Как я могу увидеть, как выглядит отпечаток моего браузера?

Сайт Coveryourtracks.eff.org компании EFF тестирует ваш браузер на репрезентативной выборке и сообщает о вашей энтропии. AmIUnique.org делает то же самое с другим набором данных. Оба сообщат вам, является ли ваш конкретный браузер уникальным.

Помогает ли приватный просмотр или режим инкогнито?

Почти совсем нет. Приватный режим предотвращает сохранение файлов cookie и истории, но свойства вашего браузера, которые можно использовать для отпечатков пальцев (хэш Canvas, шрифты, размер экрана и т. д.), в приватном режиме идентичны. Трекер повторно идентифицирует вас во время обычных и частных сеансов с высокой надежностью.

Влияет ли VPN на мой отпечаток пальца?

VPN изменяет сигналы IP и сетевого уровня (иногда), но не затрагивает большинство сигналов с высокой энтропией. Трекеры легко повторно связывают один и тот же отпечаток пальца через VPN, подключаются/отключаются. Для конфиденциальности отпечатков пальцев важен браузер.

Чем JA3 отличается от снятия отпечатков пальцев браузера?

JA3 — это отпечаток рукопожатия TLS — список шифров, порядок расширений и поддерживаемые группы, которые отправляет ваш клиент. Он стабилен для каждой версии браузера/ОС и доступен любому сетевому обозревателю, включая тех, кто не видит зашифрованный контент. Он дополняет сбор отпечатков пальцев на уровне браузера и используется в некоторых системах обнаружения ботов.

Если я удалю файлы cookie, произойдет ли сброс моего отпечатка пальца?

Нет. При очистке файлов cookie сохраняется сохраненное состояние, но отпечаток берется из свойств вашего устройства — экрана, шрифтов, графического процессора, часового пояса. Они не меняются, когда вы очищаете хранилище. Вот почему отпечатки пальцев настолько устойчивы, и от них так трудно избавиться без специальной защиты браузера.

Объяснение отпечатков пальцев в браузере: личность без файлов cookie

Снятие отпечатков пальцев браузера — это метод отслеживания, переживший эпоху файлов cookie. Он работает путем объединения десятков небольших сигналов — шрифтов, размера экрана, рендеринга звука, поведения WebGL — в практически уникальный идентификатор, который следует за вами по сайтам без необходимости сохранения какого-либо состояния. Последствия для конфиденциальности больше, чем думает большинство пользователей.

Полный текст статьи на английском языке представлен ниже.

Снятие отпечатков пальцев браузера — это практика идентификации пользователя между сеансами путем объединения сигналов, предоставляемых браузером, в стабильный хэш. Он не требует файлов cookie, не требует разрешения и ничего не сохраняет на вашем устройстве. Две известные библиотеки снятия отпечатков пальцев (FingerprintJS, ClearScript) могут генерировать идентификаторы, достаточно стабильные, чтобы повторно связать пользователя с точностью 95%+ при перезапуске браузера и даже удалении файлов cookie. string — браузер, версия, OS

Размеры экрана и глубина цвета

Смещение часового пояса

Установленные шрифты — можно измерить с помощью рендеринга текста Canvas или путем проверки отображаемых имен шрифтов при ожидаемой ширине

Плагины/расширения браузера

LЯзыковые настройки

Хеш рендеринга Canvas — фиксированное тестовое изображение, визуализируемое через Canvas API браузера, создает разные хэши для разной графики stacks

WebGL строка рендеринга — модель графического процессора, часто достаточно уникальная

AudioContext отпечаток пальца — генерация синусоидального сигнала и хеширование выходных данных БПФ выявляет тонкие аппаратные различия

Battery API, окружающее освещение датчик на мобильном устройстве

Настройки HTTP/2, порядок шифрования TLS, хеш JA3 — сигналы сетевого уровня

Движение мыши, шаблоны прокрутки, ритм ввода текста — пассивное поведение телеметрия

По отдельности каждый из них имеет низкую энтропию. В совокупности они часто дают достаточно уникальный идентификатор, позволяющий отслеживать пользователей даже с разными IP-адресами и с разными сеансами браузера.

Энтропийная математика

Чтобы однозначно идентифицировать одного пользователя среди 8 миллиардов, вам нужно около 33 бит энтропии (2^33 ≈ 8,5 миллиардов). Типичный настольный браузер пассивно пропускает 20–30 бит. Несколько интерактивных сигналов (хеш Canvas, AudioContext, WebGL) плюс список шрифтов часто увеличивают общее число до 33 бит, что делает отпечаток уникально идентифицируемым. Снятие отпечатков пальцев

Passive Снятие отпечатков пальцев считывает только то, что браузер отправляет автоматически — User-Agent, Accept-Language, TLS-квитирование. Сайт не делает ничего особенного; он просто наблюдает.

Active снятие отпечатков пальцев выполняет JavaScript, который исследует окружающую среду: визуализирует тестовое изображение, измеряет синусоидальную волну, перечисляет шрифты. Гораздо более агрессивный и гораздо более уникальный. JavaScript загружается прозрачно — пользователь не видит никаких признаков того, что происходит что-то особенное. Банки, платежные системы, сайты продажи билетов и крупные предприятия электронной коммерции используют его для обнаружения захвата устройств, совместного использования учетных записей и трафика ботов. Когда учетная запись известного клиента внезапно входит в систему по отпечатку пальца, который никогда не был виден, система запрашивает дополнительную проверку. Большая часть вопросов «почему меня просят подтвердить» возникает у пользователей трений, основанных на отпечатках пальцев.

Это использование в целом считается оправданным. Те же методы, которые используются для отслеживания показов рекламы на сайтах, не используются.

Реакция браузера

Производители браузеров начали сопротивляться, используя совсем другие стратегии:

Safari (Apple) снижает энтропию в системных отчетах — использует общие списки шрифтов, рандомизирует чтение Canvas, блокирует сканеры отпечатков пальцев из известных списков. и т. д. Браузер
Tor и браузер Mullvad включают функцию сопротивления отпечаткам пальцев по умолчанию, предоставляя идентичные отпечатки пальцев большому «стаду». См. нашу статью о браузере Mullvad..
Brave рандомизирует выходы Canvas/Audio за сеанс — каждое посещение выглядит как отдельный пользователь.
Chrome действовал медленнее; Privacy Sandbox включает в себя некоторые цели по снижению энтропии, но сроки медленные, а конфликты интересов очевидны.

Почему один только VPN не решает эту проблему

A VPN меняет вашу сетевую идентичность — ваш IP, ASN и видимое местоположение — но не личность вашего браузера. Ваш хэш Canvas, список шрифтов, модель графического процессора и часовой пояс одинаковы до и после подключения VPN. Для трекера снятия отпечатков пальцев вы являетесь тем же пользователем, но теперь подключаетесь с другого IP-адреса. Смена IP-адреса на самом деле делает вас немного более узнаваемым: «новый IP-адрес, тот же отпечаток пальца» — это ссылка высокой надежности.

Защитой от снятия отпечатков пальцев является браузер, а не сеть. Браузер с усиленной защитой конфиденциальности и VPN — это правильная комбинация.

Практические рекомендации

Для большинства пользователей большую часть преимуществ обеспечивают два изменения:

Используйте браузер, который по умолчанию устойчив к снятию отпечатков пальцев. Браузер Mullvad, Tor Browser, Brave или Firefox с Resist Снятие отпечатков пальцев включено.
Не устанавливайте необычные расширения. Каждое необычное расширение является топливом для снятия отпечатков пальцев. Чистая установка защищенного браузера сливается с большой толпой.

Убывающая отдача наступает быстро — как только вы попадаете в набор анонимности Tor Browser, дополнительное усиление защиты становится незначительным улучшением.

Часто задаваемые вопросы

Как я могу увидеть, как выглядит отпечаток моего браузера?: Сайт Coveryourtracks.eff.org компании EFF тестирует ваш браузер на репрезентативной выборке и сообщает о вашей энтропии. AmIUnique.org делает то же самое с другим набором данных. Оба сообщат вам, является ли ваш конкретный браузер уникальным.
Помогает ли приватный просмотр или режим инкогнито?: Почти совсем нет. Приватный режим предотвращает сохранение файлов cookie и истории, но свойства вашего браузера, которые можно использовать для отпечатков пальцев (хэш Canvas, шрифты, размер экрана и т. д.), в приватном режиме идентичны. Трекер повторно идентифицирует вас во время обычных и частных сеансов с высокой надежностью.
Влияет ли VPN на мой отпечаток пальца?: VPN изменяет сигналы IP и сетевого уровня (иногда), но не затрагивает большинство сигналов с высокой энтропией. Трекеры легко повторно связывают один и тот же отпечаток пальца через VPN, подключаются/отключаются. Для конфиденциальности отпечатков пальцев важен браузер.
Чем JA3 отличается от снятия отпечатков пальцев браузера?: JA3 — это отпечаток рукопожатия TLS — список шифров, порядок расширений и поддерживаемые группы, которые отправляет ваш клиент. Он стабилен для каждой версии браузера/ОС и доступен любому сетевому обозревателю, включая тех, кто не видит зашифрованный контент. Он дополняет сбор отпечатков пальцев на уровне браузера и используется в некоторых системах обнаружения ботов.
Если я удалю файлы cookie, произойдет ли сброс моего отпечатка пальца?: Нет. При очистке файлов cookie сохраняется сохраненное состояние, но отпечаток <em> берется из свойств вашего устройства</em> — экрана, шрифтов, графического процессора, часового пояса. Они не меняются, когда вы очищаете хранилище. Вот почему отпечатки пальцев настолько устойчивы, и от них так трудно избавиться без специальной защиты браузера.