來自 Selectel:本文是有關瀏覽器指紋識別及其技術工作原理的非常詳細的文章系列翻譯中的第一篇。 這是您想知道但又不敢問這個話題的所有內容。
什麼是瀏覽器指紋?
這是網站和服務用來跟踪訪問者的方法。 用戶被分配一個唯一的標識符(指紋)。 它包含大量有關用戶瀏覽器設置和功能的信息,用於識別用戶。 此外,瀏覽器指紋識別允許網站跟踪行為模式,以便以後更準確地識別用戶。
其唯一性與真實指紋大致相同。 只有後者才會被警方收集來搜尋犯罪嫌疑人。 但瀏覽器指紋技術根本不用於追踪犯罪分子。 畢竟,我們不是這裡的罪犯,對吧?
瀏覽器指紋收集哪些數據?
我們在互聯網誕生之初就知道可以通過 IP 追踪一個人。 但在這種情況下,一切就複雜得多。 瀏覽器指紋包括 IP 地址,但這遠不是最重要的信息。 事實上,您不需要 IP 來識別您的身份。
據考證 ,瀏覽器指紋包括:
- 用戶代理(不僅包括瀏覽器,還包括操作系統版本、設備類型、語言設置、工具欄等)。
- 時區。
- 屏幕分辨率和顏色深度。
- 超級餅乾。
- Cookie 設置。
- 系統字體。
- 瀏覽器插件及其版本。
- 訪問日誌。
根據EFF的研究,瀏覽器指紋的唯一性非常高。 如果我們談論統計數據,那麼在 286777 個案例中,只有一次兩個不同用戶的瀏覽器指紋完全匹配。
根據更多 ,使用瀏覽器指紋識別用戶的準確率為99,24%。 更改其中一項瀏覽器設置只會使用戶識別的準確性降低 0,3%。 有瀏覽器指紋測試可以顯示收集了多少信息。
瀏覽器指紋識別的工作原理
為什麼可以收集有關瀏覽器的信息? 很簡單 - 當您請求網站地址時,您的瀏覽器會與網絡服務器進行通信。 在正常情況下,站點和服務會為用戶分配唯一的標識符。
例如, “gh5d443ghjflr123ff556ggf”.
這串隨機字母和數字有助於服務器識別您並將您的瀏覽器和偏好設置與您相關聯。 您在線執行的操作將分配大致相同的代碼。
因此,如果您登錄 Twitter,其中有一些關於您的信息,所有這些數據將自動與相同的標識符關聯。
當然,此代碼不會伴隨您一生。 如果您開始從不同的設備或瀏覽器衝浪,那麼標識符很可能也會發生變化。
網站如何收集用戶數據?
這是一個兩層流程,可在服務器端和客戶端上運行。
服務器端
站點訪問日誌
在本例中,我們討論的是瀏覽器發送的數據的收集。 至少這個:
- 所請求的協議。
- 請求的 URL。
- 你的IP。
- 推薦人。
- 用戶代理。
標題
Web 服務器從您的瀏覽器接收它們。 標頭很重要,因為它們可以讓您確保所請求的網站適用於您的瀏覽器。
例如,標題信息可以讓網站知道您使用的是桌面設備還是移動設備。 在第二種情況下,將重定向到針對移動設備優化的版本。 不幸的是,相同的數據最終會出現在您的指紋中。
曲奇餅
這裡一切都清楚了。 Web 服務器始終與瀏覽器交換 cookie。 如果您在設置中指定使用 Cookie 的功能,則它們會存儲在您的設備上,並在您訪問之前訪問過的網站時發送到服務器。
Cookie 可幫助您更舒適地上網,但它們也會透露更多有關您的信息。
帆布指紋
此方法使用 HTML5 canvas 元素,WebGL 也使用該元素在瀏覽器中渲染 2D 和 3D 圖形。
此方法通常“強制”瀏覽器呈現圖形內容,包括圖像、文本或兩者。 對於您來說,這個過程是不可見的,因為一切都在後台發生。
一旦該過程完成,畫布指紋識別會將圖形轉換為散列,這成為我們上面討論的非常獨特的標識符。
此方法允許您獲取有關您的設備的以下信息:
- 圖形適配器。
- 圖形適配器驅動程序。
- 處理器(如果沒有專用圖形芯片)。
- 安裝的字體。
客戶端日誌記錄
這意味著您的瀏覽器正在交換大量信息,這要歸功於:
Adobe Flash 和 JavaScript
根據常見問題解答 ,如果您啟用了 JavaScript,那麼有關您的插件或硬件規格的數據將被傳輸到外部。
如果安裝並激活 Flash,這將為第三方“觀察者”提供更多信息,包括:
- 你的時區。
- 操作系統版本。
- 屏幕分辨率。
- 系統中安裝的字體的完整列表。
曲奇餅
它們在伐木過程中發揮著非常重要的作用。 因此,您通常需要決定是允許您的瀏覽器處理cookie還是完全刪除它們。
在第一種情況下,網絡服務器僅接收有關您的設備和偏好的大量信息。 如果您不接受 cookie,網站仍會收到有關您的瀏覽器的一些數據。
為什麼需要瀏覽器指紋技術?
基本上,為了讓設備用戶收到針對其設備優化的網站,無論他是通過平板電腦還是智能手機訪問互聯網。
此外,該技術還用於廣告。 它是完美的數據挖掘工具。
例如,在收到服務器收集的信息後,商品或服務的供應商可以創建非常有針對性的個性化廣告活動。 定位精度比僅使用 IP 地址高得多。
例如,廣告商可以使用瀏覽器指紋來獲取屏幕分辨率較低(例如1300*768)的網站用戶列表,這些用戶正在賣家的在線商店中尋找更好的顯示器。 或者只是瀏覽網站而不打算購買任何東西的用戶。
然後,獲得的信息可用於將高質量、高分辨率顯示器的廣告定位到擁有小型和過時顯示器的用戶。
此外,瀏覽器指紋技術還用於:
- 欺詐和殭屍網絡檢測。 這對於銀行和金融機構來說是一個非常有用的功能。 它們允許您將用戶行為與攻擊者的活動分開。
- VPN 和代理用戶的定義。 情報機構可以使用此方法來跟踪具有隱藏 IP 地址的互聯網用戶。
最終,即使瀏覽器指紋識別用於合法目的,它仍然對用戶隱私非常不利。 尤其是當後者試圖使用 VPN 保護自己時。
此外,瀏覽器指紋可能是黑客最好的朋友。 如果他們知道有關您設備的確切數據,他們就可以使用特殊的漏洞來破解該設備。 這並不復雜——任何網絡犯罪分子都可以使用指紋識別腳本創建一個虛假網站。
請記住,本文只是第一部分,還有兩部分。 它們解決了收集用戶個人數據的合法性、使用這些數據的可能性以及防止過於活躍的“收集者”的方法等問題。
來源: www.habr.com