Καταλαβαίνοντας τα αποτυπώματα περιηγητή

Τα αποτυπώματα περιηγητή είναι η συστηματική συλλογή πληροφοριών για τον περιηγητή ιστού ωστέ να γίνουν εικασίες για την ταυτότητα του ή τα χαρακτηριστικά του. Οι ρυθμίσεις και οι δυνατότητες του κάθε περιηγητή δημιουργούν ένα "αποτύπωμα περιηγητή". Οι περισσότεροι περιηγητές δημιουργούν ακούσια ένα μοναδικό αποτύπωμα για κάθε χρήστη, το οποίο μπορεί να παρακολουθείται σε όλο το διαδίκτυο. Για πιο αναλυτικές πληροφορίες σχετικά με την ταυτοποίηση μέσω αποτυπωμάτων περιηγητή, ανατρέξτε στα παρακάτω άρθρα στο Tor Blog: Browser Fingerprinting: An Introduction and the Challenges Ahead και Tor Browser: a legacy of advancing private browsing innovation.

Γιατί τα αποτυπώματα περιηγητή απειλούν την ιδιωτικότητα στο διαδίκτυο;

Πρώτα απ' όλα, δεν χρειάζεται η άδεια του χρήστη για την συλλογή πληροφοριών. Οποιοδήποτε script που τρέχει στον περιηγητή μπορεί να χτίσει κρυφά ένα αποτύπωμα της συσκευής χωρίς να το γνωρίζουν οι χρήστες.

Δεύτερον, αν ένα χαρακτηριστικό του αποτυπώματος του περιηγητή είναι μοναδικό ή αν ο συνδυασμός αρκετών χαρακτηριστικών είναι μοναδικός, η συσκευή μπορεί να αναγνωριστεί και να παρακολουθηθεί στο διαδίκτυο. Αυτό σημαίνει ότι ακόμα και χωρίς cookies, μια συσκευή μπορεί να παρακολουθηθεί χρησιμοποιώντας το αποτύπωμά της.

Πώς ο Tor Browser μετριάζει τα ψηφιακά αποτυπώματα

Το Tor Browser είναι ειδικά σχεδιασμένος για να ελαχιστοποιεί τη μοναδικότητα του αποτυπώματος κάθε χρήστη σε διάφορες μετρήσεις. Αν και είναι πρακτικά αδύνατο να γίνουν όλοι οι χρήστες του Tor Browser πανομοιότυποι, ο στόχος είναι να μειωθεί ο αριθμός των διακριτών "ομάδων" για κάθε μέτρηση. Αυτή η προσέγγιση καθιστά πιο δύσκολη την αποτελεσματική παρακολούθηση μεμονωμένων χρηστών.

Συγκεκριμένα χαρακτηριστικά, όπως το λειτουργικό σύστημα και η γλώσσα, είναι απαραίτητα για τη σωστή λειτουργία και δεν μπορούν να κρυφτούν εντελώς ή να παραποιηθούν. Αντίθετα, ο Tor Browser περιορίζει την ποικιλία αυτών των χαρακτηριστικών για να μειώσει την αναγνωρισιμότητα. Για παράδειγμα, περιορίζει την απαρίθμηση γραμματοσειρών και εφαρμόζει εναλλακτικές χαρακτήρων, τυποποιεί τα μεγέθη οθόνης και παραθύρου χρησιμοποιώντας letterboxing και περιορίζει την ποικιλία των ζητούμενων γλωσσών σε ένα μικρό, προκαθορισμένο σύνολο.

Ο βασικός στόχος των προστασιών κατά της ταυτοποίησης μέσω αποτυπωμάτων του Tor Browser είναι να καταστήσει σημαντικά πιο δύσκολο να συλλεχθεί επαρκής πληροφορία για να αναγνωριστούν μοναδικά οι χρήστες, ενισχύοντας έτσι την ιδιωτικότητα χωρίς να επηρεάζεται η απαραίτητη λειτουργικότητα.

Λειτουργίες του Tor Browser κατά των ψηφιακών αποτυπωμάτων

Letterboxing

Για να αποτρέψει την ταυτοποίηση βάσει των διαστάσεων της οθόνης, το Tor Browser ξεκινά με ένα παράθυρο περιεχομένου στρογγυλοποιημένο σε πολλαπλάσιο των 200px x 100px. Η στρατηγική εδώ είναι να τοποθετηθούν όλοι οι χρήστες σε μερικές ομάδες, προκειμένου να είναι πιο δύσκολο να ξεχωρίστουν μεμονωμένοι χρήστες. Αυτό λειτουργεί μέχρι τη στιγμή που ο χρήστης αρχίζει να αλλάζει το μέγεθος του παραθύρου του (π.χ. μεγιστοποιώντας το ή πηγαίνοντας σε λειτουργία πλήρους οθόνης). Ο Tor Browser διαθέτει επίσης μια άμυνα κατά της ταυτοποίησης για αυτές τις περιπτώσεις, η οποία ονομάζεται Letterboxing, μια τεχνική που αναπτύχθηκε από τη Mozilla και παρουσιάστηκε το 2019. Λειτουργεί προσθέτοντας περιθώρια στο παράθυρο του περιηγητή, έτσι ώστε το παράθυρο να είναι όσο το δυνατόν πιο κοντά στο επιθυμητό μέγεθος, ενώ οι χρήστες παραμένουν σε μερικές ομάδες μεγεθών οθόνης που αποτρέπουν την αναγνώρισή τους μέσω των διαστάσεων της οθόνης.

Με απλά λόγια, αυτή η τεχνική δημιουργεί ομάδες χρηστών με συγκεκριμένα μεγέθη οθόνης, καθιστώντας πιο δύσκολο να εντοπιστεί κάποιος με βάση το μέγεθος της οθόνης, αφού πολλοί χρήστες θα έχουν το ίδιο μέγεθος.

letterboxing

User-Agent and Operating System spoofing

The User-Agent string is a value websites can use to identify details about your browser, operating system (OS), CPU architecture, vendor, and version. Since this information can reveal which OS or device a user is using, it has been a vector for browser fingerprinting, allowing websites or trackers to potentially single out users.

Tor Browser addresses this by spoofing the User-Agent. Users cannot choose a specific operating system or attempt to imitate every possible platform. Instead, Tor Browser standardizes User-Agent values to reduce uniqueness and avoid creating a false sense of privacy:

  • All Windows appear as Windows 10.
  • All macOS appear as OS X 10.15.
  • All Android as Android 10.
  • All other systems like all Linux distributions (including Tails and Qubes), *BSD and other operating systems are grouped together and reported as "Linux running X11".
  • All the other details (such as the architecture) are also normalized per-platform.

In this case, the fingerprint resistance strategy in Tor Browser is to protect real values of the User-Agent by spoofing, but also have a large enough user set.

User-Agent is sent to websites as an HTTP header, and it is available to JavaScript as navigator.userAgent. Inconsistencies in these values can trigger anti-bot and anti-fraud systems into categorizing Tor users as a bot, and deny their requests, which in turn affects usability for Tor Browser users.

Some privacy tools or users suggest that making all users appear as Windows would offer the best cover. However, perfectly spoofing across all browser contexts is not possible and active fingerprinting methods (using fonts, features, behavior, with or without JavaScript, etc.) can often be used to infer aspects of the hardware or operating system.

Tor Browser does not let users select which OS they appear to be. This is intentional: any option to choose would only make users more unique and thus easier to fingerprint. The small set of standardized options is key to keeping users blended together, maximizing privacy for everyone.

Άλλες λειτουργίες κατά των ψηφιακών αποτυπωμάτων

Εκτός από το letterboxing, το Tor Browser χρησιμοποιεί πολλές άλλες λειτουργίες για να μειώσει την ταυτοποίηση μέσω αποτυπωμάτων περιηγητή και να προστατεύσει την ιδιωτικότητα των χρηστών. These features include Canvas image extraction blocking, NoScript integration, and first-party isolation. Για μία ολοκληρωμένη λίστα από δυνατότητες, παρακαλώ διαβάστε το Η σχεδίαση και η υλοποίηση του Tor Browser.