随着现代网站的指纹识别技术的发展,除了人们经常提及的cookie之外,还有很多用户难以抗拒的识别方法。现在很多网站将画布指纹作为一种更为准确的浏览器指纹识别方式来定义用户。在 100,000 个网站中,超过 5.5% 的网站使用这种复杂的技术来识别用户。一些行业为了保护浏览器信息安全不得不使更专业的指纹浏览器来防止网站的识别与追踪。
一、什么是画布指纹识别?
在 HTML5 导入的画布元素的帮助下,可以轻松生成基于 Web 用户系统配置的个人指纹。画布元素实际上是定义的区域(高度和宽度),可以使用 JavaScript 绘制这些区域,以创建带有文本的图形、徽标和按钮。
但以下硬件/软件的组合通常是独一无二的:
- 操作系统
- 浏览器
- 显卡
- 显卡驱动
- 安装的客户端字体
这些组件确保每个文本的结果都会略有不同,这就是启用画布指纹的原因。网站运营商执行此互联网跟踪所需的只是特定的画布指纹代码,然后当页面加载时,它会导致浏览器通过 JavaScript 在后台显示隐藏文本。然后将此隐藏文本转发到网站的网络服务器。由于涉及许多功能,以这种方式创建的数字指纹在超过 80% 的情况下都是独一无二的,这意味着每次都可以识别它——只要用户不更改其枚举的系统配置。
画布指纹基本上只包含有关系统和浏览器的信息。但这已经足以将网站访问者识别为个人,从而从那时起跟踪他们的浏览行为。这可能只是意味着在自己的网站上跟踪用户的活动,但也可以在多个网站上跟踪他们,前提是脚本在不同的网页上实现。这种形式的在线跟踪对于网站优化很有用,对于概念化有针对性的广告特别有趣。这种现代用户跟踪方法的一大优点是它不涉及从用户那里收集个人数据,使指纹跟踪成为网络分析师的 cookie 的重要替代方案。Cookie 在法律上被认为是有问题的,并被许多用户故意阻止或定期删除。
二、如何避免画布指纹?
与 cookie 不同,canvas 指纹不能简单地删除,因为数据直接共享给服务器——客户端没有任何存储。在浏览器上使用隐身模式也不会停止这种跟踪技术,因为画布脚本和系统/浏览器信息仍然是共享的。但用户并非完全无法阻止这种跟踪方法,只需要用指纹修改软件就可以实现修改canvas指纹。
拉力猫指纹浏览器可以启用噪声模式来阻止网站正确获得我们的canvas指纹。如下图是拉力猫防关联浏览器的canvas指纹保护选项,里面有几种不同模式可以选择。
原理是在canvas中注入一个随机的噪音,当网站请求读取canvas指纹时,会将添加的噪音一起读取进去,然后通过应用分析技术,会得到一个唯一的canvas指纹。当然,拉力猫超级浏览器同样可以允许网站读取我们真实的canvas指纹,选择关闭模式即可。如果想要彻底禁止网站对canvas指纹的获取,我们还可以选择封锁模式,但这种情况就取决于网站自身的权衡来决定如何处理。