来自 Selectel:本文是有关浏览器指纹识别及其技术工作原理的非常详细的文章系列翻译中的第一篇。 这是您想知道但又不敢问这个话题的所有内容。
什么是浏览器指纹?
这是网站和服务用来跟踪访问者的方法。 用户被分配一个唯一的标识符(指纹)。 它包含大量有关用户浏览器设置和功能的信息,用于识别用户。 此外,浏览器指纹识别允许网站跟踪行为模式,以便以后更准确地识别用户。
其唯一性与真实指纹大致相同。 只有后者才会被警方收集来搜寻犯罪嫌疑人。 但浏览器指纹技术根本不用于追踪犯罪分子。 毕竟,我们不是这里的罪犯,对吧?
浏览器指纹收集哪些数据?
我们在互联网诞生之初就知道可以通过 IP 追踪一个人。 但在这种情况下,一切就复杂得多。 浏览器指纹包括 IP 地址,但这远不是最重要的信息。 事实上,您不需要 IP 来识别您的身份。
据考证 ,浏览器指纹包括:
- 用户代理(不仅包括浏览器,还包括操作系统版本、设备类型、语言设置、工具栏等)。
- 时区。
- 屏幕分辨率和颜色深度。
- 超级饼干。
- Cookie 设置。
- 系统字体。
- 浏览器插件及其版本。
- 访问日志。
根据EFF的研究,浏览器指纹的唯一性非常高。 如果我们谈论统计数据,那么在 286777 个案例中,只有一次两个不同用户的浏览器指纹完全匹配。
根据更多 ,使用浏览器指纹识别用户的准确率为99,24%。 更改其中一项浏览器设置只会使用户识别的准确性降低 0,3%。 有浏览器指纹测试可以显示收集了多少信息。
浏览器指纹识别的工作原理
为什么可以收集有关浏览器的信息? 很简单 - 当您请求网站地址时,您的浏览器会与网络服务器进行通信。 在正常情况下,站点和服务会为用户分配唯一的标识符。
Например, “gh5d443ghjflr123ff556ggf”.
这串随机字母和数字有助于服务器识别您并将您的浏览器和偏好设置与您相关联。 您在线执行的操作将分配大致相同的代码。
因此,如果您登录 Twitter,其中有一些关于您的信息,所有这些数据将自动与相同的标识符关联。
当然,此代码不会伴随您一生。 如果您开始从不同的设备或浏览器冲浪,那么标识符很可能也会发生变化。
网站如何收集用户数据?
这是一个两层流程,可在服务器端和客户端上运行。
服务器端
站点访问日志
在本例中,我们讨论的是浏览器发送的数据的收集。 至少这个:
- 所请求的协议。
- 请求的 URL。
- 你的IP。
- 推荐人。
- 用户代理。
新闻头条
Web 服务器从您的浏览器接收它们。 标头很重要,因为它们可以让您确保所请求的网站适用于您的浏览器。
例如,标题信息可以让网站知道您使用的是桌面设备还是移动设备。 在第二种情况下,将重定向到针对移动设备优化的版本。 不幸的是,相同的数据最终会出现在您的指纹中。
曲奇饼
这里一切都清楚了。 Web 服务器始终与浏览器交换 cookie。 如果您在设置中指定使用 Cookie 的功能,则它们会存储在您的设备上,并在您访问之前访问过的网站时发送到服务器。
Cookie 可帮助您更舒适地上网,但它们也会透露更多有关您的信息。
帆布指纹
此方法使用 HTML5 canvas 元素,WebGL 也使用该元素在浏览器中渲染 2D 和 3D 图形。
此方法通常“强制”浏览器呈现图形内容,包括图像、文本或两者。 对于您来说,这个过程是不可见的,因为一切都在后台发生。
一旦该过程完成,画布指纹识别会将图形转换为散列,这成为我们上面讨论的非常独特的标识符。
此方法允许您获取有关您的设备的以下信息:
- 图形适配器。
- 图形适配器驱动程序。
- 处理器(如果没有专用图形芯片)。
- 安装的字体。
客户端日志记录
这意味着您的浏览器正在交换大量信息,这要归功于:
Adobe Flash 和 JavaScript
根据常见问题解答 ,如果您启用了 JavaScript,那么有关您的插件或硬件规格的数据将被传输到外部。
如果安装并激活 Flash,这将为第三方“观察者”提供更多信息,包括:
- 你的时区。
- 操作系统版本。
- 屏幕分辨率。
- 系统中安装的字体的完整列表。
曲奇饼
它们在伐木过程中发挥着非常重要的作用。 因此,您通常需要决定是允许您的浏览器处理cookie还是完全删除它们。
在第一种情况下,网络服务器仅接收有关您的设备和偏好的大量信息。 如果您不接受 cookie,网站仍会收到有关您的浏览器的一些数据。
为什么需要浏览器指纹技术?
基本上,为了让设备用户收到针对其设备优化的网站,无论他是通过平板电脑还是智能手机访问互联网。
此外,该技术还用于广告。 它是完美的数据挖掘工具。
例如,在收到服务器收集的信息后,商品或服务的供应商可以创建非常有针对性的个性化广告活动。 定位精度比仅使用 IP 地址高得多。
例如,广告商可以使用浏览器指纹来获取屏幕分辨率较低(例如1300*768)的网站用户列表,这些用户正在卖家的在线商店中寻找更好的显示器。 或者只是浏览网站而不打算购买任何东西的用户。
然后,获得的信息可用于将高质量、高分辨率显示器的广告定位到拥有小型和过时显示器的用户。
此外,浏览器指纹技术还用于:
- 欺诈和僵尸网络检测。 这对于银行和金融机构来说是一个非常有用的功能。 它们允许您将用户行为与攻击者的活动分开。
- VPN 和代理用户的定义。 情报机构可以使用此方法来跟踪具有隐藏 IP 地址的互联网用户。
最终,即使浏览器指纹识别用于合法目的,它仍然对用户隐私非常不利。 尤其是当后者试图使用 VPN 保护自己时。
此外,浏览器指纹可能是黑客最好的朋友。 如果他们知道有关您设备的确切数据,他们就可以使用特殊的漏洞来破解该设备。 这并不复杂——任何网络犯罪分子都可以使用指纹识别脚本创建一个虚假网站。
请记住,本文只是第一部分,还有两部分。 它们解决了收集用户个人数据的合法性、使用这些数据的可能性以及防止过于活跃的“收集者”的方法等问题。
来源: habr.com