Что такое фингерпринтинг?

Создание цифрового отпечатка устройства (фингерпринтинг) - это процесс, в ходе которого сайт или сервис собирает небольшие фрагменты информации об устройстве пользователя и объединяет их вместе, чтобы создать уникальный идентификатор, или «отпечаток » устройства пользователя. Существуют два основных направления: фингерпринтинг браузера, при котором информация передается через браузер в момент посещения пользователем сайта, и фингерпринтинг устройства, при котором информация передается через приложения, установленные на устройстве пользователя.

В большинстве случаев созданием цифрового отпечатка занимается сторонний сервис, а не конечные сайты или приложения, используемые пользователем. Это позволяет использовать только один веб-трекер сторонней компании для множества приложений или сайтов. Благодаря этому компании-создатели веб-трекеров способны отслеживать пользователя на всех посещаемых им сайтах и сразу в нескольких установленных приложениях. Веб-трекеры позволяют компаниям иметь поразительно точные представления о повседневной деятельности пользователя, в том числе достаточно детальные, чтобы понять, что пользователь делает в определенный момент и где он использует свое устройство.

Фингерпринтинг и ретаргетинг anchor link

Фингерпринтинг активно используются компаниями, занимающимися веб-трекингом. Они используют собранную информацию для таргетированной рекламы или продают её брокерам данных. Сфера рекламных услуг в интернете оценивается в сотни миллиардов долларов. Ретаргетинг, или демонстрация рекламы аудитории, ранее взаимодействовавшей с сайтом, приложением или соцсетями бизнеса, является действенным способом для маркетологов увеличить показатели эффективности рекламной кампании и выручку. Технология фингерпринтинга применяется не только трекерами, она также используется для обнаружения мошенников и ботов.

Наиболее распространенными способами ретаргетинга рекламы являются куки-файлы (cookies) в браузере и рекламный идентификатор в приложениях (управляется операционными системами iOS и Android). Но у пользователя есть возможность удалить куки-файлы и рекламный идентификатор, очистив постоянный идентификатор, который привязан к конкретному браузеру или мобильному устройству. Представьте себе, что ваши привычки в интернете - это следы на песке у моря. Каждый след ведет на сайт, который вы посещали, а трекер может отследить весь ваш путь и увидеть, куда вы заходили ранее. Удаление файлов cookie - все равно, что прибой, смывающий ваши следы. Чем чаще вы «смываете» следы, тем сложнее увидеть весь ваш путь. После этого у трекера больше нет возможности проследить, какие страницы вы посещали в прошлом.

В процессе создания цифрового отпечатка генерируется уникальная строка, которую нельзя «смыть», создав новый идентификатор. Идентификатор представляет собой набор характеристик вашего браузера или устройства, и фингерпринтинг позволяет обратить эту информацию против вас. Цифровые отпечатки могут использовать самые разные и, казалось бы, банальные сведения о вашем устройстве или браузере: например, разрешение экрана, часовой пояс, версию операционной системы, процент заряда аккумулятора и подобное. Цифровые отпечатки существуют для обхода обычных средства контроля, доступных пользователям. Чтобы вернуть контроль над своим браузером и устройством, необходимо использовать специальные противодействующие фингерпринтингу инструменты.

Требования к цифровым отпечаткам для веб-трекинга anchor link

Чтобы цифровые отпечатки были полезны для веб-трекинга, они должны соответствовать двум критериям.

Во-первых, цифровые отпечатки должны быть стабильными. У веб-трекера не будет возможности соотнести одно посещение пользователя с последующим, если цифровой отпечаток пользователя будет постоянно меняться. Веб-трекеру необходима возможность определять, что один и тот же пользователь посещает сайты или использует приложения в течение продолжительного периода. Этот постоянный идентификатор используется вместо куки-файлов, которые пользователь может легко удалить. Цифровой отпечаток удалить невозможно, поскольку он не хранится на устройстве пользователя.

Во-вторых, отпечаток должен быть уникален. Если у двух или более пользователей одинаковые цифровые отпечатки, у трекера не будет возможности отличить один от другого. Без этой возможности трекер не сможет отследить конкретного пользователя и определить его в соответствующие маркетинговые категории, например «увлекается выпечкой» или «интересуется самолетами». Мы обнаружили, что подавляющее большинство браузеров удовлетворяет этим двум критериям в ходе нашего исследования браузеров Cover Your Tracks, которое мы запустили в 2010 году под именем Panopticlick.

В мобильных приложениях для создания цифровых отпечатков могут собираться всевозможные данные об устройстве: например, сколько времени прошло с момента последней перезагрузки или список установленных приложений. Хотя существуют правила, препятствующие сбору такой информации, они далеко не всегда работают. Например, Apple требует от разработчиков обосновать, зачем их приложениям нужна информация об устройстве, которая может быть использована для фингерпринтинга. Однако сложно определить, использует ли разработчик эти данные для реализации необходимых функций приложения или для трекинга. Для доступа к данным, используемых для фингерпринтинга, приложениям на Android требуется получить разрешение от пользователя. Но рядовой пользователь, скорее всего, не станет разбираться, проигнорирует содержимое запроса и нажмет «разрешить». Как в iOS, так и в Android рекомендуется ограничивать количество устанавливаемых приложений и анализировать, действительно ли приложение нуждается в запрашиваемых данных.

Способы борьбы с фингерпринтингом anchor link

Чтобы инструменты для борьбы с фингерпринтингом давали результат, они должны использовать одну из двух стратегий. Во-первых, они могут попробовать нарушить один из двух описанных выше критериев эффективности цифровых отпечатков. Во-вторых, они могут создать список всех трекеров и попросту их блокировать, то есть не давать им возможности получить необходимые данные с устройства или браузера.

Существует множество инструментов, пытающихся нарушить стабильность цифровых отпечатков браузера. Некоторые из них пытаются случайным образом изменять определенные характеристики, препятствующие, например, фингерпринтингу с использованием Canvas или AudioContext API. Это может нарушить стабильность отпечатков, но важно отметить, что трекер может определить использование инструментов рандомизации, и этот факт сам по себе может быть характеристикой для цифрового отпечатка. Необходимо подумать, будет ли рандомизация используемых для фингерпринтинга характеристик действительно эффективна против веб-трекеров.

Браузеры могут противостоять фингерпринтингу, если браузер каждого пользователя будет одинаково выглядеть для веб-трекера. Благодаря идентичности всех характеристик во всех копиях браузера невозможно будет выделить конкретный экземпляр браузера из общей массы. Этот метод используется Tor Browser как средство для обеспечения анонимности.

Большинство браузеров выглядят уникально, и веб-трекеры могут отслеживать их по всему интернету.

Браузеры Tor выглядят одинаково, поэтому трекеры не могут создать их цифровой отпечаток!

При правильном подходе это очень эффективная мера против фингерпринтинга. Создатели Tor Browser выявили десятки слабых мест, требующих доработки для того, чтобы все браузеры выглядели одинаково по всем характеристикам. Это важно, потому что пользователь, меняющий какие-то из настроек с целью избежать трекинга, наоборот может сделать свой браузер более легким для идентификации.

Некоторые инструменты составляют список веб-трекеров и напрямую их блокируют. Этот метод используется во многих браузерных дополнениях или расширениях, например в Privacy Badger от EFF. Подобные инструменты позволяют предотвратить запуск большинства веб-трекеров в браузере. Таким образом можно избавиться от основной массы сторонних веб-трекеров, использующих цифровые отпечатки для идентификации пользователей.

Хотя последний метод способен помешать сторонним компаниям отслеживать пользователей, он не может полностью предотвратить фингерпринтинг. Часто инструмент будет разрешать фингерпринтинг непосредственно на сайте, посещаемом пользователем, а также игнорировать более изворотливые веб-трекеры, которые еще отсутствуют в базе. Блокировка распространенных трекеров достаточно эффективна в большинстве случаев, но не гарантирует полной анонимности.

Не изменяйте настройки в попытке избежать фингерпринтинга anchor link

Самостоятельное изменение настроек в целях борьбы с веб-трекерами редко приводит к желаемому результату.

Например, вы можете изменить строку user-agent (указывает на используемый браузер и его версию) на самую распространенную в интернете. В этом есть логика: результатом использования самого частого значения user-agent станет наиболее распространенный, а значит и менее уникальный цифровой отпечаток, верно? Однако в некоторых случаях использование наиболее популярного значения user-agent приводит к тому, что цифровой отпечаток становится более, а не менее уникальным. Это противоречит логике: как смена метрики на самую распространенную может сделать пользователя уникальнее для веб-трекеров?

Все зависит от того, насколько значение user-agent в вашем браузере связано с другими характеристиками, используемыми для фингерпринтинга. Например, Safari на iOS практически бесполезен для фингерпринтинга из-за относительного сходства аппаратной части, программного обеспечения и драйверов на устройствах разных пользователей. Большинство пользователей Safari на iOS выглядят практически одинаково.

Но user-agent для Safari на iOS далеко не самый распространенный в интернете. Предположим, что наиболее распространенным значением user-agent является последняя версия Chrome для Windows. Если пользователь изменит строку user-agent в Safari для iOS на Chrome для Windows и не поменяет ничего другого, для трекеров он станет совершенно уникальным. Он будет единственным, у кого будет user-agent Chrome для Windows, но при этом результат фингерпринтинга с использованием Canvas будет указывать на Safari для iOS.

Поэтому в попытке избежать фингерпринтинга нужно быть очень осторожным и случайно не навредить своей конфиденциальности. Чтобы слиться с толпой, вам нужно иметь такие же цифровые отпечатки, как у других пользователей, по всем метрикам. Для этого безопаснее всего не менять настройки по отдельности, а выбрать что-то вроде Tor Browser, Brave или Firefox - браузера, использующего технологии, которые позволяют всем копиям браузера выглядеть относительно одинаковыми.