使用互聯網的公眾越來越意識到 HTTP 瀏覽器 cookie 對隱私造成的危險。 HTTP 瀏覽器 cookie 是網站存儲在您計算機上的小文本文件,不僅可以在您訪問特定網站時識別您的身份,還可以被其他網站用來在您上網衝浪時進行跟踪。
今年(2013 年)5 月,歐盟“cookie 法”生效,要求歐盟網站和所有為歐盟受眾提供服務的網站在其計算機上留下“非必要”cookie 之前必須徵得訪問者的許可。在實踐中,該法律的實施和執行並不完善,充其量也只是部分有效(一些非常模糊的措辭也無濟於事),但它有助於提高世界各地網民對 cookie 的認識。
然而,網站(尤其是第三方分析和廣告領域)通過使用 cookie 獲得了大量經濟利益,因此尋找新的方法通過其他方式唯一地識別和跟踪網站訪問者。其中一種方法是使用超級cookie(包括Flash cookie和殭屍cookie),另一種是瀏覽器指紋識別(HTTP電子標籤、網絡存儲和歷史竊取也是較少使用的方法,我們將在另一篇文章中討論)。
什麼是瀏覽器指紋識別?
每當您訪問網站時,您的瀏覽器都會將數據發送到託管該網站的服務器。這些數據包括基本信息,包括瀏覽器名稱、操作系統和瀏覽器的確切版本號。此信息稱為被動瀏覽器指紋,因為它是自動發生的。
然而,網站還可以輕鬆安裝要求附加信息的腳本,例如所有已安裝字體和插件的列表、支持的數據類型(所謂的 MIME 類型)、屏幕分辨率、系統顏色等。由於必須從您的瀏覽器獲取此信息,因此它被稱為主動指紋識別。
總而言之,各種指紋屬性幾乎可以立即組合在一起(只需幾毫秒即可運行比較數百萬個指紋的算法),以創建一個獨特的指紋,該指紋可用於非常準確地識別單個用戶,無論 cookie 是否已被刪除或 IP 地址是否在網站訪問之間發生更改。
您的瀏覽器指紋有多獨特?
EFF 的研究表明,“如果我們隨機選擇一款瀏覽器,我們最多預計 286,777 個其他瀏覽器中只有一個會分享其指紋。”作為調查的一部分,它創建了 Panoptoclick 網站,該網站會主動對您的瀏覽器進行指紋識別,並告訴您它有多麼獨特。
我們在瀏覽器中使用了許多與隱私相關的插件,具有諷刺意味的是,這使我們更加獨特,因此可以通過指紋識別來識別。
我可以更改指紋嗎?
每次安裝新字體或插件,或以其他方式更改指紋屬性之一時,您都會更改您的指紋。在這方面最重要的屬性是已安裝插件的列表、支持的 MIME 類型和已安裝的字體,僅當與瀏覽器的用戶代理(提供有關瀏覽器的信息)結合使用時,這些屬性就可以實現 87% 準確度的唯一識別。
不幸的是,EEF 認定,即使“指紋變化得相當快”。即使是簡單的啟發式方法通常也能夠猜測指紋何時是先前觀察到的瀏覽器指紋的“升級”版本,猜測正確率為 99.1%,誤報率僅為 0.86%。
可以更改瀏覽器的用戶代理,這對更改指紋的影響最為顯著,但許多網站依賴於提供正確的用戶代理才能正常運行,因此這不是一個理想的解決方案。除此之外,通過更改用戶代理,您實際上可以增加瀏覽器的獨特性(我們將在下面詳細討論),但如果您確實想嘗試這樣做,請查看在桌面瀏覽器、Android 和 iOS Safari 中執行此操作的指南。
更改 Chrome 中的用戶代理
指紋識別最令人沮喪和矛盾的方面之一是,您為防止跟踪而採取的任何措施,例如阻止 Flash cookie 或更改您的用戶代理,實際上都會使您的身份更加獨特。事實上,保護自己不被指紋識別目前很難達到不可能的程度,但您可以採取一些措施來最大程度地減少問題。
其中最重要的是使用盡可能“普通”(即未經修改)的流行瀏覽器,這樣您就可以與大多數不懂技術的互聯網用戶融為一體,他們從不安裝額外的插件或以其他方式篡改他們的軟件。因此,Firefox 和 Chrome 對於桌面用戶來說是不錯的選擇(Safari 也不錯,但 Microsoft Internet Explorer 比其他瀏覽器洩露了更多的識別信息),而 iOS Safari 用戶比 Android 用戶更安全,因為 iOS Safari 比普通 Android 瀏覽器可定制性較差(因此也不太獨特)。理想情況下,您還應該使用盡可能簡單的操作系統,因此新安裝的 Windows 7(世界上最流行的操作系統),不帶任何其他軟件或字體將是最好的,儘管不可否認,這對大多數人來說完全不切實際。
雖然大多數隱私增強措施(我們在《終極隱私指南》中詳細介紹)在指紋識別方面實際上會降低您的隱私,但 EFF 指出,Torbutton(以及一般的 Tor 網絡)“對指紋防護給予了相當多的考慮”,並且“NoScript 是一種有用的隱私增強技術,似乎會降低指紋識別能力。”儘管這些努力值得讚揚,但這些措施並不完美,正如指紋識別專家 Henning Tillmann 解釋的那樣,“每個使用 Tor 的人都有相似的瀏覽器指紋,如果一個網站只有一名訪問者使用 Tor,這將使他或她變得獨特且可識別。”
防止跟踪的提示
- 使用新安裝的 Windows 7 副本
- 使用未經修改的 Chrome 或 Firefox 瀏覽器
- 使用一個VPN服務隱藏您的 IP 地址並加密您的瀏覽數據(或使用 Tor)
- 每次會話後清除瀏覽器緩存和 cookie(在瀏覽器“隱私模式”下工作應該具有類似的效果)
- 禁用或不安裝 JavaScript(不幸的是,如果沒有它,許多網站將無法正常工作)
- 禁用或(更好)不安裝 Flash。然而不幸的是,Flash 提供了網絡上許多更用戶友好的特性和功能。
- 訪問 EFF 的 Panoptoclick 網站,了解您的措施的效果如何
結論
瀏覽器指紋識別是一項強大的技術,當我們討論網絡隱私和用戶可跟踪性時,必須將指紋與 cookie、IP 地址和超級 cookie 一起考慮。儘管指紋結果並不是特別穩定,但瀏覽器會顯示大量版本和配置信息,因此它們仍然是絕對可追踪的。
隨著互聯網用戶越來越意識到隱私和跟踪問題,那些跟踪我們的人的做法也變得越來越狡猾。對於指紋識別來說,這已經達到了幾乎不可能預防的地步(儘管如上所述,可以採取一些步驟來使其變得更加困難)。因此,EFF 在其報告的結論中表示,答案在於政府行動和立法,並且“政策制定者應該開始將可指紋記錄視為潛在的個人身份識別記錄,並限制它們與身份和敏感日誌(如點擊流和搜索詞)相關聯的持續時間”。
現在不得不說,我們對政府實施此類變革的意願或能力的信心非常有限(儘管 EEC 的“cookie 法”至少在這方面表現出了一些積極的意圖),因此與此同時,我們將不得不採取盡可能多的措施(因為所有措施都會以某種方式影響我們的用戶體驗),並希望得到最好的結果。