译者 | 晶颜
审校 | 重楼
随着网络数据成为一座金矿,浏览器指纹(Browser Fingerprinting)在日常浏览中变得越来越普遍。而作为用户的我们,也在不知不觉中为此做出贡献。根据2021年的一项研究显示,超过四分之一的“Alexa Top 10000”网站正在使用浏览器指纹脚本。这些网站包括(但不限于):
- 谷歌
- YouTube
- X(Twitter)
- 亚马逊
如果你想知道如何隐藏自己的浏览器指纹,并在浏览网络时恢复自己的匿名性,这篇文章正好能够解决你的烦恼。
什么是浏览器指纹?
切勿将浏览器指纹(Browser Fingerprinting)与cookie混为一谈,前者是一种对你的浏览会话进行各种度量以建立有关你的活动“图像”的方法。网站会在你不知情的情况下收集大量关于你的信息。与cookie不同,指纹不需要用户的同意,也没有“选择退出”功能,这个功能在你首次使用cookie访问网站时通常会看到。
指纹是在后台收集的,主要使用一小段JavaScript,扫描所有可用的浏览器和系统参数,以创建有关你及你行为的图像。近年来,由于指纹技术在广告和营销中的应用,它的受欢迎程度呈爆炸式增长。我们都知道个性化和准确的数据可以带来的价值,而你的指纹恰恰提供了这一点。
你的指纹是非常独特的,是随着时间的推移从你的网络访问行为中建立起来的。电子前沿基金会(EFF)发现,在28.6777万个浏览器中,只有一个会与其他用户共享相同的指纹。
指纹不仅仅是一个平台所独有的,移动和桌面设备上都能找到它们的踪迹。2016年进行的一项研究调查了11.8934万个浏览器指纹,结果发现90%的桌面浏览器和81%的移动浏览器都有唯一的指纹。
识别指纹的一个简单方法是从识别其主要成分开始。具体如下所示:
- 导航器(Navigators):浏览器及其环境;
- 画布(Canvas):用于测量渲染的HTML5画布;
- WebGL:显示GPU和驱动程序信息;
- 字体(Font):系统可用字体和活动字体;
- 机器人(Bot):任何非人类的活动;
- WebRTC:网络信息;
- 音频(Audio):任何唯一的音频信号或输出swebgl2:来自GL1的更高级信号。
然而,指纹正变得越来越复杂。现在,我们从70多个数据点出发,来看看浏览器指纹的典型组成因素:
浏览器和网络信息
网站可以追踪你的浏览器版本、你的设备平台或架构(例如,32位或64位),甚至你的连接类型——无论是Wi-Fi、4G还是以太网。他们还会试图通过你的IP地址检查你的位置,并在TLS/SSL握手期间检查你的时区和支持的加密协议等设置。如果你使用代理或VPN,也可以检测到。
特定于设备的详细信息
通过WebGL/GL2,指纹识别工具可以直接查看设备的硬件,识别GPU(图形卡)、CPU及其核心数、可用内存,甚至电池电量。你使用的设备类型,无论是移动设备、台式机还是平板电脑,统统包含在内。
浏览器配置
网站会检查你安装了什么字体,你正在运行什么扩展,甚至你的浏览器中可用的存储机制,比如IndexedDB或WebSQL。像你的网络摄像头或麦克风这样的媒体设备也会被记录下来,以及你是否启用了“禁止跟踪”设置。
视觉和渲染数据
视觉和渲染数据是指纹的主要组成部分。从分析WebGL渲染器到检查颜色深度和渲染速度等显示属性,每个像素都很重要——甚至是你对特定CSS媒体查询的响应。
它也被称为“画布”(canvas)指纹,通常是最常见的指纹方法,使用浏览器的HTML5“画布”来构建你的图像。
行为模式
你的鼠标移动、输入节奏和滚动行为都无意中揭示了你的个性。网站会跟踪这些互动,以补充你的指纹,让你更难避免被发现。
先进的跟踪技术
网站可以使用Web audio API收集有关音频输出设置和振荡器频率的数据。“画布”指纹是另一个狡猾的伎俩;分析浏览器如何呈现图像以提取独特的细节。最后是来自加速度计和陀螺仪的传感器数据(现在经常在手机中找到),虽然很少见。
自定义数据点
除了以上几点,网站还会检查广告拦截器的使用,自动填充设置,剪贴板访问权限,甚至你的referrer信息。
指纹还是cookie?
cookie和浏览器指纹都是用来跟踪用户在线的工具,但它们的运作方式却明显不同。cookie是网站存储在你设备上的小块数据,用于记住你的访问信息,如登录详细信息或购物车内容。它们是透明和可管理的,允许用户通过浏览器设置查看、删除或阻止它们。然而,指纹完全是被动的;它们静默地收集数据,不需要存储在你的设备上,也不需要你的任何直接交互。
关键的区别在于是否“同意”。cookie通常需要通过熟悉的“cookie同意”横幅获得用户许可,允许用户选择退出或限制其使用。然而,指纹是不为人知的:没有提示,没有披露,当然也没有“接受全部”按钮。这使得指纹更具侵入性,更难以检测或反击。
与相对容易删除或阻止的cookie不同,指纹是通过分析你的浏览器和系统配置动态创建的,让你几乎没有办法阻止它们的使用。
另一个区别是持久性。cookie会过期或被手动删除,这意味着它们的跟踪功能是暂时的。指纹是建立在来自硬件、软件和行为的数据基础上的,这些数据变化的频率较低。这使得指纹成为一种长期的跟踪方法——它可以跨越会话、设备甚至不同的网络跟踪你,通常会绕过隐私浏览模式或VPN等传统的隐私工具。虽然cookie至少提供了一种控制方法,但指纹被设计成几乎不可能完全删除。
特性 | Cookies | 指纹 |
跟踪 | 存储在用户的设备上,通常需要用户明确同意。 | 未经用户同意的被动数据收集。 |
透明度 | 需要用户同意;用户可以查看、删除或阻止cookies。 | 通常在用户不知情或无法选择退出的情况下悄无声息地运行。 |
持久性 | 暂时的;可以过期或手动删除。 | 长期:基于硬件、软件和很少变化的行为数据。 |
范围 | 除非明确共享,否则仅限于特定网站。 | 跟踪用户跨网站,会话,设备,甚至不同的网络。 |
规避难度 | 可以很容易地使用浏览器设置或扩展进行阻止或管理。 | 需要先进的措施,如反检测浏览器或专门的工具,以尽量减少暴露。 |
信息披露 | 通过横幅和隐私政策公开披露。 | 几乎从未披露过,这使得用户很难理解他们什么时候被录入了指纹。 |
为什么我会被采集指纹?
尽管存在隐私问题,但指纹为合法用例提供了各种数据点,通常用于保护企业免受欺诈、身份验证方法和各种类型的自动化的侵害。以下是指纹在追踪和广告之外的一些用途:
- 欺诈检测:指纹为可能遭受严重欺诈的站点提供早期预警指标。并非所有隐藏指纹的人都是因为担忧隐私;有些则更加险恶。一个被打乱的或不真实的指纹可以用来识别那些存在恶意企图的人,并可以成为抵御这些人的第一道防线。
- 帐户创建和恢复:通常,在大型社交网络中,指纹可以防止同一用户生成/创建太多帐户。这可以防止他们网站上的垃圾邮件,并提供更强大的保护。例如,指纹是防止社交网络上的垃圾广告或防止投票/竞争操纵的大规模注册的好方法。除此之外,对于那些在忘记登录后需要恢复帐户的人来说,匹配指纹也是一个非常有用的工具,可用于验证用户是否存在。
- 内容个性化:不管你喜不喜欢,内容个性化都离不开指纹。广告和网页的个性化可以建立在你的使用历史上,引导你达到想要看到、听到的内容。
指纹的隐私担忧
浏览器指纹的被动特性带来了严重的隐私问题。指纹识别继续通过以下方式侵犯你的浏览匿名性:
- 持久跟踪:指纹可以用来跟踪用户在不同的网站和会话,即使cookie被清除,或使用私人浏览模式。
- 缺乏透明度:用户通常不知道他们的信息正在被收集,因为指纹识别没有得到明确同意。这让许多用户措手不及;大多数人都没有意识到他们留下的足迹有多深。它不再像使用“隐身”浏览标签那么简单。从来没有一个横幅或公告告知你被跟踪了。一切都在悄无声息地进行,你正在浏览的网站正在慢慢地创建你的肖像。你知道谷歌Chrome的“incognito”对任何指纹或其他跟踪都没有任何保护作用吗?
- 规避困难:与可以通过浏览器设置来管理的cookie不同,避免指纹识别需要更高级的措施。这为某些群体(比如老人、孩子和技术受限的企业)创造了一个不公平的竞争环境。如果事先不知情,你永远不会知道自己被跟踪了。越来越多的证据表明,指纹正被用于制作超定向广告。你的浏览创造了几乎完美的广告形象。
我被采集指纹了吗?
你是否曾经发现自己在网上浏览过一个产品后,该产品的广告会在不同的网站上“跟着”你?
很显然,你被采集指纹了!
当你在网上浏览产品时,零售商可以在回访时使用你的浏览器指纹来识别你,即使你已经清除了你的cookies。这使得他们可以定制产品推荐,调整定价策略,或者根据你之前的互动向你投放个性化广告。它甚至可以跨设备使用,你可能会在手机上看到两个小时前在电脑上看过的广告。
当你浏览旅游网站、航空公司或预订平台时,也可以看到类似的概念。浏览器指纹使这些服务能够跟踪你的唯一踪迹,即使你清除了cookie或使用了“隐身”模式。通过识别出你是“回头客”,他们可以利用这些数据来调整定价策略,并创造一种紧迫感。例如,反复搜索某个特定的航班或酒店可能表明人们对其兴趣浓厚,从而促使价格动态上涨,促使人们在价格进一步上涨之前更快地做出预订决定。
浏览器指纹还可以揭示你的位置、设备类型和浏览习惯等细节,旅游平台可以利用这些信息提供个性化服务。如果你从高收入地区或使用高级设备访问该网站,你可能会看到更昂贵的选择或被排除在折扣之外,因为系统推断出更高的支付意愿。另一方面,本土化的交易或促销活动可能会根据你的地理特征呈现,提供特定地区的奖励。这被称为“精准群体营销”,根据人们的在线资料进行指纹识别和标签可以被视为一个主要的道德问题。
此外,指纹还可以实现跨站点重定向,允许旅游服务在不相关的网站上跟踪你。在浏览了航班或度假套餐后,你可能会注意到同样选项的广告,上面写着“独家折扣”或“有限供应”。这些策略利用你的浏览行为来推动你购买,通常会增加快速行动的压力。
反指纹策略
随着网站争相收集所有可能的数据,并在数字法律范围内跟踪你的活动,指纹识别变得相当具有侵入性。这不仅适用于普通人,也适用于任何在线运行抓取或自动化的人。在对抗机器人的战争中,指纹成为了一把利刃。
幸运的是,下述一些方法可以让你的活动保持匿名性:
使用反检测浏览器
反检测浏览器被设计成随机化或掩盖指纹工具所依赖的唯一签名。这些浏览器通常模拟硬件、软件和网络环境的各种配置,这使得跟踪器很难生成一致的指纹。
通过使用真实指纹创建不同的用户配置文件,他们开始抵消指纹识别的企图。这对于从事自动化、抓取或其他匿名性至关重要的活动的个人来说尤其有益。
我们已经在下面的文章中详细介绍了反检测/隐私浏览器以及如何开始使用:
将反检测浏览器与代理配对是掩盖在线痕迹的好方法。住宅代理(Residential Proxies)提供了一种隐藏IP地址的方法,并在任何大规模在线抓取或自动化操作中发挥关键作用。
使用扩展/工具
浏览器扩展和专用工具也可以在防止指纹识别方面发挥关键作用。以隐私为重点的扩展,如广告拦截器、脚本拦截器或指纹拦截工具,限制了网站可以从你的系统中提取的信息。
可用于此目的的流行工具和扩展包括以下几种:
- Privacy Badger
- Ghostery
- uBlock
- DuckDuckGo
浏览器指纹的伦理问题
浏览器指纹由于其隐蔽性和侵入性引起了重大的伦理问题。与cookie不同,指纹没有得到用户的明确同意,这破坏了其他人所倡导的知情权和隐私原则。缺乏透明度意味着用户往往不知道所收集的数据或数据可能被滥用。
此外,指纹可能会导致不道德的行为,如群体分析或歧视性定价。例如,来自特定地区或拥有高端设备的用户可能面临过高的价格,从而加剧了不平等。此外,反指纹识别的困难性对儿童或技术不太熟练的人等弱势群体的影响尤为严重,从而加剧了数字鸿沟。
尽管存在道德问题,指纹在许多地区仍然是合法的,并且正在现有数字法律的范围内广泛应用。在欧盟等地区,《通用数据保护条例》(GDPR)规定了数据收集的透明度和合法性,但由于指纹的被动性质,它经常会利用这些漏洞。同样地,在美国,《加州消费者隐私法案》(CCPA)等法规也为用户提供了一些权利。然而,针对无声跟踪(比如指纹提供的追踪)的执法仍然有限,而且很少执行。
结语
浏览器指纹已经成为一种强大但有争议的在线跟踪工具,它将复杂的技术与深刻的隐私影响结合在一起。与使用cookie不同,指纹被动地收集数据,且能够规避传统的隐私防御措施,如“隐身”,使其成为一种极具侵入性的跟踪方法。虽然存在合法的用例,例如防止欺诈,但随着数据变得越来越有价值,缺乏用户知情权和“同意”将继续引发道德问题。
常见问题
什么是浏览器指纹,它与cookie有什么不同?
浏览器指纹是一种网站用来收集有关你的浏览器、设备和上网习惯等独特数据的方法,且该过程无需征得你的同意。与需要征得同意、可以被阻止或删除的cookie不同,指纹是不可见的,会悄无声息地进行。它们依赖于你的硬件和浏览模式等细节,这使得它们比cookie更持久,更难以规避。
网站是如何使用我的指纹的,为什么这是一个问题?
网站使用指纹来个性化广告、检测欺诈或识别机器人。然而,缺乏透明度令人担忧。即使你删除了cookie或使用隐私浏览功能,指纹也能让你在网站间持续追踪。这可能会导致定向广告、价格操纵和其他隐私问题,最重要的是所有这些都没有征得你的同意。
我怎么知道自己是不是被采集了指纹?
你可以使用诸如Cover your Tracks或Browserleaks等免费工具来检查网站对你浏览器的了解。这些工具会揭示你的指纹有多独特,并显示是什么让你在网上被识别出来。独一无二的指纹意味着你更容易被追踪。
我如何保护自己避免被采集指纹?
你可以使用隐私保护工具,如Privacy Badger、Ghostery或uBlock Origin。尝试反检测浏览器(如GoLogin/MultiLogin)随机化你的指纹。与住宅代理配对以隐藏你的IP地址。使用像Brave或Tor这样的隐私优先浏览器来增加匿名性。
原文标题:The Sneaky Way Web Browsers Are Identifying You (Even When You Turn Off Cookies),作者:Rampage Proxies
