譯者 | 晶顏
審校 | 重樓
隨著網絡數據成為一座金礦,瀏覽器指紋(Browser Fingerprinting)在日常瀏覽中變得越來越普遍。而作為用戶的我們,也在不知不覺中為此做出貢獻。根據2021年的一項研究顯示,超過四分之一的“Alexa Top 10000”網站正在使用瀏覽器指紋腳本。這些網站包括(但不限于):
- 谷歌
- YouTube
- X(Twitter)
- 亞馬遜
如果你想知道如何隱藏自己的瀏覽器指紋,并在瀏覽網絡時恢復自己的匿名性,這篇文章正好能夠解決你的煩惱。
什么是瀏覽器指紋?
切勿將瀏覽器指紋(Browser Fingerprinting)與cookie混為一談,前者是一種對你的瀏覽會話進行各種度量以建立有關你的活動“圖像”的方法。網站會在你不知情的情況下收集大量關于你的信息。與cookie不同,指紋不需要用戶的同意,也沒有“選擇退出”功能,這個功能在你首次使用cookie訪問網站時通常會看到。
指紋是在后臺收集的,主要使用一小段JavaScript,掃描所有可用的瀏覽器和系統參數,以創建有關你及你行為的圖像。近年來,由于指紋技術在廣告和營銷中的應用,它的受歡迎程度呈爆炸式增長。我們都知道個性化和準確的數據可以帶來的價值,而你的指紋恰恰提供了這一點。
你的指紋是非常獨特的,是隨著時間的推移從你的網絡訪問行為中建立起來的。電子前沿基金會(EFF)發現,在28.6777萬個瀏覽器中,只有一個會與其他用戶共享相同的指紋。
指紋不僅僅是一個平臺所獨有的,移動和桌面設備上都能找到它們的蹤跡。2016年進行的一項研究調查了11.8934萬個瀏覽器指紋,結果發現90%的桌面瀏覽器和81%的移動瀏覽器都有唯一的指紋。
識別指紋的一個簡單方法是從識別其主要成分開始。具體如下所示:
- 導航器(Navigators):瀏覽器及其環境;
- 畫布(Canvas):用于測量渲染的HTML5畫布;
- WebGL:顯示GPU和驅動程序信息;
- 字體(Font):系統可用字體和活動字體;
- 機器人(Bot):任何非人類的活動;
- WebRTC:網絡信息;
- 音頻(Audio):任何唯一的音頻信號或輸出swebgl2:來自GL1的更高級信號。
然而,指紋正變得越來越復雜。現在,我們從70多個數據點出發,來看看瀏覽器指紋的典型組成因素:
瀏覽器和網絡信息
網站可以追蹤你的瀏覽器版本、你的設備平臺或架構(例如,32位或64位),甚至你的連接類型——無論是Wi-Fi、4G還是以太網。他們還會試圖通過你的IP地址檢查你的位置,并在TLS/SSL握手期間檢查你的時區和支持的加密協議等設置。如果你使用代理或VPN,也可以檢測到。
特定于設備的詳細信息
通過WebGL/GL2,指紋識別工具可以直接查看設備的硬件,識別GPU(圖形卡)、CPU及其核心數、可用內存,甚至電池電量。你使用的設備類型,無論是移動設備、臺式機還是平板電腦,統統包含在內。
瀏覽器配置
網站會檢查你安裝了什么字體,你正在運行什么擴展,甚至你的瀏覽器中可用的存儲機制,比如IndexedDB或WebSQL。像你的網絡攝像頭或麥克風這樣的媒體設備也會被記錄下來,以及你是否啟用了“禁止跟蹤”設置。
視覺和渲染數據
視覺和渲染數據是指紋的主要組成部分。從分析WebGL渲染器到檢查顏色深度和渲染速度等顯示屬性,每個像素都很重要——甚至是你對特定CSS媒體查詢的響應。
它也被稱為“畫布”(canvas)指紋,通常是最常見的指紋方法,使用瀏覽器的HTML5“畫布”來構建你的圖像。
行為模式
你的鼠標移動、輸入節奏和滾動行為都無意中揭示了你的個性。網站會跟蹤這些互動,以補充你的指紋,讓你更難避免被發現。
先進的跟蹤技術
網站可以使用Web audio API收集有關音頻輸出設置和振蕩器頻率的數據。“畫布”指紋是另一個狡猾的伎倆;分析瀏覽器如何呈現圖像以提取獨特的細節。最后是來自加速度計和陀螺儀的傳感器數據(現在經常在手機中找到),雖然很少見。
自定義數據點
除了以上幾點,網站還會檢查廣告攔截器的使用,自動填充設置,剪貼板訪問權限,甚至你的referrer信息。
指紋還是cookie?
cookie和瀏覽器指紋都是用來跟蹤用戶在線的工具,但它們的運作方式卻明顯不同。cookie是網站存儲在你設備上的小塊數據,用于記住你的訪問信息,如登錄詳細信息或購物車內容。它們是透明和可管理的,允許用戶通過瀏覽器設置查看、刪除或阻止它們。然而,指紋完全是被動的;它們靜默地收集數據,不需要存儲在你的設備上,也不需要你的任何直接交互。
關鍵的區別在于是否“同意”。cookie通常需要通過熟悉的“cookie同意”橫幅獲得用戶許可,允許用戶選擇退出或限制其使用。然而,指紋是不為人知的:沒有提示,沒有披露,當然也沒有“接受全部”按鈕。這使得指紋更具侵入性,更難以檢測或反擊。
與相對容易刪除或阻止的cookie不同,指紋是通過分析你的瀏覽器和系統配置動態創建的,讓你幾乎沒有辦法阻止它們的使用。
另一個區別是持久性。cookie會過期或被手動刪除,這意味著它們的跟蹤功能是暫時的。指紋是建立在來自硬件、軟件和行為的數據基礎上的,這些數據變化的頻率較低。這使得指紋成為一種長期的跟蹤方法——它可以跨越會話、設備甚至不同的網絡跟蹤你,通常會繞過隱私瀏覽模式或VPN等傳統的隱私工具。雖然cookie至少提供了一種控制方法,但指紋被設計成幾乎不可能完全刪除。
特性 | Cookies | 指紋 |
跟蹤 | 存儲在用戶的設備上,通常需要用戶明確同意。 | 未經用戶同意的被動數據收集。 |
透明度 | 需要用戶同意;用戶可以查看、刪除或阻止cookies。 | 通常在用戶不知情或無法選擇退出的情況下悄無聲息地運行。 |
持久性 | 暫時的;可以過期或手動刪除。 | 長期:基于硬件、軟件和很少變化的行為數據。 |
范圍 | 除非明確共享,否則僅限于特定網站。 | 跟蹤用戶跨網站,會話,設備,甚至不同的網絡。 |
規避難度 | 可以很容易地使用瀏覽器設置或擴展進行阻止或管理。 | 需要先進的措施,如反檢測瀏覽器或專門的工具,以盡量減少暴露。 |
信息披露 | 通過橫幅和隱私政策公開披露。 | 幾乎從未披露過,這使得用戶很難理解他們什么時候被錄入了指紋。 |
為什么我會被采集指紋?
盡管存在隱私問題,但指紋為合法用例提供了各種數據點,通常用于保護企業免受欺詐、身份驗證方法和各種類型的自動化的侵害。以下是指紋在追蹤和廣告之外的一些用途:
- 欺詐檢測:指紋為可能遭受嚴重欺詐的站點提供早期預警指標。并非所有隱藏指紋的人都是因為擔憂隱私;有些則更加險惡。一個被打亂的或不真實的指紋可以用來識別那些存在惡意企圖的人,并可以成為抵御這些人的第一道防線。
- 帳戶創建和恢復:通常,在大型社交網絡中,指紋可以防止同一用戶生成/創建太多帳戶。這可以防止他們網站上的垃圾郵件,并提供更強大的保護。例如,指紋是防止社交網絡上的垃圾廣告或防止投票/競爭操縱的大規模注冊的好方法。除此之外,對于那些在忘記登錄后需要恢復帳戶的人來說,匹配指紋也是一個非常有用的工具,可用于驗證用戶是否存在。
- 內容個性化:不管你喜不喜歡,內容個性化都離不開指紋。廣告和網頁的個性化可以建立在你的使用歷史上,引導你達到想要看到、聽到的內容。
指紋的隱私擔憂
瀏覽器指紋的被動特性帶來了嚴重的隱私問題。指紋識別繼續通過以下方式侵犯你的瀏覽匿名性:
- 持久跟蹤:指紋可以用來跟蹤用戶在不同的網站和會話,即使cookie被清除,或使用私人瀏覽模式。
- 缺乏透明度:用戶通常不知道他們的信息正在被收集,因為指紋識別沒有得到明確同意。這讓許多用戶措手不及;大多數人都沒有意識到他們留下的足跡有多深。它不再像使用“隱身”瀏覽標簽那么簡單。從來沒有一個橫幅或公告告知你被跟蹤了。一切都在悄無聲息地進行,你正在瀏覽的網站正在慢慢地創建你的肖像。你知道谷歌Chrome的“incognito”對任何指紋或其他跟蹤都沒有任何保護作用嗎?
- 規避困難:與可以通過瀏覽器設置來管理的cookie不同,避免指紋識別需要更高級的措施。這為某些群體(比如老人、孩子和技術受限的企業)創造了一個不公平的競爭環境。如果事先不知情,你永遠不會知道自己被跟蹤了。越來越多的證據表明,指紋正被用于制作超定向廣告。你的瀏覽創造了幾乎完美的廣告形象。
我被采集指紋了嗎?
你是否曾經發現自己在網上瀏覽過一個產品后,該產品的廣告會在不同的網站上“跟著”你?
很顯然,你被采集指紋了!
當你在網上瀏覽產品時,零售商可以在回訪時使用你的瀏覽器指紋來識別你,即使你已經清除了你的cookies。這使得他們可以定制產品推薦,調整定價策略,或者根據你之前的互動向你投放個性化廣告。它甚至可以跨設備使用,你可能會在手機上看到兩個小時前在電腦上看過的廣告。
當你瀏覽旅游網站、航空公司或預訂平臺時,也可以看到類似的概念。瀏覽器指紋使這些服務能夠跟蹤你的唯一蹤跡,即使你清除了cookie或使用了“隱身”模式。通過識別出你是“回頭客”,他們可以利用這些數據來調整定價策略,并創造一種緊迫感。例如,反復搜索某個特定的航班或酒店可能表明人們對其興趣濃厚,從而促使價格動態上漲,促使人們在價格進一步上漲之前更快地做出預訂決定。
瀏覽器指紋還可以揭示你的位置、設備類型和瀏覽習慣等細節,旅游平臺可以利用這些信息提供個性化服務。如果你從高收入地區或使用高級設備訪問該網站,你可能會看到更昂貴的選擇或被排除在折扣之外,因為系統推斷出更高的支付意愿。另一方面,本土化的交易或促銷活動可能會根據你的地理特征呈現,提供特定地區的獎勵。這被稱為“精準群體營銷”,根據人們的在線資料進行指紋識別和標簽可以被視為一個主要的道德問題。
此外,指紋還可以實現跨站點重定向,允許旅游服務在不相關的網站上跟蹤你。在瀏覽了航班或度假套餐后,你可能會注意到同樣選項的廣告,上面寫著“獨家折扣”或“有限供應”。這些策略利用你的瀏覽行為來推動你購買,通常會增加快速行動的壓力。
反指紋策略
隨著網站爭相收集所有可能的數據,并在數字法律范圍內跟蹤你的活動,指紋識別變得相當具有侵入性。這不僅適用于普通人,也適用于任何在線運行抓取或自動化的人。在對抗機器人的戰爭中,指紋成為了一把利刃。
幸運的是,下述一些方法可以讓你的活動保持匿名性:
使用反檢測瀏覽器
反檢測瀏覽器被設計成隨機化或掩蓋指紋工具所依賴的唯一簽名。這些瀏覽器通常模擬硬件、軟件和網絡環境的各種配置,這使得跟蹤器很難生成一致的指紋。
通過使用真實指紋創建不同的用戶配置文件,他們開始抵消指紋識別的企圖。這對于從事自動化、抓取或其他匿名性至關重要的活動的個人來說尤其有益。
我們已經在下面的文章中詳細介紹了反檢測/隱私瀏覽器以及如何開始使用:
將反檢測瀏覽器與代理配對是掩蓋在線痕跡的好方法。住宅代理(Residential Proxies)提供了一種隱藏IP地址的方法,并在任何大規模在線抓取或自動化操作中發揮關鍵作用。
使用擴展/工具
瀏覽器擴展和專用工具也可以在防止指紋識別方面發揮關鍵作用。以隱私為重點的擴展,如廣告攔截器、腳本攔截器或指紋攔截工具,限制了網站可以從你的系統中提取的信息。
可用于此目的的流行工具和擴展包括以下幾種:
- Privacy Badger
- Ghostery
- uBlock
- DuckDuckGo
瀏覽器指紋的倫理問題
瀏覽器指紋由于其隱蔽性和侵入性引起了重大的倫理問題。與cookie不同,指紋沒有得到用戶的明確同意,這破壞了其他人所倡導的知情權和隱私原則。缺乏透明度意味著用戶往往不知道所收集的數據或數據可能被濫用。
此外,指紋可能會導致不道德的行為,如群體分析或歧視性定價。例如,來自特定地區或擁有高端設備的用戶可能面臨過高的價格,從而加劇了不平等。此外,反指紋識別的困難性對兒童或技術不太熟練的人等弱勢群體的影響尤為嚴重,從而加劇了數字鴻溝。
盡管存在道德問題,指紋在許多地區仍然是合法的,并且正在現有數字法律的范圍內廣泛應用。在歐盟等地區,《通用數據保護條例》(GDPR)規定了數據收集的透明度和合法性,但由于指紋的被動性質,它經常會利用這些漏洞。同樣地,在美國,《加州消費者隱私法案》(CCPA)等法規也為用戶提供了一些權利。然而,針對無聲跟蹤(比如指紋提供的追蹤)的執法仍然有限,而且很少執行。
結語
瀏覽器指紋已經成為一種強大但有爭議的在線跟蹤工具,它將復雜的技術與深刻的隱私影響結合在一起。與使用cookie不同,指紋被動地收集數據,且能夠規避傳統的隱私防御措施,如“隱身”,使其成為一種極具侵入性的跟蹤方法。雖然存在合法的用例,例如防止欺詐,但隨著數據變得越來越有價值,缺乏用戶知情權和“同意”將繼續引發道德問題。
常見問題
什么是瀏覽器指紋,它與cookie有什么不同?
瀏覽器指紋是一種網站用來收集有關你的瀏覽器、設備和上網習慣等獨特數據的方法,且該過程無需征得你的同意。與需要征得同意、可以被阻止或刪除的cookie不同,指紋是不可見的,會悄無聲息地進行。它們依賴于你的硬件和瀏覽模式等細節,這使得它們比cookie更持久,更難以規避。
網站是如何使用我的指紋的,為什么這是一個問題?
網站使用指紋來個性化廣告、檢測欺詐或識別機器人。然而,缺乏透明度令人擔憂。即使你刪除了cookie或使用隱私瀏覽功能,指紋也能讓你在網站間持續追蹤。這可能會導致定向廣告、價格操縱和其他隱私問題,最重要的是所有這些都沒有征得你的同意。
我怎么知道自己是不是被采集了指紋?
你可以使用諸如Cover your Tracks或Browserleaks等免費工具來檢查網站對你瀏覽器的了解。這些工具會揭示你的指紋有多獨特,并顯示是什么讓你在網上被識別出來。獨一無二的指紋意味著你更容易被追蹤。
我如何保護自己避免被采集指紋?
你可以使用隱私保護工具,如Privacy Badger、Ghostery或uBlock Origin。嘗試反檢測瀏覽器(如GoLogin/MultiLogin)隨機化你的指紋。與住宅代理配對以隱藏你的IP地址。使用像Brave或Tor這樣的隱私優先瀏覽器來增加匿名性。
原文標題:The Sneaky Way Web Browsers Are Identifying You (Even When You Turn Off Cookies),作者:Rampage Proxies
