איך אני יכול לראות איך נראית טביעת האצבע של הדפדפן שלי?

coveryourtracks.eff.org של EFF בודק את הדפדפן שלך מול מדגם מייצג ומדווח על האנטרופיה שלך. AmIUnique.org עושה דומה עם מערך נתונים אחר. שניהם יגידו לך אם הדפדפן הספציפי שלך ניתן לזיהוי ייחודי.

האם גלישה פרטית או מצב גלישה בסתר עוזרים?

כמעט בכלל לא. מצב פרטי מונע מאחסנת עוגיות והיסטוריה, אך המאפיינים הניתנים לטביעת האצבע של הדפדפן שלך (Canvas hash, גופנים, גודל מסך וכו') זהים במצב פרטי. הגשש מזהה אותך מחדש על פני הפעלות רגילות ופרטיות באמינות גבוהה.

האם VPN משפיע על טביעת האצבע שלי?

VPN משנה את אותות ה-IP והרשת ברמת הרשת (לפעמים), אך אינו נוגע ברוב האותות בעלי האנטרופיה הגבוהה. עוקבים מקשרים מחדש את אותה טביעת אצבע על פני VPN חיבור/ניתוק בקלות. לפרטיות טביעת אצבע, הדפדפן הוא מה שחשוב.

במה שונה JA3 מטביעת אצבע בדפדפן?

JA3 היא טביעת אצבע של לחיצת היד של TLS - רשימת הצפנים, סדר התוספות והקבוצות הנתמכות שהלקוח שלך שולח. זה יציב לכל גרסת דפדפן/מערכת הפעלה וגלוי לכל צופה ברשת, כולל כאלה שאינם יכולים לראות תוכן מוצפן. הוא משלים טביעת אצבע בשכבת הדפדפן ומשמש בחלק ממערכות זיהוי הבוטים.

אם אני מנקה קובצי Cookie, האם טביעת האצבע שלי מתאפסת?

לא. ניקוי קובצי Cookie מנקה את המצב השמור, אבל טביעת האצבע מגיעה ממאפייני של המכשיר שלך - מסך, גופנים, GPU, אזור זמן. אלה לא משתנים כאשר אתה מוחק את האחסון. זו הסיבה שטביעת אצבע כל כך מתמשכת וכל כך קשה לברוח ללא התקשות דפדפן מיוחדות.

טביעת אצבע של דפדפן הסבר: זהות ללא קובצי Cookie

טביעת אצבע בדפדפן היא טכניקת המעקב ששרד את עידן העוגיות. זה עובד על ידי שילוב של עשרות אותות קטנים - גופנים, גודל מסך, עיבוד אודיו, התנהגות WebGL - לכדי מזהה כמעט ייחודי שעוקב אחריך באתרים מבלי להזדקק לכל מצב מאוחסן. השלכות הפרטיות גדולות מכפי שרוב המשתמשים מבינים.

גוף המאמר המלא מסופק באנגלית להלן.

Browserprinting fingerprinting הוא התרגול של זיהוי משתמש על פני הפעלות על ידי שילוב של אותות חשופים לדפדפן ל-hash יציב. זה לא דורש קובצי Cookie, לא דורש הרשאה ולא מאחסן שום דבר במכשיר שלך. שתי ספריות ידועות של טביעות אצבע (FingerprintJS, ClearScript) יכולות לייצר מזהים יציבים מספיק כדי לקשר מחדש משתמש עם דיוק של 95%+ על פני הפעלה מחדש של הדפדפן ואפילו ניגוב קובצי Cookie.

אילו אותות משולבים נקודות:
User-Agent מחרוזת — דפדפן, גרסה, OS
מידות מסך ועומק צבע
אזור זמן offset2PLZPLXX09 מותקן2PLZPLXX09 גופנים — ניתן למדידה באמצעות עיבוד טקסט בד קנבס או על ידי בדיקה אילו שמות גופנים מוצגים ברוחב הצפוי hash — תמונת בדיקה קבועה המעובדת דרך ה-Canvas API של הדפדפן מייצרת גיבובים שונים בערימות גרפיות שונות פלט FFT חושף הבדלי חומרה עדינים
Battery API, חיישן אור סביבה בנייד
HTTP/2 הגדרות, סדר צופן TLS, JA3 hash — אותות ברמת רשת
X שימוש ברמת הרשת מקצבי הקלדה — טלמטריה התנהגותית פסיבית
כל אחד בנפרד הוא אנטרופיה נמוכה. יחד, הם מניבים לעתים קרובות מזהה ייחודי מספיק כדי לעקוב אחר משתמשים אפילו על פני כתובות IP והפעלות דפדפן שונות.

The entropy math

Tכדי לזהות באופן ייחודי משתמש אחד מבין 8 מיליארד, אתה צריך בערך 33 סיביות של אנטרופיה (2^33 ≈ 8.5 מיליארד). דפדפן שולחן עבודה טיפוסי דולף 20-30 סיביות באופן פסיבי. כמה אותות אינטראקטיביים (Canvas hash, AudioContext, WebGL) בתוספת רשימת גופנים דוחפים לעתים קרובות את סך 33 הסיביות שעברו, מה שהופך את טביעת האצבע לזיהוי ייחודי.

מבחן Cover Your Tracks של EFF (היורש של Panopticlick) מודד את האנטרופיה הספציפית שלך ואומר לך עד כמה אתה ניתן לזהות.

65Actives passiv טביעת אצבע

Passive טביעת אצבע קוראת רק את מה שהדפדפן שולח אוטומטית - User-Agent, Accept-Language, TLS לחיצת יד. האתר לא עושה שום דבר מיוחד; זה רק מתבונן.

Active מבצעת JavaScript שחוקר את הסביבה: עיבוד תמונת בדיקה, מדידת גל סינוס, מונה גופנים. הרבה יותר פולשני והרבה יותר ייחודי. ה-JavaScript נטען בשקיפות - המשתמש לא רואה שום סימן שמשהו מיוחד קורה.

במקום שבו נעשה שימוש לגיטימי בטביעת אצבע

זיהוי הונאה פועל על טביעת אצבע. בנקים, מעבדי תשלומים, אתרי כרטיסים ומסחר אלקטרוני בעל ערך גבוה, כולם משתמשים בו כדי לזהות השתלטות על מכשירים, שיתוף חשבונות ותעבורת בוטים. כאשר חשבון של לקוח ידוע נכנס פתאום מטביעת אצבע שלא נראתה מעולם, המערכת מבקשת אימות נוסף. עיקר חווית החיכוך של המשתמשים "למה אני מתבקש לאמת" מונעת טביעת אצבע.

שימוש זה נחשב באופן כללי בר הגנה. אותן טכניקות המשמשות למעקב אחר הופעות של מודעות באתרים אינן.ul>

Safari (Apple) מפחית אנטרופיה בדוחות מערכת - משתמש ברשימות גופנים גנריות, עושה אקראי קריאות Canvas, חוסם טביעות אצבע מרשימות ידועות.

Firefox יש Resist Fingerprinting (ערך מחזיר טקסט סטנדרטי ל-Canvass,Contangle) אזור, וכו'.

Tor Browser ו-Mullvad Browser נשלחים Resist Fingerprinting כברירת מחדל, הצגת טביעת אצבע זהה ל"עדר" גדול. ראה את המאמר שלנו ב-Mullvad דפדפן.

Brave עושה אקראי את פלטי הקנבס/אודיו לכל הפעלה - כל ביקור נראה כמו משתמש אחר. the Privacy Sandbox כולל כמה יעדים להפחתת אנטרופיה אבל ציר הזמן איטי וניגודי האינטרסים ברורים.

למה VPN לבדו לא פותר את זה

A VPN משנה את זהות הרשת שלך - ה-IP, ASN והמיקום הנראה שלך - אך לא את זהות הדפדפן שלך. ה-Hash שלך ב-Canvas, רשימת הגופנים, דגם ה-GPU ואזור הזמן שלך זהים לפני ואחרי חיבור ה-VPN. למעקב אחר טביעות אצבע, אתה אותו משתמש, שמתחבר כעת מ-IP אחר. שינוי ה-IP למעשה הופך אותך למעט יותר מזוהה: "IP חדש, אותה טביעת אצבע" הוא קישור בעל ביטחון גבוה.

ההגנה מפני טביעת אצבע היא הדפדפן, לא הרשת. דפדפן מוקשח לפרטיות בתוספת VPN הוא השילוב הנכון.

המלצות מעשיות

לרוב המשתמשים, שני שינויים תופסים את עיקר התועלת:

השתמש בדפדפן שמתנגד לטביעת אצבעות כברירת מחדל. טביעת אצבע מופעלת.
אל תתקין הרחבות חריגות. כל הרחבה לא שכיחה היא דלק לטביעות אצבע. התקנה נקייה של דפדפן מוקשח משתלבת בקהל גדול.

ההחזרים הפוחתים מתחילים במהירות - ברגע שאתה בתוך מערך האנונימיות של Tor Browser, הקשחה נוספת הופכת לשיפור מינורי.

שאלות נפוצות

איך אני יכול לראות איך נראית טביעת האצבע של הדפדפן שלי?: coveryourtracks.eff.org של EFF בודק את הדפדפן שלך מול מדגם מייצג ומדווח על האנטרופיה שלך. AmIUnique.org עושה דומה עם מערך נתונים אחר. שניהם יגידו לך אם הדפדפן הספציפי שלך ניתן לזיהוי ייחודי.
האם גלישה פרטית או מצב גלישה בסתר עוזרים?: כמעט בכלל לא. מצב פרטי מונע מאחסנת עוגיות והיסטוריה, אך המאפיינים הניתנים לטביעת האצבע של הדפדפן שלך (Canvas hash, גופנים, גודל מסך וכו') זהים במצב פרטי. הגשש מזהה אותך מחדש על פני הפעלות רגילות ופרטיות באמינות גבוהה.
האם VPN משפיע על טביעת האצבע שלי?: VPN משנה את אותות ה-IP והרשת ברמת הרשת (לפעמים), אך אינו נוגע ברוב האותות בעלי האנטרופיה הגבוהה. עוקבים מקשרים מחדש את אותה טביעת אצבע על פני VPN חיבור/ניתוק בקלות. לפרטיות טביעת אצבע, הדפדפן הוא מה שחשוב.
במה שונה JA3 מטביעת אצבע בדפדפן?: JA3 היא טביעת אצבע של לחיצת היד של TLS - רשימת הצפנים, סדר התוספות והקבוצות הנתמכות שהלקוח שלך שולח. זה יציב לכל גרסת דפדפן/מערכת הפעלה וגלוי לכל צופה ברשת, כולל כאלה שאינם יכולים לראות תוכן מוצפן. הוא משלים טביעת אצבע בשכבת הדפדפן ומשמש בחלק ממערכות זיהוי הבוטים.
אם אני מנקה קובצי Cookie, האם טביעת האצבע שלי מתאפסת?: לא. ניקוי קובצי Cookie מנקה את המצב השמור, אבל טביעת האצבע מגיעה ממאפייני <em> של המכשיר שלך</em> - מסך, גופנים, GPU, אזור זמן. אלה לא משתנים כאשר אתה מוחק את האחסון. זו הסיבה שטביעת אצבע כל כך מתמשכת וכל כך קשה לברוח ללא התקשות דפדפן מיוחדות.