1. 首頁 > 生活百科 > >

隱藏在瀏覽器里的“指紋”,正成為新的隱私危機

蘋果網絡安全瀏覽器顯卡版本號

隱藏在瀏覽器里的“指紋”,正成為新的隱私危機

文章圖片

隱藏在瀏覽器里的“指紋”,正成為新的隱私危機

文章圖片

隱藏在瀏覽器里的“指紋”,正成為新的隱私危機

文章圖片

隱藏在瀏覽器里的“指紋”,正成為新的隱私危機

近期 , 一篇關于蘋果將會在新版系統中升級瀏覽器隱私保護措施 , 默認在所有會話中啟用“先進指紋保護”功能的博文開始在互聯網上流傳 。

從字面意思上來看 , 蘋果自然是做了一件好事 。 但這也引發了我們的一些好奇 , 那就是“指紋保護”到底是怎么與隱私安全扯上關系的 , 難道蘋果是要用用戶的指紋來加密瀏覽器里的隱私信息嗎?
深入了解之后我們意識到 , 事情的真相其實并沒有那么簡單 , 因為此“指紋”并非大家熟悉的生物學意義上的指紋 。 實際上 , 它更像是如今網站為了鎖定用戶身份、為了能長時間追蹤用戶行為 , 而想出來的種種令人目瞪口呆的“歪心思” 。
瀏覽器也有指紋?這還得從一個古老技術說起
有關注過互聯網隱私保護的朋友 , 想必都會知道“Cookie”這個誕生于1994年的古老技術 。 據稱 , 當時來自網景公司的工程師Lou Montulli正在為客戶開發早期的電子商務程序 , 為了讓網站能夠“記住”用戶的購物車信息 , 因此才發明了“Cookie” 。
【隱藏在瀏覽器里的“指紋”,正成為新的隱私危機】
正如它的名稱(意為小餅干)所示 , Cookie是一種很小的文件 , 原則上來說 , 它其實并不會記錄用戶的“行為”(比如不會記錄購物車、網頁記錄等內容) , 而只是用于識別當前訪問網站用戶的“身份” 。 所以典型的Cookie里通常只包含用戶的登錄賬號、密碼 , 以及少量的偏好設置信息(比如用戶設定的網站語言、主題等) 。
正因如此 , 單純“窺探”Cookie文件內容的行為 , 通常來說不會直接導致用戶隱私的泄露 。 但隨著電商行業的興盛 , Cookie技術的安全隱患開始越來越被重視起來 , 比如被竊取的Cookie可能會導致用戶被“盜號” , 進而造成極為嚴重的隱私和財產損失 。

除此之外 , 由于Cookie文件與用戶身份具有“綁定”特性 , 這就使得它越來越多地被濫用在用戶行為跟蹤方面 。 比如有的時候 , 剛在某個電商平臺購買完某種商品的用戶 , 可能轉眼間就在其他各種平臺收到了關聯商品的廣告推送 , 甚至是促銷電話 。 這里面固然有用戶隱私被平臺直接出賣的可能 , 但也不排除是以Cookie、瀏覽器標識符等傳統的“用戶信息跟蹤”技術 , 在背后起到了幫兇的作用 。
瀏覽器指紋:乍看并不敏感 , 但組合起來卻不簡單
正因為“傳統的”用戶身份識別和跟蹤技術 , 如今已經“臭名昭著” , 所以大家現在基本上只要使用的是頭部的主流瀏覽器 , 就都會享受到一系列自動開啟的“隱私保護”、“防止追蹤”、“無痕模式”等技術的保護 。

但很顯然 , 沒有了傳統的、簡單的用戶識別機制 , 并不等于那些試圖跟蹤、收集用戶行為的網站或企業就會因此罷休 。 在這種情況下 , 他們發明了一種極其復雜 , 但確實又更難以防范、用來鎖定用戶身份的方法 , 這就是所謂的對“瀏覽器指紋”的收集和判斷機制 。
簡單來說 , “瀏覽器指紋”不是一個文件 , 它代表的其實是很多可以被通過合法方式探測到、關于用戶計算機硬件及瀏覽器配置的信息 。 其中包括操作系統的版本號、屏幕的分辨率、瀏覽器的版本號、用戶所在時區、IP地址 , 甚至是CPU和顯卡的型號、以及計算機上總共安裝了多少種字體等等 。

地域、語言、時區、字體、分辨率、瀏覽器版本……這些東西共同構成了“指紋”
很顯然 , 這里面的任何一組信息 , 其實都無法被用于準確地鎖定“某個人” 。 比如全球可能有上千萬人在使用相同版本的操作系統 , 可能有幾十萬人的CPU、顯卡型號都恰好一樣 , 可能有幾百人共用著一個對外的公網IP地址 。 但問題就在于 , 一旦那些網站、廣告公司 , 或是意圖不軌的人將上述這些信息全部綜合到一起后 , 他們就能“篩選”出其所對應的唯一用戶身份 , 也就是屏幕面前的你 。 而這種通過大量合法、且公開信息“組合”來確定用戶身份的技術 , 就是所謂“瀏覽器指紋”的真相了 。
而且從技術上來說 , “瀏覽器指紋”中的很多信息都是不可能被“屏蔽”的 。 比如瀏覽器版本號、屏幕分辨率、電腦上安裝的字體、顯卡型號這些 , 它們被“公開”給網站是為了能夠確保網站正常顯示、正常播放視頻 。 再加上這些信息每一個單獨拆出來看 , 確實也不算是啥“敏感信息” , 所以對此類信息的收集、甄別行為 , 過去確實沒有引起大家的重視 , 這也就是“瀏覽器指紋”技術能夠成立的關鍵所在了 。
如何防范“瀏覽器指紋”追蹤?要比想象中更難
需要注意的是 , 無論從技術本身、還是誕生的目的來看 , “瀏覽器指紋”的作用都僅僅是被用來識別和追蹤用戶的“唯一性” , 它并不太能直接透露用戶的真實身份 。
這是什么概念呢?打個比方來說 , 你剛剛在A網站看了一篇文章 , 然后再訪問B網站 , 此時如果A、B網站都有“瀏覽器指紋”機制 , 那么B網站就可能會知道“你”是剛剛在A網站看了那篇文章的那個人 , 并以此向你推送相關的信息 。 但具體“你”是誰 , B網站不一定能知道 。

在某個專門檢測瀏覽器指紋的網站上 , 可以清楚看到自己的“指紋信息”
換句話說 , 從個人隱私安全危害性的角度來說 , “瀏覽器指紋”技術的弊端可能并沒有那么大 。 但一方面 , 大家總歸是不喜歡自己的行為被長期“窺探” , 也擁有在互聯網上維持“私密性”的合法自由 。 另一方面來說 , 相比于Cookie、域名跟蹤器之類可以被輕易防范的用戶追蹤手段 , “瀏覽器指紋”的“流氓”程度要遠比大多數人想象的高得多 。
比如按照蘋果方面發布的技術信息可知 , 他們的“先進指紋保護”功能 , 本質上是通過給網站發布一系列“偽造”的瀏覽器版本號、設備硬件信息 , 來減弱“瀏覽器指紋”所能識別出的設備獨特性 , 同時不影響到網頁瀏覽的功能 。 而且從原理來說 , 打開“先進指紋保護”的設備數量越多 , 這個功能的效果就會越強 。

但可大家要知道 , “瀏覽器指紋”所收集的用戶信息 , 有的時候并不只有那些公開的軟件版本號、硬件配置信息這么簡單 。 比如有一種叫做“AudioContext”的機制 , 就會通過向設備發送一段音頻內容 , 當設備解碼并播放這段音頻后 , 網站就會分析被處理過的音頻當中的延遲、頻響范圍等等信息 , 從而形成“設備指紋” 。
由于計算機的音頻處理能力會受到CPU主頻、內存配置、系統和驅動版本、BIOS版本、聲卡硬件等多項因素的共同影響 , 因此細微的音頻特征就可以被用于識別設備的“唯一性” 。 而類似這樣基于硬件能力的跟蹤和識別機制 , 顯然便很難通過單純的軟件偽裝來使其無效 。
當然 , 往好的一方面來說 , 蘋果推出“先進指紋保護”功能至少相當于在行業里開了個好頭 , 可能會引起更多廠商和消費者對于“瀏覽器指紋”的重視 , 從而產生更多針對性的用戶隱私保護技術 。 但到了那個時候 , 網站開發者和廣告商會不會又研發出新的、用于窺探隱私和追蹤用戶的機制呢?
只能說在互聯網用戶隱私保護這個課題上 , 永遠不應該放松警惕 。
【本文圖片來自網絡】

    推薦閱讀