Hvordan kan jeg se, hvordan mit browserfingeraftryk ser ud?

EFF's coveryourtracks.eff.org tester din browser mod et repræsentativt udsnit og rapporterer din entropi. AmIUnique.org gør lignende med et andet datasæt. Begge vil fortælle dig, om din specifikke browser er entydigt identificerbar.

Hjælper privat browsing eller inkognitotilstand?

Næsten slet ikke. Privat tilstand forhindrer cookies og historik i at blive gemt, men egenskaberne for fingeraftryk i din browser (Canvas hash, skrifttyper, skærmstørrelse osv.) er identiske i privat tilstand. Trackeren genidentificerer dig på tværs af normale og private sessioner med høj pålidelighed.

Påvirker en VPN mit fingeraftryk?

En VPN ændrer IP- og netværksniveausignalerne (nogle gange), men rører ikke de fleste højentropisignaler. Trackere genlinker det samme fingeraftryk på tværs af VPN-forbindelse/afbrydelse nemt. For fingeraftryksbeskyttelse er det browseren, der betyder noget.

Hvordan adskiller JA3 sig fra browser-fingeraftryk?

JA3 er et fingeraftryk af TLS-håndtrykket - chifferlisten, udvidelsesrækkefølgen og understøttede grupper, som din klient sender. Den er stabil pr. browser/OS-version og synlig for enhver netværksobservatør, inklusive dem, der ikke kan se krypteret indhold. Det supplerer fingeraftryk på browserlag og bruges i nogle bot-detektionssystemer.

Hvis jeg rydder cookies, nulstilles mit fingeraftryk?

Nej. Rydning af cookies sletter lagret tilstand, men fingeraftrykket kommer fra properties på din enhed — skærm, skrifttyper, GPU, tidszone. De ændrer sig ikke, når du sletter opbevaring. Det er derfor, at fingeraftryk er så vedvarende og så vanskeligt at undslippe uden specialiseret browserhærdning.

Browserfingeraftryk forklaret: Identitet uden cookies

Browserfingeraftryk er den sporingsteknik, der overlevede cookie-æraen. Det fungerer ved at kombinere snesevis af små signaler - skrifttyper, skærmstørrelse, lydgengivelse, WebGL-adfærd - til en næsten unik identifikator, der følger dig på tværs af websteder uden at have brug for nogen lagret tilstand. Indvirkningerne på privatlivets fred er større, end de fleste brugere er klar over.

Hele artiklens krop findes på engelsk nedenfor.

Browser-fingeraftryk er praksis med at identificere en bruger på tværs af sessioner ved at kombinere browsereksponerede signaler til en stabil hash. Det kræver ikke cookies, kræver ikke tilladelse og gemmer ikke noget på din enhed. To velkendte fingeraftryksbiblioteker (FingerprintJS, ClearScript) kan producere identifikatorer, der er stabile nok til at gen-linke en bruger med 95 %+ nøjagtighed på tværs af browsergenstarter og endda cookie wipes. point:

User-Agent string — browser, version, OS
Skærmdimensioner og farvedybde
Tidszone offset2PLZXXPLXXInstalled2PLZXXPL0XXInstalled2PLZXXPL09 skrifttyper — målbar via lærredstekstgengivelse eller ved at kontrollere, hvilke skrifttypenavne, der gengives ved forventede bredder
Browser-plugins/udvidelser
LsprogpræferencerXPL4-gengivelse31XXPLZ3C hash — et fast testbillede gengivet gennem browserens Canvas API producerer forskellige hashes på forskellige grafikstakke
WebGL renderer string — GPU-modellen, der ofte er unik nok på sin egen FFT-output afslører subtile hardwareforskelle
Battery API, omgivende lyssensor på mobil
HTTP/2-indstillinger, TLS-krypteringsrækkefølge, JA3 hash — netværksniveausignaler PLZ3XMo, scroll, bevægelser på netværksniveau, PLZ3XMo, scroll skriverytmer — passiv adfærdstelemetri

Individuelt er hver enkelt laventropi. Kombineret giver de ofte en unik nok identifikator til at spore brugere selv på tværs af forskellige IP'er og browsersessioner.

The entropy math

TFor unikt at identificere én bruger blandt 8 milliarder, har du brug for omkring 33 bits entropi (2^33 ≈ 8,5 milliarder). En typisk desktopbrowser lækker 20-30 bits passivt. Et par interaktive signaler (Canvas-hash, AudioContext, WebGL) plus en skrifttypeliste skubber ofte det samlede antal forbi 33 bit, hvilket gør fingeraftrykket unikt identificerende.

EFF's Cover Your Tracks-test (efterfølgeren til Panopticlick) måler din specifikke entropi og fortæller dig, hvor identificerbar du er.

65Actives fingeraftryk

Passive fingeraftryk læser kun det, browseren sender automatisk — User-Agent, Accept-Language, TLS-håndtryk. Siden gør ikke noget særligt; det observerer bare.

Active fingeraftryk udfører JavaScript, der sonderer miljøet: gengiver et testbillede, mål en sinusbølge, opregn skrifttyper. Meget mere invasiv og meget mere unik. JavaScript indlæses gennemsigtigt - brugeren ser ingen indikation af, at der sker noget særligt.

Hvor fingeraftryk bruges lovligt

Svindeldetektering kører på fingeraftryk. Banker, betalingsbehandlere, billetwebsteder og e-handel af høj værdi bruger det alle til at registrere enhedsovertagelse, kontodeling og bottrafik. Når en kendt kundes konto pludselig logger ind fra et fingeraftryk, der aldrig er blevet set, beder systemet om yderligere bekræftelse. Størstedelen af "hvorfor bliver jeg bedt om at verificere" friktionsbrugernes oplevelse er fingeraftryksdrevet.

Denne brug anses generelt for forsvarlig. De samme teknikker, der bruges til at spore annoncevisninger på tværs af websteder, er ikke.

Browser-svaret

Browser-leverandører er begyndt at slå tilbage med meget forskellige strategier:

Safari (Apple) reducerer entropi i systemrapporter — bruger generiske skrifttypelister, randomiserer Canvas-læsninger, blokerer fingeraftryk fra kendte lister.
Firefox har Resist Fingerprinting (en kraft-bruger-, lyd- og tekstværdi), der returnerer tid, tekst zone osv.
Tor Browser og Mullvad Browser sender Resist Fingerprinting til som standard, og præsenterer et identisk fingeraftryk til en stor "besætning". Se vores Mullvad Browser-artikel.
Brave randomiserer Canvas/Audio-output pr. session – hvert besøg ligner en anden bruger.
Chrome har været langsommere til at handle; Privacy Sandbox inkluderer nogle entropi-reduktionsmål, men tidslinjen er langsom, og interessekonflikterne er indlysende.

Hvorfor en VPN alene ikke løser dette

A VPN ændrer din netværksidentitet - din IP, ASN og tilsyneladende placering - men ikke din browseridentitet. Din Canvas-hash, skrifttypeliste, GPU-model og tidszone er alle de samme før og efter VPN-forbindelsen. For en fingeraftrykstracker er du den samme bruger, som nu opretter forbindelse fra en anden IP. IP-ændringen gør dig faktisk lidt mere identificerbar: "ny IP, samme fingeraftryk" er et højsikkerhedslink.

Forsvaret mod fingeraftryk er browseren, ikke netværket. En privatlivshærdet browser plus en VPN er den rigtige kombination.

Praktiske anbefalinger

For de fleste brugere er der to ændringer, der fanger hovedparten af fordelen:

Brug en browser, der som standard modstår fingeraftryk med Firefox, 6X Resist Browser, 6X Resist Browser eller Firefox. Fingeraftryk aktiveret.
Installer ikke usædvanlige udvidelser. Alle ualmindelige udvidelser er brændstof til fingeraftryk. En ren installation af en hærdet browser blander sig i en stor skare.

De faldende afkast sætter hurtigt ind - når du først er inde i Tor Browsers anonymitetssæt, bliver yderligere hærdning en mindre forbedring.

Ofte stillede spørgsmål

Hvordan kan jeg se, hvordan mit browserfingeraftryk ser ud?: EFF's coveryourtracks.eff.org tester din browser mod et repræsentativt udsnit og rapporterer din entropi. AmIUnique.org gør lignende med et andet datasæt. Begge vil fortælle dig, om din specifikke browser er entydigt identificerbar.
Hjælper privat browsing eller inkognitotilstand?: Næsten slet ikke. Privat tilstand forhindrer cookies og historik i at blive gemt, men egenskaberne for fingeraftryk i din browser (Canvas hash, skrifttyper, skærmstørrelse osv.) er identiske i privat tilstand. Trackeren genidentificerer dig på tværs af normale og private sessioner med høj pålidelighed.
Påvirker en VPN mit fingeraftryk?: En VPN ændrer IP- og netværksniveausignalerne (nogle gange), men rører ikke de fleste højentropisignaler. Trackere genlinker det samme fingeraftryk på tværs af VPN-forbindelse/afbrydelse nemt. For fingeraftryksbeskyttelse er det browseren, der betyder noget.
Hvordan adskiller JA3 sig fra browser-fingeraftryk?: JA3 er et fingeraftryk af TLS-håndtrykket - chifferlisten, udvidelsesrækkefølgen og understøttede grupper, som din klient sender. Den er stabil pr. browser/OS-version og synlig for enhver netværksobservatør, inklusive dem, der ikke kan se krypteret indhold. Det supplerer fingeraftryk på browserlag og bruges i nogle bot-detektionssystemer.
Hvis jeg rydder cookies, nulstilles mit fingeraftryk?: Nej. Rydning af cookies sletter lagret tilstand, men fingeraftrykket kommer fra <em>properties på din enhed</em> — skærm, skrifttyper, GPU, tidszone. De ændrer sig ikke, når du sletter opbevaring. Det er derfor, at fingeraftryk er så vedvarende og så vanskeligt at undslippe uden specialiseret browserhærdning.