網站和廣告公司喜歡了解您是誰以及您在網絡上做什麼。他們越了解您和您的喜好,就越能更好地針對您投放廣告。當然,大多數互聯網用戶不太熱衷於向他們提供此類私密且侵犯隱私的信息。這導致不斷升級武器種族廣告商熱衷於唯一地識別網站訪問者並在他們上網時跟踪他們,而普通互聯網用戶熱衷於保護自己的隱私。廣告商武器庫中越來越重要的武器是指紋識別……
我已經討論過瀏覽器指紋識別前。這種侵入性技術使用使您的網絡瀏覽器與其他用戶的瀏覽器不同的屬性(例如瀏覽器名稱、操作系統和瀏覽器的確切版本號、安裝的字體和插件、支持的數據類型(所謂的 MIME 類型)、屏幕分辨率、系統顏色等),以便在您訪問網站時唯一地識別您。一旦被唯一識別,您就可以在訪問其他網站時被跟踪。
我還討論了畫布指紋識別,這是一種特殊形式的瀏覽器指紋識別,它使用一個腳本,要求您的瀏覽器繪製隱藏圖像,然後使用圖像繪製方式的微小變化來生成唯一的 ID 代碼,然後可以使用該代碼來跟踪您。
音頻(或 AudioContext)指紋識別
普林斯頓大學的研究人員發現 (.pdf),這種想法的新變體——音頻指紋識別——的使用正變得越來越普遍。該技術利用了 JavaScript音頻連接API為了幫助唯一地識別用戶,
“由於機器之間的硬件或軟件差異,在不同機器或瀏覽器上處理的音頻信號可能會略有差異,而相同的機器和瀏覽器組合將產生相同的輸出……使用 AudioContext API 進行指紋識別不會收集您的機器播放或錄製的聲音。 AudioContext 指紋是機器音頻堆棧本身的一個屬性。”
如果你想看你的音頻指紋,研究人員創建了AudioContext 指紋測試頁,它根據使用系統上安裝的 AudioContext 和 Canvas API 收集的信息提供可視化的指紋。
電池(狀態 API)指紋識別
這種技術用途一個鮮為人知的 HTML5“功能”稱為電池狀態API當您訪問網站時,檢測筆記本電腦、平板電腦或智能手機的剩餘電量。
官方萬維網聯盟(W3C,監督網絡標準制定的組織)規範規定,此 API 對隱私的影響最小。一個紙然而,法國和比利時安全研究人員發現,
“跨多個網站的第三方腳本可以通過利用提供給 Web 腳本的電池信息來鏈接用戶在短時間內的訪問。為此,腳本可以使用電池電量、放電時間和充電時間的值。由於更新間隔(及其時間)相同,每個站點上的讀數將保持一致。這可以使第三方腳本鏈接這些並發訪問。此外,如果用戶離開這些網站,但不久之後又訪問具有相同第三方腳本的另一個網站,這些讀數可能會被用來幫助將當前訪問與之前的訪問聯繫起來。 ”
研究人員還指出,除了使用電池電量跟踪網站訪問者之外,電池容量也可以用作跟踪向量。普林斯頓大學的論文也提到了電池指紋識別,儘管這些研究人員只發現了兩個利用它的腳本。
提示:我感謝讀者 Pogue,他發送了以下提示來禁用電池狀態API在火狐瀏覽器中。在關於:配置設置 dom.battery.enabled = false
組合跟踪技術
也許普林斯頓大學論文中最有趣的發現是網站和廣告分析公司部署了一系列技術,這些技術結合起來能夠挫敗用戶為阻止此類跟踪而採取的更加積極的嘗試,
“Ghostery 以及 EasyList 和 EasyPrivacy 的組合在阻止率方面表現相似。這些隱私工具可阻止超過 80% 的網站進行畫布指紋識別,並阻止超過 90% 的網站進行畫布字體指紋識別。然而,只有一小部分使用該技術的腳本被阻止(8% 到 25% 之間),這表明不太受歡迎的第三方被遺漏了。 WebRTC IP 發現和音頻指紋識別等鮮為人知的技術的檢測率甚至更低。”
Canvas 字體指紋識別是“常規”瀏覽器指紋識別的一項功能(使用瀏覽器字體列表來幫助識別用戶),而 WebRTC IP 發現也是相同的“功能”,即使在使用 VPN 時,也允許網站獲取用戶的真實 IP 地址(WebRTC“錯誤”)。
結論
正是由於廣告商廣泛使用這種侵入性和徹頭徹尾的偷偷摸摸的策略,越來越多的互聯網用戶被轉動到廣告攔截器。網站和廣告公司對收入損失表示遺憾,但這是他們自己的錯。
我們沒有允許他們監視我們,在我們上網時建立更加準確和令人毛骨悚然的個人資料,以便更好地鞭打我們的東西。當我們採取明確的措施來防止這種情況發生時(例如學習管理我們的 cookie),網站實際上就向自己的訪問者(和客戶)發動了戰爭。
更多的和更多的儘管違背了我們的最大利益和我們的意願,但已經開發出了監視興趣用戶的秘密方法(事實上,它們的開發正是因為我們試圖逃避此類跟踪)。
網站做需要從他們提供的優質內容或服務中賺錢,但除非他們誠實、透明地這樣做,並使用不會違反我們意願侵犯我們隱私的模式,否則消費者使用廣告攔截器投票的人數只會增加。