瀏覽器指紋是一種高級技術,用於在網路上識別和追蹤使用者。它透過遠端收集和分析使用者瀏覽器、裝置和軟體設定的屬性來創建一個獨特的身份或「指紋」。瀏覽器指紋很難防範,但有一些工具可以幫助減少其影響。
和cookies類似,瀏覽器指紋或裝置指紋是一種技術,可讓網站和第三方遠端識別和追蹤你的線上活動。
它透過結合許多關於你的瀏覽器、設備和軟體配置的細節來創建一個獨特的——或幾乎獨特的——標識符。
雖然你可以阻止和刪除cookies,但瀏覽器指紋的操作是秘密進行的,而且更難防止。
VPN服務與隱私瀏覽模式無法防範瀏覽器指紋。然而,你可以使用一些限制指紋的瀏覽器擴充,或選擇具有特定保護功能的瀏覽器。
我們關心你的線上隱私保護,即使這不僅涉及VPN。這就是為什麼我們製作了這篇指南,來幫助你解釋到底什麼是瀏覽器指紋,它如何運作,以及你如何保護自己。
瀏覽器指紋是如何運作的?
瀏覽器指紋透過收集你在使用網路時的瀏覽器、裝置和軟體設定的許多資訊來運作。然後這些屬性被結合起來創建一個“哈希值”,可以用來識別你。
每個單獨的數據點可能本身並不能揭示太多信息,但幾十個數據點的組合可以創建一個完全獨特的指紋。這意味著網站、資料代理、廣告商或執法機構可以識別你並描述你的線上活動。
2010年,當瀏覽器指紋技術首次開發時,它可以唯一地識別83.6%到94.2%的瀏覽器。類似地,2020年的研究發現,可以追蹤67.6%到93.1%的使用者。
你可能聽過cookies。它們是網站可以儲存在你裝置上的小文件,用來在你再次造訪時識別你,或追蹤你在不同網站上的活動。
雖然大多數瀏覽器都有內建功能來阻止或刪除cookies,但瀏覽器指紋更難控制。你無法刪除瀏覽器指紋,因為它不是儲存在你的電腦上。
然而,當瀏覽器指紋所基於的資訊發生變化時,指紋也會變化。這意味著更新你的瀏覽器或安裝新的擴充可能會改變你的指紋。
瀏覽器指紋也不完全是唯一的。不同用戶可能會共享一個指紋,特別是在行動裝置上,因為用戶不太可能自訂他們的設定。
儘管有這些限制,瀏覽器指紋仍然是識別和追蹤網路使用者的有效方法。
為什麼要使用瀏覽器指紋?
瀏覽器指紋的目的是更好地理解網站造訪者,並在造訪之間甚至在不同網站之間追蹤他們。這種技術有正面和負面的用途。
瀏覽器指紋的積極用途通常涉及提高安全性:
- 新增身份驗證:網站可以識別你常用的瀏覽器,並用它來簡化你的登入流程。例如,如果你使用不熟悉的設備,銀行可能會向你提出更多的安全問題,以確保確實是你自己。
- 偵測可疑活動:瀏覽器指紋可以幫助識別機器人或詐騙使用者。例如,它可以識別一個試圖冒充多人的人,或檢測一個小螢幕分辨率,這表明某人在一台顯示器上模擬多個裝置。
- 禁止使用者:指紋辨識可以用於禁止在賭博網站上違規的使用者。指紋辨識可以偵測試圖領取多個註冊獎金的用戶,或假裝是多個獨立玩家的人。
瀏覽器指紋的負面用途包括:
- 定向廣告:廣告商可以使用瀏覽器指紋根據你造訪的網站建立你的興趣檔案。這些資訊可以用來向你投放廣告,或是賣給其他公司。
- 動態定價:線上商店可能會向看起來更富有的客戶收取更高的費用,例如擁有更貴的設備或居住在較富裕地區的客戶。
- 資料收集:瀏覽器指紋使得資料代理程式和廣告商可以在使用者封鎖cookies、使用VPN或隱私瀏覽模式的情況下收集他們的資訊。雖然不清楚這些數據是如何收集和交易的,但隱私和倫理風險是顯而易見的。
如何檢查你的瀏覽器指紋
你可以使用amiunique.org或其他類似工具在線檢查你的瀏覽器指紋。點擊按鈕查看你的指紋,該工具會告訴你與其他用戶相比你的指紋有多獨特。
我們使用微軟Edge、GoogleChrome和Safari在Windows和macOS上進行了測試。我們也使用了一部安卓手機和一部iPhone。每種情況下,我們的指紋在該網站測試的超過240萬個指紋中都是獨特的。
AmIUnique會告訴你你的瀏覽器指紋有多獨特。
這些工具將顯示你的瀏覽器在它們檢查的每個屬性上揭示的訊息,以及在所有已測試的指紋中有多獨特。
共享較少的屬性可以更容易識別你。它們會被標記為紅色。那些結果在許多人中共享的則不太顯眼,標記為綠色。
在每種情況下,我們的用戶代理(瀏覽器和作業系統版本)在AmIUnique的樣本中都少於1%的共享率。在我們的桌上型電腦上,我們安裝了一些不常見的字體,因此我們的字體清單沒有其他使用者共用。
雖然看到某些資訊被如此少的人分享有些令人驚訝,但瀏覽器指紋的力量在於你的所有資訊組合起來很可能是幾乎唯一的。即使單一資訊被很多人分享。
瀏覽器指紋收集的資料類型
瀏覽器指紋收集的資料量可以有很大差異。一項研究收集了305個屬性,而測試網站AmIUnique在我們的測試中使用了最多64個屬性。
這些屬性通常包括你的瀏覽器和作業系統類型及版本、螢幕解析度、已安裝的字型、瀏覽器擴充功能、權限等。
這些數據透過兩種方式收集:
- HTTP頭:這些由瀏覽器發送,幫助目標伺服器了解請求資訊的裝置。它們可能包括有關瀏覽器和作業系統的信息,或瀏覽器可以接受的檔案格式。
- JavaScript:JavaScript是一種在你的瀏覽器中執行指令的程式語言。它是網頁的核心部分,用於動態更新內容、動畫圖像、檢查你是否填寫了表格等類似用途。它也可以用來發現設備和瀏覽器的更多資訊。
以下是一些用於建立瀏覽器指紋的資料點、它們的重要性及其收集方式的分解:
| 資料型別 | 收集方式 | 重要性 |
|---|---|---|
| IP地址 | HTTP頭 | 你的IP地址在網路上辨識你。使用VPN可以更改你的IP地址,更改VPN伺服器也會更改指紋。 |
| 是否使用Tor瀏覽器 | 基於IP地址 | 很少人使用Tor瀏覽器,所以這個資料點相當獨特。然而,Tor會阻止許多其他指紋資料點。 |
| 使用者代理字串(瀏覽器和作業系統版本) | HTTP頭 | 瀏覽器版本經常更改,因此此屬性可以限制指紋的壽命。谷歌Chrome正在逐步淘汰用戶代理字串,以阻止其被用於追蹤用戶。 |
| 瀏覽器接受的檔案格式,包括壓縮類型 | HTTP頭 | 在我們的測試中,Chrome和Edge在這個資料點上只有14%的相似性。 |
| 使用者的首選語言(例如英語) | HTTP頭 | 儘管語言是廣泛共享的,但頭文件表達語言的方式可能是獨特的。在我們的測試中,Firefox和Edge的相似性都少於1.5%。 |
| 是否啟用cookies | JavaScript | 大多數使用者接受cookies。禁用它們可能使你的指紋更具辨識度。 |
| 時區 | JavaScript | 對於不經常旅行的人來說,這大部分時間是穩定的。 |
| 顯示卡和音訊卡屬性,包括顯示卡型號 | JavaScript | 這些是硬體特性,不太可能改變。請參閱畫布指紋、WebGL指紋和音訊指紋。 |
| 字體清單 | JavaScript | 對於安裝了額外字體的使用者來說,這可能變得非常獨特,尤其是如公司字體等不常見的字體。 |
| 瀏覽器版本、名稱、製造商及可用屬性 | JavaScript | 這些屬性本身可能並不顯著,但它們可以與其他資料點結合,創建更獨特的指紋。 |
| 並發性和裝置記憶體 | JavaScript | 這些是硬體特性,不太可能改變。並發性是處理器同時執行的指令數。 |
| 瀏覽器擴充清單 | JavaScript | 這揭示了使用者安裝到瀏覽器的擴充。 Tor瀏覽器的製造商認為這是最大的隱私威脅。 |
| 是否使用廣告攔截器 | JavaScript | JavaScript可以偵測廣告攔截行為。 |
| 螢幕尺寸、色彩深 | JavaScript | 這些是硬體特性,不太可能改變。 |
| 是否存在加速計、陀螺儀、接近感應器、觸控輸入 | JavaScript | 這些是硬體特性,不太可能改變。 |
| 硬體權限 | JavaScript | 這揭示了使用者設定是否允許地理位置、加速計、相機、麥克風和儲存的使用。 |
| 支援的音訊和視訊格式 | JavaScript | 這取決於瀏覽器。 |
| 電池電量、充電時間和放電時間 | JavaScript | 這些是硬體特性,除了電池電量外不太可能改變。 |
| 鍵盤佈局 | JavaScript | 在指紋壽命期間,這不太可能改變。 |
| 瀏覽器介面大小和位置列、功能表列、個人列、狀態列和工具列的使用情況 | JavaScript | 這些是軟體設置,但使用者不太可能更改它們。 |
| 連接類型 | JavaScript | 在指紋壽命期間,這不太可能改變。 |
| 連接的媒體設備 | JavaScript | 這些是硬體特性,但如果使用者更改連接的設備,指紋將會改變。 |
專家提示:你可以透過停用JavaScript阻止很多資料被收集,但許多網站在沒有它的情況下無法正常運作。
瀏覽器指紋技術類型
有幾種不同的技術用於創建指紋或其部分。每種技術都涉及不同類型的資料或不同的收集方法。
媒體裝置指紋
顧名思義,這種技術使用連接的媒體設備清單來創建指紋。這包括內部設備(如音效卡或顯示卡)和外部設備(如耳機)。
這種技術需要使用者授權造訪他們的相機和麥克風。
HTML5 Canvas指紋
Tor專案將canvas指紋描述為“瀏覽器面臨的最大指紋威脅”,僅次於擴充提供的資訊。
我們在AmIUnique的測試中發現,在Chrome和Firefox中,只有0.21%的人共享我們的canvas指紋,在Edge中甚至低至0.02%。
Canvas指紋透過繪製一些文本,然後創建其外觀的數學表示來運作。這會因為裝置上的字體、系統顏色、顯示卡和圖形驅動程式而產生細微差異。
這是AmIUnique產生的測試圖像:
通常情況下, canvas指紋是在不被注意的情況下創建的,因此你不知道指紋辨識正在進行。
這種技術之所以被稱為canvas指紋,是因為它使用網頁上的HTML canvas元素。
WebGL指紋
WebGL指紋與canvas指紋類似。它使用WebGL,這是一種在網頁瀏覽器中繪製2D和3D物件的技術。
某些東西在你不知情的情況下被繪製,圖像會因你的圖形硬體而有所不同。指紋是從圖像中計算出來的。
2022年,研究人員開發了一種稱為DrawnApart的WebGL指紋技術。它計時圖形處理單元(GPU)繪製某些東西的時間。結果不僅因GPU的製造和型號而異,還因製造差異而變化。這大大增加了瀏覽器指紋的準確性。
音訊指紋
瀏覽器有一個名為WebAudio API的功能,可以用來在瀏覽器中建立和操作聲音。音頻指紋使用它來創建一個聽不見的聲音,並從中產生一個指紋。指紋因瀏覽器類型、瀏覽器版本和平台而異。
跨瀏覽器指紋
當指紋使用瀏覽器資訊時,例如使用者代理,每個瀏覽器都有自己的指紋。使用多個瀏覽器的使用者會有多個指紋。
為了解決這個問題,網站可以創建僅基於用戶設備硬體特性的指紋。這些特性是透過canvas指紋和音訊指紋發現的,但也可以包括機器的特性,例如鍵盤佈局或觸控輸入支援。
這些特性無論使用哪個瀏覽器都保持不變,而且不太可能改變。
2017年的研究發現,硬體特性使得可以對99.24%的網路使用者進行指紋辨識。該研究實現了83.24%的指紋唯一性,並在跨瀏覽器的高穩定性中實現了這一目標。
裝置指紋
除了瀏覽器指紋外,安裝在裝置上的行動應用程式也可以建立該裝置的指紋。
應用程式可以發現設備的特性,例如其MAC地址(連接設備的硬體識別碼)、時區、電池健康和CPU詳細資訊。在Android上,甚至可以找出裝置的序號,這將唯一標識該裝置。
設備指紋可用於為銀行應用程式添加額外的身份驗證層,或偵測賭博應用程式中的詐騙行為,例如玩家試圖領取多個註冊獎金。
如何保護自己避免瀏覽器指紋的影響
阻止瀏覽器指紋的最佳方法是使用限制它的私人瀏覽器。還有一些擴充可以添加到主流瀏覽器中,以阻止一些指紋技術。
注重隱私的瀏覽器
有些瀏覽器比其他瀏覽器更能阻止指紋識別,因此值得考慮你的瀏覽器選擇。
Tor瀏覽器
Tor瀏覽器專為隱私而設計,具有自己的伺服器節點網絡,增強了你的匿名性。
Tor的策略是確保所有使用者都有相同的指紋,這樣他們就無法區分開來。
Tor有極多的對策來對抗瀏覽器指紋。這些措施包括:
- 停用所有外掛程式。
- 需要許可才能正確使用canvas功能。否則,會繪製一張純白色圖片。
- 確保WebGL在未經使用者授權的情況下無法運作。
- 提供一組字體,並隱藏裝置上已安裝的字體。
- 將瀏覽器視窗設定為200×100像素的倍數,最大為1000×1000像素。
- 停用對連接的媒體裝置(如相機和麥克風)的造訪。
- 停用電池狀態功能。
- 為所有人提供相同的時區。
- 停用用於音訊指紋的WebAudio API。
儘管使用Tor時每個人的指紋都是相同的,但它並不總是安全的。使用Tor本身可以被檢測到,並且可能被一些服務標記為可疑並阻止。
Firefox
Firefox瀏覽器聲稱包括指紋保護功能。它阻止來自已知使用指紋技術的公司的請求。
然而,我們使用AmIUnique測試了Firefox,發現我們的瀏覽器指紋仍然是獨特的。這可能是因為我們使用的指紋工具不在Firefox的封鎖清單中,而且它仍然對其他真正的隱私威脅提供保護。
專家提示:LibreWolf是具有額外隱私設定的Firefox版本。然而,它的更新頻率較低,這可能會削弱其安全性。 IceCat for Linux是另一個具有額外指紋對策的Firefox版本。
Avast Secure Browser
Avast Secure Browser聲稱會混淆指紋腳本,阻止它們收集準確資訊。 Avast表示,其瀏覽器使用了一種將使用者一般化(讓你看起來像其他人)和隨機化(讓你的指紋經常變化)相結合的方法。
我們的測試發現,使用Avast Secure Browser時,我們的指紋仍然是獨特的。(This article is created by how&best)和Firefox一樣,它可能在面對一些實際追蹤腳本時表現得更好,但由於使用該瀏覽器的人很少,它本身就高度獨特。
Avast AntiTrack是一種商業產品(每年起價55美元),它為指紋腳本提供虛假數據,因此它們可以繼續運行,但你的真實資訊被隱藏。
Brave
Brave瀏覽器以基於本地儲存瀏覽歷史記錄的廣告取代廣告和追蹤軟體。
Brave目的是為了隨機化指紋數據,使你在特定網站上的瀏覽會話內具有一致的指紋,但在其他會話或其他網站上具有不同的指紋。這使得指紋對跨網站或跨會話的追蹤使用者變得無用。
開發人員表示,這種方法比給所有人相同的指紋更好,因為如果提供不準確的信息,一些網站可能會崩潰,而且如果一個網站的造訪者不多,你的瀏覽器仍然可能看起來是獨特的。
Brave使用術語「farbling」來指稍微隨機化可能有助於識別你的瀏覽器特徵的輸出。瀏覽器將farbling應用於canvas、媒體設備、WebGL、擴充、音訊和使用者代理。
瀏覽器隱私設置
如果你真的關心隱私,我們建議避免使用微軟Edge、Chrome和Safari。
然而,如果你必須使用它們,有一些功能可以啟用,以限制瀏覽器指紋。
在Safari中啟用指紋保護
Apple的Safari瀏覽器中的指紋保護會阻止已知的指紋追蹤軟體在你造訪的頁面上。預設情況下,它在隱私瀏覽視窗中啟用,但你可以為所有瀏覽會話打開它:
- 前往設定>Safari>進階。
- 選擇進階追蹤和指紋保護。
- 選擇所有瀏覽。
在微軟Edge中啟用指
紋保護
微軟Edge目的是為了偵測和阻止指紋追蹤軟體。你可以在設定>隱私、搜尋和服務中啟用追蹤防護。
有三個等級:
- 基本:阻止有壞處追蹤軟體,但允許廣告和內容個人化的追蹤軟體。
- 平衡:阻止有壞處追蹤軟體和來自你未造訪過的網站的第三方追蹤軟體。
- 嚴格:封鎖大多數跨網站的追蹤軟體。有些網站功能可能無法正常運作,但你可以為任何你想要排除在追蹤保護之外的網站添加例外。
瀏覽器擴充功能
有幾個擴充功能有助於限制瀏覽器指紋。它們要么阻止指紋技術,要么禁止已知的指紋追蹤軟體跟踪你。
| 瀏覽器擴充功能 | 封鎖的內容 |
|---|---|
| Canvas Blocker | Canvas, WebGL, audio, navigator properties, screen, and others. |
| Ghostery | Known fingerprinters and requests from unknown trackers. |
| Privacy Badger | Canvas fingerprinting used by advertisers and other third-parties. |
| NoScript | JavaScript, except where you allow it. |
| Canvas Fingerprint Defender | Canvas fingerprinting attempts by adding random data to images. |
| Disconnect | Known third-party browser fingerprinters. |
值得重申的是,這些擴充功能並不能完全保護你避免瀏覽器指紋的影響。以下是可以保護的內容和可能仍然脆弱的內容的總結:
| 可以保護的內容 | 未總是保護的內容 |
|---|---|
| 已知的用戶跟踪公司 | 第一方跟踪,即你選擇造訪的網站的指紋跟踪 |
| 最具侵入性的指紋技術 | 產生指紋的每個參數 |
| 從事指紋追蹤的未知組織 |
為了最全面的保護,我們建議同時使用兩個擴充:
- Canvas Blocker,用於阻止最大的指紋技術
- Ghostery,用於阻止已知的指紋公司
你可以在瀏覽器的擴充商店找到這些擴充功能。或者,造訪它們的網站(如果有的話),連結在上表中。
VPN和代理伺服器
你的IP地址幾乎肯定是獨一無二的,可以用來辨識你。因此,使用VPN或代理伺服器來更改你的IP地址,並獲得使用VPN的其他隱私和安全優勢是有意義的。
如果你更改VPN伺服器,你將部分更改使用先前IP地址的任何指紋。
然而,VPN不會阻止其他指紋技術被用來對付你。它無法阻止瀏覽器透露你的顯示卡、螢幕或連接的媒體設備等資訊。
常見問題
瀏覽器指紋是否合法?
瀏覽器指紋是合法的。儘管歐盟的《一般資料保護規範》( GDPR)監管cookies,但它不控制瀏覽器指紋。在美國,州法律如《加州消費者隱私法》(CCPA)和佛蒙特州的《資料代理法》也不涉及瀏覽器指紋。
隱私模式能保護我避免瀏覽器指紋的影響嗎?
私人瀏覽或隱私模式阻止網站使用cookies追蹤你造訪的情況。然而,它對瀏覽器指紋無效,因為這是一種無需使用cookies就能運作的技術。
VPN能阻止瀏覽器指紋嗎?
VPN可以更改你的IP地址,從而隱藏你的位置,但瀏覽器指紋仍然可以在沒有IP地址的情況下辨識你。實際上,使用VPN可能會增加你的指紋的獨特性。
