雖然大多數互聯網用戶都熟悉Cookie,但網絡上還存在一種更持久且隱形的跟蹤方法。這種稱為瀏覽器指紋的技術可以在不將任何內容存儲在您電腦上的情況下創建您的獨特檔案,因此任何注重隱私的人都必須了解它。
設備指紋,通常稱為瀏覽器指紋,是從網絡瀏覽器和設備系統性地收集信息的過程。其目標是將這些細節組合起來,創建一個足夠獨特的標識符,以便識別、跟蹤用戶並建立詳細的用戶檔案。
此技術被開發為一種更持久的跟蹤方法,旨在克服用戶控制的隱私措施(如刪除Cookie)。與用戶可以找到並刪除的Cookie不同,指紋識別通常是透明運行的,不會在用戶設備上存儲任何文件。
數位指紋技術在專業文獻中被描述為「無Cookie怪獸」,因為它無需在設備上安裝任何類型的Cookie即可收集資訊...
這些「指紋」是透過組合許多不同的資訊片段構建而成,我們將在接下來探討這些資訊。
瀏覽器指紋技術背後的基本概念是,雖然有關您設備的任何單一資訊片段可能很常見,但多個這類細節的組合很可能是獨一無二的。網站會收集一組這類特徵,從而有效地為您的瀏覽器創建一個「數位指紋」。
以下是一些可用於形成基本指紋的常見特徵:
Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:58.0) Gecko/20100101 Firefox/58.0)。-120 分鐘 UTC)。1920x1080x24)。雖然這些基本資料點可以建立一個出奇獨特的識別碼,但追蹤器通常會採用更複雜的方法來提高準確性。
為了建立更穩健和精確的指紋,追蹤器會使用利用現代網頁瀏覽器功能的進階技術。
這項強大的技術使用HTML5 Canvas元素,這是一種設計用於在網頁上繪製圖形和動畫的功能。追蹤器會指示瀏覽器繪製隱藏圖像或文字片段。其獨特性在於,不同的硬體(如圖形處理單元,GPU)、軟體(圖形驅動程式)和作業系統組合,會以細微不同的方式渲染此圖像。最終渲染的圖像會轉換為獨特的數位簽章,稱為雜湊值,作為高度穩定的識別符。
這是Canvas指紋識別的一種專門變體。它不是繪製單一複雜圖像,而是指示瀏覽器多次渲染相同的文字字串,每次使用裝置已安裝字體列表中的不同字體。透過測量每種字體繪製方式的細微差異(如其大小、反鋸齒等),此方法可以生成一個高度特定於使用者獨特系統字體集合的識別符。
WebRTC(Web即時通訊)是一種API,可實現瀏覽器之間直接的即時語音和視頻通訊。此功能的一個副作用是,WebRTC API可用於洩露用戶的本地IP位址——即其設備在私有網絡(如家庭Wi-Fi網絡)上使用的位址,該位址通常是隱藏的。通過將用戶隱藏的本地IP與其公共IP相結合,即使公共IP發生變化,跟蹤器也能創建一個非常一致且有效的標識符。
此技術使用AudioContext API,這是一種用於在瀏覽器內處理音頻信號的工具。需要注意的是,此方法不會監聽用戶的麥克風。相反,它會生成一個標準化的、聽不見的聲波(如正弦波),並通過瀏覽器的音頻堆疊對其進行處理。由於設備硬件和軟體驅動程式的獨特差異,每台機器上產生的數位信號都略有不同。然後,此處理後信號的雜湊值會用作唯一標識符。
現在我們了解了指紋的創建方式,讓我們來看看如何科學地衡量其唯一性。
衡量指紋獨特性的科學方法是透過資訊熵。簡單來說,熵是不確定性的度量單位,以「位元」計算。一項特徵提供的「識別資訊位元」越多,表示其越稀有,越有助於唯一識別用戶。
例如,得知歐洲用戶使用Chrome(2018年5月市占率59%)提供的識別資訊非常少(約1位元)。然而,若得知其使用Internet Explorer(4%市占率),則能提供更多資訊(約4位元),因為這類情況相對罕見。透過組合多項此類特徵,總熵位元會快速累積,從而生成全球唯一的識別碼。
下表基於Panopticlick測試數據,顯示不同瀏覽器特徵如何貢獻不同數量的識別資訊。
範例:識別資訊位元數
| 瀏覽器特性 | 識別資訊位元數 |
|---|---|
| Canvas指紋雜湊值 | 6.62 |
| 螢幕尺寸與色彩深度 | 2.45 |
| 瀏覽器外掛詳情 | 9.14 |
| 時區 | 2.70 |
| 系統字型 | 6.50 |
| 作業平台 | 3.17 |
| 使用者代理字串 | 7.68 |
這種獨特性測量不僅僅是理論上的;它具有重大的現實應用和影響。
在2018年的一項研究中,西班牙數據保護局(AEPD)分析了超過5,000個URL,以了解這些技術的普及程度。研究結果頗具啟示性:
該研究還證實了「不跟蹤」(DNT)信號的無效性,這是一種瀏覽器設置,用於請求網站不要跟蹤用戶。研究發現,使用指紋識別的網站絕大多數都忽略了這一請求。在Canvas指紋識別方面,高達96.12%的網站即使在用戶明確啟用DNT後,仍繼續編制指紋。更令人擔憂的是,研究發現DNT信號本身可用作另一個數據點,使用戶的指紋更加獨特,從而將隱私請求變成了識別工具。
面對如此普遍且持續存在的問題,人們自然會問如何保護自己的隱私。
AEPD 的研究測試了各種緩解措施,以了解它們防止指紋識別的效果。結果顯示,被動隱私功能和主動阻擋工具之間存在明顯差異。
| 方法 | 工作原理 | 有效性(基於AEPD研究) |
|---|---|---|
| 私人/ 無痕模式 | 會話結束後刪除本地歷史記錄、Cookie和網站數據。 | 無效。它不會改變底層設備特徵,因此指紋仍然相同。 |
| VPN / 匿名網絡 | 向目標服務器隱藏用戶的公共IP地址。 | 部分有效。雖然它們隱藏了一個關鍵數據點(公共IP),但它們不會過濾其他設備特徵的收集。 |
| 瀏覽器隱私選項(例如,阻止第三方Cookie、啟用DNT) | 使用內置瀏覽器設置來限制跟蹤。 | 無顯著減少。研究發現這些選項效果甚微,除了WebRTC檢測顯著減少外。 |
| 瀏覽器擴展(如uBlock Origin、Ghostery等阻止工具) | 主動識別並阻止已知用於跟蹤的腳本和連接。 | 最有效。這些工具在各種指紋識別技術中產生了「檢測的顯著減少」。 |
| 禁用Javascript | 阻止收集指紋數據的腳本運行。 | 有效,但不切實際。此方法會破壞許多現代網站的功能,使其成為大多數用戶不現實的解決方案。 |
這些發現為任何關心數位隱私的人帶來了幾個重要結論。
