使用互联网的公众越来越意识到 HTTP 浏览器 cookie 对隐私造成的危险。HTTP 浏览器 cookie 是网站存储在您计算机上的小文本文件,不仅可以在您访问特定网站时识别您的身份,还可以被其他网站用来在您上网冲浪时进行跟踪。
今年(2013 年)5 月,欧盟“cookie 法”生效,要求欧盟网站和所有为欧盟受众提供服务的网站在其计算机上留下“非必要”cookie 之前必须征得访问者的许可。在实践中,该法律的实施和执行并不完善,充其量也只是部分有效(一些非常模糊的措辞也无济于事),但它有助于提高世界各地网民对 cookie 的认识。
然而,网站(尤其是第三方分析和广告领域)通过使用 cookie 获得了大量经济利益,因此寻找新的方法通过其他方式唯一地识别和跟踪网站访问者。其中一种方法是使用超级cookie(包括Flash cookie和僵尸cookie),另一种是浏览器指纹识别(HTTP电子标签、网络存储和历史窃取也是较少使用的方法,我们将在另一篇文章中讨论)。
什么是浏览器指纹识别?
每当您访问网站时,您的浏览器都会将数据发送到托管该网站的服务器。这些数据包括基本信息,包括浏览器名称、操作系统和浏览器的确切版本号。此信息称为被动浏览器指纹,因为它是自动发生的。
然而,网站还可以轻松安装要求附加信息的脚本,例如所有已安装字体和插件的列表、支持的数据类型(所谓的 MIME 类型)、屏幕分辨率、系统颜色等。由于必须从您的浏览器获取此信息,因此它被称为主动指纹识别。
总而言之,各种指纹属性几乎可以立即组合在一起(只需几毫秒即可运行比较数百万个指纹的算法),以创建一个独特的指纹,该指纹可用于非常准确地识别单个用户,无论 cookie 是否已被删除或 IP 地址是否在网站访问之间发生更改。
您的浏览器指纹有多独特?
EFF 的研究表明,“如果我们随机选择一款浏览器,我们最多预计 286,777 个其他浏览器中只有一个会分享其指纹。”作为调查的一部分,它创建了 Panoptoclick 网站,该网站会主动对您的浏览器进行指纹识别,并告诉您它有多么独特。
我们在浏览器中使用了许多与隐私相关的插件,具有讽刺意味的是,这使我们更加独特,因此可以通过指纹识别来识别。
我可以更改指纹吗?
每次安装新字体或插件,或以其他方式更改指纹属性之一时,您都会更改您的指纹。在这方面最重要的属性是已安装插件的列表、支持的 MIME 类型和已安装的字体,仅当与浏览器的用户代理(提供有关浏览器的信息)结合使用时,这些属性就可以实现 87% 准确度的唯一识别。
不幸的是,EEF 认定,即使“指纹变化得相当快”。即使是简单的启发式方法通常也能够猜测指纹何时是先前观察到的浏览器指纹的“升级”版本,猜测正确率为 99.1%,误报率仅为 0.86%。
可以更改浏览器的用户代理,这对更改指纹的影响最为显着,但许多网站依赖于提供正确的用户代理才能正常运行,因此这不是一个理想的解决方案。除此之外,通过更改用户代理,您实际上可以增加浏览器的独特性(我们将在下面详细讨论),但如果您确实想尝试这样做,请查看在桌面浏览器、Android 和 iOS Safari 中执行此操作的指南。
更改 Chrome 中的用户代理
指纹识别最令人沮丧和矛盾的方面之一是,您为防止跟踪而采取的任何措施,例如阻止 Flash cookie 或更改您的用户代理,实际上都会使您的身份更加独特。事实上,保护自己不被指纹识别目前很难达到不可能的程度,但您可以采取一些措施来最大程度地减少问题。
其中最重要的是使用尽可能“普通”(即未经修改)的流行浏览器,这样您就可以与大多数不懂技术的互联网用户融为一体,他们从不安装额外的插件或以其他方式篡改他们的软件。因此,Firefox 和 Chrome 对于桌面用户来说是不错的选择(Safari 也不错,但 Microsoft Internet Explorer 比其他浏览器泄露了更多的识别信息),而 iOS Safari 用户比 Android 用户更安全,因为 iOS Safari 比普通 Android 浏览器可定制性较差(因此也不太独特)。理想情况下,您还应该使用尽可能简单的操作系统,因此新安装的 Windows 7(世界上最流行的操作系统),不带任何其他软件或字体将是最好的,尽管不可否认,这对大多数人来说完全不切实际。
虽然大多数隐私增强措施(我们在《终极隐私指南》中详细介绍)在指纹识别方面实际上会降低您的隐私,但 EFF 指出,Torbutton(以及一般的 Tor 网络)“对指纹防护给予了相当多的考虑”,并且“NoScript 是一种有用的隐私增强技术,似乎会降低指纹识别能力。”尽管这些努力值得赞扬,但这些措施并不完美,正如指纹识别专家 Henning Tillmann 解释的那样,“每个使用 Tor 的人都有相似的浏览器指纹,如果一个网站只有一名访问者使用 Tor,这将使他或她变得独特且可识别。”
防止跟踪的提示
- 使用新安装的 Windows 7 副本
- 使用未经修改的 Chrome 或 Firefox 浏览器
- 使用一个VPN服务隐藏您的 IP 地址并加密您的浏览数据(或使用 Tor)
- 每次会话后清除浏览器缓存和 cookie(在浏览器“隐私模式”下工作应该具有类似的效果)
- 禁用或不安装 JavaScript(不幸的是,如果没有它,许多网站将无法正常工作)
- 禁用或(更好)不安装 Flash。然而不幸的是,网络上许多对用户更友好的特性和功能都是由 Flash 提供的。
- 访问 EFF 的 Panoptoclick 网站,了解您的措施的效果如何
结论
浏览器指纹识别是一项强大的技术,当我们讨论网络隐私和用户可跟踪性时,必须将指纹与 cookie、IP 地址和超级 cookie 一起考虑。尽管指纹结果并不是特别稳定,但浏览器会显示大量版本和配置信息,因此它们仍然是绝对可追踪的。
随着互联网用户越来越意识到隐私和跟踪问题,那些跟踪我们的人的做法也变得越来越狡猾。对于指纹识别来说,这已经达到了几乎不可能预防的地步(尽管如上所述,可以采取一些步骤来使其变得更加困难)。因此,EFF 在其报告的结论中表示,答案在于政府行动和立法,并且“政策制定者应该开始将可指纹记录视为潜在的个人身份识别记录,并限制它们与身份和敏感日志(如点击流和搜索词)相关联的持续时间”。
现在不得不说,我们对政府实施此类变革的意愿或能力的信心非常有限(尽管 EEC 的“cookie 法”至少在这方面表现出了一些积极的意图),因此与此同时,我们将不得不采取尽可能多的措施(因为所有措施都会以某种方式影响我们的用户体验),并希望得到最好的结果。