指紋到現時為止仍被視為有效分辨身份的方法,而擁有相似功能的獨一無二瀏覽器資料,也能在互聯網上準確地分辨用戶,就像瀏覽器的指紋一樣,但卻甚少人留言。近日一家德國大學的研究團隊開發了一個瀏覽器擴充插件,讓用戶追蹤哪網站收集用戶的瀏覽器指紋和收集方法,更分析了 1 萬個流行網站查看他們收集的資料種類。
甚麼是瀏覽器指紋?
瀏覽器指紋是當讀取網頁時,網站要求取得關於用戶電腦和瀏覽器的數據組合,指紋包括大量數據點,由用戶使用的語言、所在的時區、瀏覗器版本和已安裝的擴充插件,甚至操作系統資料、RAM、螢光幕解析度、字體設定等等。
網站收集不同數量和種類的資料,然後對用戶產生一個獨一無二的分辨碼,瀏覽器指紋並非 cookie,即使用途相似,但用戶有權選擇是否同意使用 cookie,但瀏覽器指紋卻無需取得用戶同意。此外,即使無痕模式也無法阻止瀏覽器指紋被收集,差不多所有瀏覽器和裝置參數完全相同的話,就能確定該人的身份。
瀏覽器指紋的用途和不當使用
瀏覽器指紋的首要目的是毫不費力就能確定用戶身份,例如:如果銀行從瀏覽器指紋得知是你正進行交易,他們就無需再傳送保安碼到你的手機,如果有人 (或你自己) 以其他瀏覽器指紋登入你的帳號,則可以作進一步確認。在這個例子中瀏覽器指紋能提升用戶的使用體驗。
第二個目的是有目標性的廣告,當在一個網站瀏覽關於選擇燙斗的文竟,如果到使用相同廣告網絡的另一個網站時,該網站仍會向你展示燙斗的廣告。基本上它無需用戶同意便進行追蹤,所以用戶討厭和懷疑是絕對能夠理解。
事實上,很多網站內置了不同廣告網絡的元件和分析服務,收集和分析用戶的指紋。
分辨網站有否收集你的瀏覽器指紋
要取得資料以編輯瀏覽器指紋,網站會經 JavaScript 編碼發送多個要求到瀏覽器,瀏覽器的回應便會組成指紋。研究團隊分析了今有這類 JavaScript 的最普及的函數庫,找到 115 不同技術經常被用於瀏覽器指紋,然後製作了一個名為 FPMON 的瀏覽器擴充插件分析網頁,如果使用相關的技術便告訴用戶到底那些網站嘗試收集哪些瀏覽器指紋數據。
安裝了 FPMON 當網站對瀏覽器要求資料時,用戶會收到通知,此外,團隊更把資料分類為兩個組別,敏感資料和入侵性資料。敏感資料包括網站有正當原因要求的資料,例如知道瀏覽器的語言,讓網站顯示用戶首選的語言,用戶所在時區則能顯示對你而言正確的時間,不過這些資料也是一些關於你的訊息。
入侵性資料與網站並無關連,最有可能是只用戶組成用戶的瀏覽器指紋,當中可能包括裝置記憶體容量、瀏覽器已安裝的擴充插件清單等資料。
網站積極收集瀏覽器指紋
FPMON 能偵瀏 40 種要求的資料,接近所有網站都要求至少幾種關於瀏覽器或裝置的資料,到底怎樣判斷網站嘗試取得指紋?到哪種情度才需要擔心?
研究人員使用現有的網站,EFF的 Panopticlick (又稱 Cover Your Tracks) 項目,由提倡私隱的組織所創建和展示瀏覽器指紋如何運作,Panopticlick 需要 23 種參數去運作,並且 90% 準確性分辨用戶身份。研究人員團隊使用 23 個參數作為最基本數字,23 個以上就能假設網站正追蹤用戶。
研究團隊遊遍 Alexa 排名頭 1 萬位的網站,發現大部份 (接近 57%) 要求 7-15 個參數,整個樣本的中位數為 11 個參數,大約 5% 網站不收集任何參數,收集最多的網站要求 38 個參數,在 1 萬個網站中只有 3 個這樣的網站。在他們的網卜苫樣本中,使用了超過 100 條腳本去收集數據,雖然很少腳本收集大量入侵性資料,但他們都被用在非常普及的網站。
防護指紋收集的方法
有兩種方法可以預防網站腳本取得你的瀏覽器指紋,封鎖他們和交出不完整或不正確資料,私隱軟件使用其中一種方法。在瀏覽器方面,Safari 最近開始提供只有基本、非個人資料,並保護用戶被指紋追蹤。
也有機構採用瀏覽器擴充插作的方法,例如 Privaci Badger,由 EFF 開發的私隱插件,嘗試封鎖腳本,儘管並非全部,例如插件不會影響腳本要求的數據涉及網頁正確顯示,或其他網頁功能 (但數據也可用作於指紋)。
Kaspersky 在瀏覽器擴充插件 Kaspersky Protection 使用了相同的方法,防止網站收集太多用戶資料藉此作成指紋,Kaspersky Protection 是 Kaspersky Internet Security 的一部份,用戶謹記要啟動它!
資料來源:Kaspersky Blog
