فهم انگشت‌نگاری مرورگر

انگشت‌نگاری مرورگر یک جمع‌آوری نظام‌مند اطلاعات دربارهٔ مرورگر وب است که حدس‌های حساب‌شده‌ای دربارهٔ هویت و مشخصه‌های آن می‌زند. تنظیمات و قابلیت‌های هر مرورگر، یک «اثرانگشت مرورگر» ایجاد می‌کند. بیشتر مرورگرها ناخواسته برای هر کاربر اثرانگشت یکتایی می‌سازند که می‌تواند روی اینترنت ردیابی شود. برای اطلاعات عمیق‌تر در مورد انگشت‌نگاری مرورگر، به این مقاله‌ها در تارنگار Tor مراجعه کنید: Browser Fingerprinting: An Introduction and the Challenges Ahead‏ و Tor Browser: a legacy of advancing private browsing innovation.

چرا انگشت‌نگاری مرورگر، حریم‌خصوصی آنلاین را تهدید می‌کند؟

اولاً، هیچ نیازی به گرفتن اجازه از کاربر برای جمع‌آوری این اطلاعات نیست. هر اسکریپت درحال اجرا در مرورگر می‌تواند به‌طور پنهانی اثرانگشتی از دستگاه بسازد، بدون اینکه حتی کاربران متوجه آن شوند.

دوم اینکه اگر یکی از ویژگی‌های انگشت‌نگاری مرورگر منحصربه‌فرد باشد یا ترکیبی از چندین ویژگی منحصربه‌فرد باشد، دستگاه می‌تواند به‌صورت آنلاین شناسایی و ردیابی شود. این یعنی حتی بدون استفاده از کوکی‌ها، می‌توان یک دستگاه را با استفاده از اثرانگشت آن ردیابی کرد.

چگونه مرورگر Tor از انگشت‌نگاری جلوگیری می‌کند

مرورگر Tor به‌طور منحصر‌به‌فرد برای کاهش یکتایی اثرانگشت کاربران براساس معیارهای مختلف طراحی شده است. اگرچه عملاً نمی‌توان همهٔ کاربران مرورگر Tor را کاملاً یکسان‌سازی کرد، هدف این است که تعداد «دسته‌ها»ی قابل تشخیص برای هر معیار کاهش یابد. این رویکرد، ردیابی کاربران به‌صورت فردی را به‌طور مؤثری دشوارتر می‌کند.

برخی از خاصیت‌ها، مانند سیستم‌عامل و زبان، برای کارکرد ضروری هستند و نمی‌توانند به‌طور کامل پنهان یا جعل شوند. در برابر، مرورگر Tor تنوع را در میان این ویژگی‌ها محدود می‌کند تا میزان تمایز را کاهش دهد. به‌عنوان مثال، برشمارش فونت را محدود کرده و نویسه‌ها را جایگزین می‌کند، با استفاده از هم‌اندازه‌سازی، ابعاد صفحه‌نمایش و پنجره را استانداردسازی می‌کند، و تنوع زبان‌های درخواست‌شده را به یک مجموعهٔ کوچک و ازپیش‌تعریف‌شده محدود می‌کند.

هدف کلیدی محافظت‌های ضد-انگشت‌نگاری در مرورگر Tor این است که جمع‌آوری اطلاعات کافی برای شناسایی منحصربه‌فرد کاربران را بسیار چالش‌برانگیز کند، و بدین ترتیب بدون ازدست‌دادن عملکرد ضروری، حریم‌خصوصی را افزایش دهد.

قابلیت‌های ضد-انگشت‌نگاری در مرورگر Tor

هم‌اندازه‌سازی

برای جلوگیری از انگشت‌نگاری براساس اندازهٔ صفحه‌نمایش، مرورگر Tor با یک پنجرهٔ محتوا که به مضربی از ۲۰۰x۱۰۰ پیکسل گرد شده، آغاز می‌شود. در اینجا راهبرد در قراردادن همهٔ کاربران در چندین دسته است تا شناسایی آن‌ها سخت‌تر شود. این کار تا زمانی جواب می‌دهد که کاربران شروع به تغییر اندازهٔ پنجره‌های خود کنند (برای مثال با بیشینه‌کردن آن‌ها یا رفتن به حالت تمام‌صفحه). مرورگر Tor با یک پدافند انگشت‌نگاری برای آن سناریوها نیز عرضه می‌شود، که به هم‌اندازه‌سازی موسوم است، تکنیکی که Mozilla توسعه داده و در سال ۲۰۱۹ ارائه شده است. این روش با افزودن حاشیه‌هایی به پنجرهٔ مرورگر کار می‌کند تا اندازهٔ پنجره تا حد امکان به اندازهٔ دل‌خواه نزدیک شود، درحالی که کاربران همچنان در چند دسته‌بندی اندازهٔ صفحه‌نمایش قرار بگیرند که از شناسایی آن‌ها با کمک ابعاد صفحه‌نمایش، جلوگیری می‌کنند.

به زبان ساده، این تکنیک گروه‌هایی از کاربران با چند ابعاد صفحه‌نمایش مشخص ایجاد می‌کند و این کار شناسایی کاربران را براساس ابعاد صفحه‌نمایش دشوارتر می‌کند، چون کاربران بسیاری ابعاد صفحه‌نمایش یکسانی خواهند داشت.

letterboxing

جعل نمایندهٔ کاربر و سیستم‌عامل

رشتهٔ نمایندهٔ کاربر مقداری است که وب‌سایت‌ها می‌توانند از آن برای شناسایی جزئیاتی دربارهٔ مرورگر، سیستم‌عامل (OS)، معماری پردازندهٔ CPU، تأمین‌کننده، و نسخهٔ شما استفاده کنند. از آن‌جا که این اطلاعات می‌توانند آشکار کنند که کاربر از چه سیستم‌عامل یا دستگاهی استفاده می‌کند،به‌عنوان یکی از بردارهای انگشت‌نگاری مرورگر عمل کرده و بالقوه امکان شناسایی کاربران توسط وب‌سایت‌ها یا ردیاب‌ها را فراهم می‌کند.

مرورگر Tor این مشکل را با جعل نمایندهٔ کاربر برطرف می‌کند. کاربران نمی‌توانند سیستم‌عامل خاصی را انتخاب کرده یا سعی در تقلید از تمام پلتفرم‌های ممکن را داشته باشند. در برابر، مرورگر Tor مقادیر نمایندهٔ کاربر را استانداردسازی می‌کند تا یکتایی را کاهش داده و از ایجاد احساس امنیت کاذب جلوگیری کند:

  • تمام نسخه‌های ویندوز به‌عنوان ویندوز ۱۰ در نظر گرفته شده‌اند.
  • تمام macOS به‌شکل OS X 10.15 نمایش داده می‌شوند.
  • همهٔ نسخه‌های اندروید به‌عنوان اندروید ۱۰ در نظر گرفته شده‌اند.
  • All other systems like all Linux distributions (including Tails and Qubes), *BSD and other operating systems are grouped together and reported as "Linux running X11".
  • سایر جزئیات (مانند معماری) نیز برای هر پلتفرم به‌هنجار می‌شوند.

در این حالت، راهبرد مقاومت در برابر انگشت‌نگاری در مرورگر Tor این است که با جعل از مقادیر واقعی نمایندهٔ کاربر محافظت کند، و درهمین‌حال مجموعهٔ کاربران به‌اندازهٔ کافی بزرگ داشته باشد.

نمایندهٔ کاربر به‌عنوان یک سرآیند HTTP به وب‌سایت‌ها ارسال می‌شود و برای جاوااسکریپت از طریق navigator.userAgent در دسترس است. ناسازگاری در این مقادیر می‌تواند باعث شود سامانه‌های ضدربات و ضدفریب، کاربران مرورگر Tor را به‌عنوان ربات تشخیص داده و درخواست‌هایشان را رد کنند، که در نتیجه بر کاربردی‌بودن مرورگر اثر منفی بگذارد.

برخی ابزارهای حریم‌خصوصی یا کاربران پیشنهاد می‌دهند که اگر همه به‌شکل ویندوز به نظر بیایند، بهترین پوشش ایجاد می‌شود. با این حال، جعل بی‌نقص در همهٔ زمینه‌های مرورگر امکان‌پذیر نیست و روش‌های فعال انگشت‌نگاری (با استفاده از قلم‌ها، قابلیت‌ها، رفتار، با یا بدون جاوااسکریپت، و غیره) اغلب می‌توانند برای پی‌بردن به اطلاعاتی از سخت‌افزار یا سیستم‌عامل کاربر استفاده شوند.

مرورگر Tor به کاربران اجازه نمی‌دهد تا انتخاب کنند که با چه سیستم‌عاملی به نظر بیایند. این کار از روی عمد است: داشتن گزینه‌ای برای انتخاب فقط باعث می‌شود کاربران منحصر‌به‌فردتر و درنتیجه آسان‌تر انگشت‌نگاری شوند. مجموعهٔ کوچکی از گزینه‌های استانداردشده، کلیدی است در یک‌دست نگه‌داشتن کاربران و باعث بیشینه‌سازی حریم‌خصوصی برای همه می‌شود.

سایر قابلیت‌های ضد-انگشت‌نگاری

علاوه‌بر هم‌اندازه‌سازی، مرورگر Tor از بسیاری قابلیت‌های دیگر استفاده می‌کند تا انگشت‌نگاری مرورگر را تقلیل دهد و از حریم‌خصوصی کاربر محافظت کند. These features include Canvas image extraction blocking, NoScript integration, and first-party isolation. برای فهرست کاملی از قابلیت‌ها، لطفاً سند طراحی و پیاده‌سازی مرورگر Tor‏ را مطالعه کنید.