng, ngôn ngữ ưa thích và các định dạng được chấp nhận, cùng nhiều thông tin khác. Thông tin này được truyền đi cùng với mỗi lần tải trang mà không cần thêm tập lệnh nào.
Các tiêu đề hữu ích nhất để lập hồ sơ bao gồm: referer (trang nguồn), User-Agent (trình duyệt và thường là hệ điều hành), Chấp nhận (các loại nội dung), Chấp nhận-Charset (bộ ký tự), Chấp nhận mã hóa (các dạng nén như gzip hoặc br) và Chấp nhận ngôn ngữ (ngôn ngữ được ưu tiên). Những phần này, khi kết hợp lại, đã cung cấp những tín hiệu phân biệt.
Trong dấu vân tay chủ động Trang web chạy JavaScript để yêu cầu cung cấp thêm thông tin chi tiết: phiên bản và nền tảng trình duyệt, bạn có bật cookie hay không, ngôn ngữ chính xác, múi giờ, đặc điểm màn hình (chiều rộng/chiều cao, không gian khả dụng, độ sâu màu), danh sách plugin, phông chữ đã cài đặt, v.v.
Các cơ chế như AJAX cho phép các truy vấn này được thực hiện ở chế độ nền mà không cần tải lại trang và các đối tượng như hoa tiêu y màn Chúng tiết lộ phần lớn thông tin. Ví dụ: navigator.userAgent, navigator.language, navigator.platform, screen.width o screen.colorDepth tiết lộ thông tin chi tiết về môi trường của bạn.
Ngay cả múi giờ có thể được suy ra từ new Date().getTimezoneOffset()và một số giá trị màu hệ thống nhất định có thể được suy ra thông qua các kiểu CSS được tính toán, thêm một lớp đặc điểm kỳ quặc khác, khi được kết hợp lại với nhau, củng cố tính độc đáo dấu chân của bạn.
Các kỹ thuật lấy dấu vân tay phổ biến
Một số kỹ thuật tiên tiến bổ sung cho các tiêu đề và thuộc tính cơ bản để phân biệt thiết bị rất chính xác. Nhiều kỹ thuật hoạt động "ngoài màn hình", vì vậy bạn không nhận thấy bất cứ điều gì trong khi họ đang chạy.
- Dấu vân tay trên vải: Buộc trình duyệt vẽ hình ảnh hoặc văn bản lên canvas HTML5. Sự khác biệt nhỏ về phông chữ, GPU và trình điều khiển khiến đầu ra nhị phân thay đổi tùy theo thiết bị, mang lại tín hiệu rất mạnh mẽ.
- WebGL và kết xuất: tạo ra đồ họa không nhìn thấy được (thường là 3D) và đo lường cách chúng được hiển thị. Các biến thể giữa các GPU, trình điều khiển y hệ điều hành họ phản bội phần cứng với độ chính xác cao.
- Dấu vân tay âm thanh: Phân tích cách hệ thống xử lý âm thanh. Đường truyền âm thanh (trình điều khiển, phần cứng và phần mềm) tạo ra những khác biệt tinh tế đóng vai trò là các yếu tố nhận dạng; cũng có những cách sử dụng hợp pháp liên quan đến DRM và kiểm soát bản sao.
- Dấu vân tay phương tiện/thiết bị: Liệt kê các thiết bị truyền thông (máy ảnh, micrô, tai nghe) và mã định danh của chúng. Việc này thường yêu cầu người dùng cấp quyền, nên ít phổ biến hơn nhưng rất hữu ích khi có được.
- Theo dõi hành vi: các kiểu sử dụng như di chuyển chuột, nhịp độ gõ phím hoặc cách bạn cuộn trang. Những tín hiệu hành vi này, thường được tăng cường bằng trí tuệ nhân tạo, giúp xác định sở thích và phát hiện tự động hóa.
- Lấy dấu vân tay trên nhiều trình duyệt: cố gắng ghim mã định danh vào phần cứng đã có thuộc tính hệ thống để nhận dạng người dùng trên các trình duyệt khác nhau hoặc thậm chí các thiết bị liên quan.
- Dấu vân tay TLS: Kiểm tra quá trình bắt tay giao thức TLS (bộ mã hóa, phần mở rộng, thứ tự và tùy chọn) để suy ra phần mềm máy khách và thông số cụ thể của ngăn xếp mạng.
- WebRTC: Được thiết kế cho giao tiếp thời gian thực, nó có thể hiển thị địa chỉ IP (bao gồm cả địa chỉ cục bộ), cung cấp tín hiệu mạng rất nhất quán nếu không được cấu hình đúng cách.
IP và cổng có quan trọng không?
Mặc dù địa chỉ IP xuất hiện trong mọi yêu cầu, giá trị của nó đối với việc lấy dấu vân tay thuần túy bị hạn chế vì lý do thực tế và pháp lý. Một mặt, phân bổ động làm cho địa chỉ của bạn thay đổi với el tiempo; mặt khác, các kỹ thuật như NAT ngụ ý rằng nhiều người dùng chia sẻ cùng một IP công cộng.
Cổng TCP cũng không cung cấp một mã định danh đáng tin cậy: cảng xuất xứ Nó được chọn ngẫu nhiên cho mỗi kết nối và các cổng đích cho các dịch vụ web (chẳng hạn như 80 hoặc 443) là tiêu chuẩn và được chia sẻ bởi tất cả mọi người.
Công dụng: giữa tiện ích và rủi ro
Mục đích chính là theo dõi chéo trang web Dành cho quảng cáo và cá nhân hóa. Với lịch sử duyệt web đầy đủ, bạn có thể xây dựng hồ sơ chính xác cao về sở thích, thói quen tiêu dùng và thậm chí cả các khía cạnh nhạy cảm (ví dụ: chủ đề sức khỏe được suy ra từ tìm kiếm).
Nó cũng áp dụng cho an ninh: phát hiện gian lận (độ phân giải bất thường, trình duyệt cũ dễ bị tấn công, mô hình tự động hóa), xác thực ứng dụng web và cảnh báo sớm về hành vi bất thường. Nó thậm chí còn giúp nhận biết đặc điểm của botnet và giảm thiểu DDoS.
Giá động minh họa một khía cạnh khác của câu chuyện: với các tín hiệu kinh tế xã hội suy ra (vị trí, thiết bị chung), một số nhà bán lẻ điều chỉnh giá thời gian thựclàm dấy lên lo ngại về tính công bằng của những hoạt động này.
Ngoài ra, các trung gian dữ liệu có thể kết hợp thông tin từ thế giới vật lý (hồ sơ công khai, chương trình khách hàng thân thiết) với dấu chân kỹ thuật số của bạn, nâng cao xác định lại ngay cả khi bạn không bao giờ đăng nhập vào dịch vụ nào đó.
Khung pháp lý hiện hành
Ngày nay, dấu vân tay là pháp lý ở hầu hết các khu vực pháp lý, nhưng khuôn khổ pháp lý khá phức tạp. Tại EU, GDPR quy định việc xử lý dữ liệu cá nhân, và Chỉ thị về Quyền riêng tư điện tử (đang được thảo luận) tìm cách bao hàm các hoạt động như lấy dấu vân tay ngoài cookie truyền thống.
Không có luật riêng tư liên bang toàn diện nào ở Hoa Kỳ. Các quy định như CCPA (California) hoặc luật môi giới dữ liệu của Vermont đề cập đến các khía cạnh của việc thu thập và giao dịch dữ liệu, nhưng không đề cập cụ thể đến việc sử dụng các kỹ thuật này.
Các biện pháp để giảm thiểu dấu chân của bạn
Việc loại bỏ hoàn toàn là không thực tế, nhưng vẫn có thể thực hiện được. giảm nhẹ giá trị định danh. Có hai chiến lược kỹ thuật chính ở cấp độ trình duyệt: khái quát hóa và ngẫu nhiên hóa.
La sự khái quát Nó đồng nhất các phản hồi API để nhiều người dùng "trông giống nhau", làm giảm tính độc đáo. ngẫu nhiên hóa tạo ra những biến thể nhỏ, được kiểm soát trong các thuộc tính theo thời gian, khiến việc theo dõi liên tục trở nên khó khăn.
Một số trình duyệt đã tích hợp tính năng phòng thủ: Tor khuyến khích tất cả người dùng gửi một dấu chân đồng đềuBrave áp dụng tính năng ngẫu nhiên và chặn nhiều vectơ; Firefox mặc định chặn các trình theo dõi đã biết như một phần của tính năng Bảo vệ theo dõi nâng cao.
các VPN Proxy giúp ẩn thông tin IP và vị trí, nhưng không ngăn chặn được các kỹ thuật chủ động (Canvas, WebGL, âm thanh, API trình duyệt). Chúng chỉ là một phần bổ sung hữu ích, chứ không phải là giải pháp chống lưu dấu vân tay hoàn chỉnh.
Các tiện ích mở rộng tập trung vào quyền riêng tư có thể chặn các tập lệnh và trình theo dõi (uBlock Origin, Privacy Badger) hoặc thậm chí là việc sử dụng JavaScript trên các trang web không đáng tin cậy (NoScript). Thật tốt khi biết rằng bằng cách vô hiệu hóa JavaScript nhiều dịch vụ bị xuống cấp hoặc ngừng hoạt động.
Về mặt điều hướng, các công cụ tìm kiếm như DuckDuckGo ngăn chặn việc theo dõi truy vấn. Và điều đáng nhớ là bạn càng áp dụng nhiều plugin, chủ đề và tùy chỉnh thì càng dễ dàng phân biệt thiết bị của bạn phần còn lại
Khuyến nghị từ các cơ quan chức năng và thực tiễn tốt
Đối với người dùng: hãy thể hiện sở thích của bạn bằng Không Theo Dõi (mặc dù không phải ai cũng tôn trọng), hãy cài đặt trình chặn đáng tin cậy, cân nhắc việc chuyển đổi trình duyệt theo ngữ cảnh và sử dụng chế độ duyệt riêng tư khi biết giới hạn của nó so với việc lưu dấu vân tay.
Đối với nhà phát triển: Cung cấp các tùy chọn rõ ràng cho chấp nhận hoặc từ chối Quyền và theo dõi áp dụng các cài đặt riêng tư nhất theo mặc định và cho phép người dùng giảm bớt chúng nếu muốn.
Đối với các thực thể khai thác dấu chân: báo cáo minh bạch, yêu cầu sự đồng ý khi thích hợp, tạo điều kiện thuận lợi cho việc thực hiện các quyền, ghi lại các hoạt động xử lý và thực hiện phân tích rủi ro bảo vệ dữ liệu trước khi triển khai các kỹ thuật này.
Kiểm tra tính độc đáo của bạn: các công cụ hữu ích
Nếu bạn muốn đánh giá mức độ tiếp xúc của mình, các dự án như amIUnique Chúng cho bạn thấy những thuộc tính nào làm nên sự độc đáo của bạn và mức độ hiếm có của sự kết hợp này so với hàng triệu dấu vân tay khác. Bạn sẽ thấy các phần với HTTP, JavaScript và đồ họa (WebGL/Canvas), và thậm chí cả tính năng phát hiện trình duyệt bị chặn.
Những dịch vụ này giúp xác định điểm yếu: phông chữ đã cài đặt, tiện ích mở rộng có thể phát hiện, API bị lộ, rò rỉ IP WebRTC, v.v. Bằng cách tinh chỉnh cài đặt và tiện ích mở rộng, bạn có thể giảm đáng kể tính độc đáo của mình.
Nhiều tín hiệu hơn mà dấu vân tay tận dụng
Trên điện thoại di động, ngoài model và phiên bản Android/iOS, còn có những yếu tố sau đây: độ phân giải, trạng thái pin, mạng và ứng dụng của trình duyệt. Các thiết bị như TV thông minh Chúng cũng có thể cung cấp tín hiệu. Trên màn hình nền, ngoài các plugin, danh sách nguồn, codec âm thanh/video và số lượng màn hình cũng được làm nổi bật.
Ngoài ra còn có các kỹ thuật phát hiện gián tiếp, chẳng hạn như chèn tài nguyên từ các khu vực dịch vụ riêng tư (ví dụ: từ mạng xã hội) vào DOM và quan sát xem tải hoặc lỗi với các sự kiện đang tải/đang lỗi, để suy ra liệu bạn đã được xác thực ở chế độ nền hay chưa.
Ở cấp độ mạng, dấu vân tay TLS kiểm tra các tham số bắt tay (mã hóa, phần mở rộng và thứ tự của chúng) để lập hồ sơ khách hàng. Cùng với tiêu đề và hành vi lưu trữ đệm/nén, đây là một lớp phân biệt khác.
Các công cụ phân tích lưu lượng truy cập và bảo mật (các công cụ đánh hơi như Wireshark hoặc các bộ ứng dụng như Ettercap/Nessus) đóng một vai trò khác: chúng không phải là dấu vân tay trình duyệt theo nghĩa chặt chẽ, nhưng chúng cho phép quan sát giao thông, khám phá các hệ thống và phát hiện các lỗ hổng kết hợp với việc xác định khách hàng để nâng cao khả năng lập hồ sơ.
Chi phí cơ hội và cân bằng
Việc giảm dấu chân của bạn có thể ảnh hưởng đến trải nghiệm của bạn: một số trang web sẽ yêu cầu kích hoạt tập lệnh, cấp quyền truy cập phương tiện hoặc nới lỏng các hạn chế để hoạt động. Đã đến lúc tìm kiếm sự cân bằng giữa quyền riêng tư, bảo mật và sự tiện lợi dựa trên trường hợp sử dụng của bạn.
Một cách tiếp cận hợp lý là giữ một trình duyệt "cứng" cho các tác vụ nhạy cảm và một trình duyệt khác cho phép cho nhu cầu sử dụng hàng ngày, với các tiện ích mở rộng và chính sách khác biệt. Giảm thiểu các tùy chỉnh không cần thiết và định kỳ kiểm tra các ứng dụng đã cài đặt.
Trình duyệt và thiết bị của bạn tiết lộ nhiều hơn bạn tưởng. Biết được dấu chân đó được tạo ra như thế nào, điều gì thúc đẩy nó và những công cụ nào làm giảm tính độc đáo của bạn giúp bạn kiểm soát: hạn chế các tín hiệu bị lộ và đồng nhất hồ sơ của bạn sẽ khiến việc theo dõi bạn trở nên khó khăn hơn nhiều.
Người viết đam mê về thế giới byte và công nghệ nói chung. Tôi thích chia sẻ kiến thức của mình thông qua viết lách và đó là những gì tôi sẽ làm trong blog này, cho bạn thấy tất cả những điều thú vị nhất về tiện ích, phần mềm, phần cứng, xu hướng công nghệ, v.v. Mục tiêu của tôi là giúp bạn điều hướng thế giới kỹ thuật số một cách đơn giản và thú vị.