瀏覽器指紋追蹤技術瞭解一下?

一、什麼是瀏覽器指紋?

我們常說的指紋,都是指人們手指上的指紋,因具有唯一性,所以可以被用來標識一個人的唯一身份。而瀏覽器指紋是指僅通過瀏覽器的各種信息,如CPU核心數、顯卡信息、系統字體、屏幕分辨率、瀏覽器插件等組合成的一個字符串,就能近乎絕對定位一個用戶,就算使用瀏覽器的隱私窗口模式,也無法避免。

這是一個被動的識別方式。也就是說,理論上你訪問了某一個網站,那麼這個網站就能識別到你,雖然不知道你是誰,但你有一個唯一的指紋,將來無論是廣告投放、精準推送、安全防範,還是其他一些關於隱私的事情,都非常方便。

二、實現瀏覽器指紋的技術點有哪些?

1、基本指紋

瀏覽器基本指紋是任何瀏覽器都具有的特徵標識,比如屏幕分辨率、硬件類型、操作系統、用戶代理(User agent)、系統字體、語言、瀏覽器插件 、瀏覽器擴展、瀏覽器設置 、時區差等衆多信息,這些指紋信息“類似”人類的身高、年齡等,有很大的衝突概率,只能作爲輔助識別。可以在該網址進行查看本地瀏覽器的基本特徵,https://www.whatismybrowser.com/

2、高級指紋

瀏覽器高級指紋與基本指紋的區別是,基本指紋就像是人的外貌特徵,外貌可以用男女、身高、體重區分,然而這些特徵不能對某個人進行唯一性標識,僅使用基本指紋也無法對客戶端進行唯一性判定,基於HTML5的諸多高級功能就能生成高級指紋了。

Canvas指紋

說到高級指紋,不得不提Canvas指紋,Canvas(畫布)是HTML5中一種動態繪圖的標籤,可以使用其生成甚至處理高級圖片。

Canvas指紋的原理大致如下:

相同的HTMLCanvasElement元素繪製操作,在不同操作系統、不同瀏覽器上,產生的圖片內容不完全相同。在圖片格式上,不同瀏覽器使用了不同的圖形處理引擎、不同的圖片導出選項、不同的默認壓縮級別等。在像素級別來看,操作系統各自使用了不同的設置和算法來進行抗鋸齒和子像素渲染操作。即使相同的繪圖操作,產生的圖片數據的CRC檢驗也不相同。Canvas幾乎已被所有主流瀏覽器支持,可以通過大部分的PC、平板、智能手機訪問。

在線測試地址:https://www.browserleaks.com/...

WebGL指紋

通過HTMLCanvasElement元素可以獲取到Webgl對象(canvas.getContext("webgl")),通過此對象可以獲取到用戶的硬件信息,比如顯卡名稱、顯卡型號、顯卡製造商等,比如:ANGLE (NVIDIA GeForce GTX 1050 Ti Direct3D11 vs50 ps50),Google Inc.。

由於硬件一般是不會隨意更換的,有些是電腦買來到電腦報廢就沒更換過硬件,電腦硬件種類也比較多,雖然非常大的碰撞率,但是依然可以被用來當做用戶指紋的一部分,收集用戶的信息也多,就越能代表用戶的唯一指紋,這點不可忽視。

AudioContext指紋

HTML5提供給JavaScript編程用的Audio API則讓開發者有能力在代碼中直接操作原始的音頻流數據,對其進行任意生成、加工、再造,諸如提高音色,改變音調,音頻分割等多種操作,甚至可稱爲網頁版的Adobe Audition。

AudioContext指紋原理大致如下:

方法一:生成音頻信息流(三角波),對其進行FFT變換,計算SHA值作爲指紋。

方法二:生成音頻信息流(正弦波),進行動態壓縮處理,計算MD5值。

兩種方法都是在音頻輸出到音頻設備之前進行清除,用戶根本就毫無察覺就被獲取了指紋。

AudioContext指紋基本原理:

主機或瀏覽器硬件或軟件的細微差別,導致音頻信號的處理上的差異,相同器上的同款瀏覽器產生相同的音頻輸出,不同機器或不同瀏覽器產生的音頻輸出會存在差異。

從上可以看出AudioContext和Canvas指紋原理很類似,都是利用硬件或軟件的差異,前者生成音頻,後者生成圖片,然後計算得到不同哈希值來作爲標識。音頻指紋測試地址:https://audiofingerprint.open...

WebRTC指紋

WebRTC(網頁實時通信,Web Real Time Communication),是可以讓瀏覽器有音視頻實時通信的能力,它提供了三個主要的API來讓JS可以實時獲取和交換音視頻數據,MediaStream、RTCPeerConnection和RTCDataChannel。當然如果要使用WebRTC獲得通信能力,用戶的真實ip就得暴露出來(NAT穿透),所以RTCPeerConnection就提供了這樣的API,直接使用JS就可以拿到用戶的IP地址。用戶的內網IP地址也是大多數情況下不會改變,所以也是可以用來當做用戶指紋的其中一個因子。

綜合指紋

上面幾點都說了瀏覽器指紋大致有哪些,還沒有完全說完,只是一部分,但是零散的指紋信息並不能真正的定位到唯一用戶,並不能用來代表一個用戶的唯一身份(用戶指紋)。

綜合指紋是指將所有的用戶瀏覽器信息組合起來,就可以近乎99%以上的準確率定位標識用戶,綜合指紋大致有如下:

  • 基本指紋(UserAgent、屏幕分辨率、CPU核心數、內存大小、插件信息、語言等)
  • 高級指紋部分(Canvas指紋、Webgl指紋、AudioContext指紋、WebRTC指紋、字體指紋等)
  • 地理位置、時區、DNS、SSL證書等信息。
    將以上幾點組合起來就可以生成綜合指紋(用戶指紋),就可以達到前面說的99%以上可以定位唯一用戶。

如何防止被生成“用戶指紋”?

前面我們說了一大堆網站如何使用各種技術來“生成”用戶指紋,來標識唯一用戶,那麼下面我們來說說,如何避免被網站“生成”唯一用戶指紋。

常用的手段是,通過瀏覽器的擴展插件,阻止網站獲取各種信息,或者返回個假的數據,這種方式是在網頁加載前就執行一段JS代碼,更改、重寫、HOOK了js的各個函數來實現的,因爲JS的靈活性給這種方式提供的可能。但是這種方式始終是表層的,使用JS修改是能防止大部分網站的生成唯一指紋,但是是有手段可以檢測出來是否“作弊”的。

更好的手段是從瀏覽器底層做處理,從瀏覽器底層修改API使得這些在js層獲取的信息並不唯一,不管如何組合都不能生成一個唯一的代表用戶的指紋。比如:貓頭鷹瀏覽器

貓頭鷹瀏覽器是基於chromium代碼修改編譯的瀏覽器,從底層對各種API做了修改,可以交給用戶自定義返回各種數據,比如Canvas、Webgl、AudioContext、WebRTC、字體、UserAgent、屏幕分辨率、CPU核心數、內存大小、插件信息、語言等信息,這樣就可以完全避免被“生成”唯一用戶指紋了。

5、常用檢測網站

  • BrowserLeaks - Web Browser Fingerprinting - Browsing Privacy
  • 瀏覽器環境校驗
  • AmIUnique

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章