فهم انگشت‌نگاری مرورگر

انگشت‌نگاری مرورگر یک جمع‌آوری نظام‌مند اطلاعات دربارهٔ مرورگر وب است که حدس‌های حساب‌شده‌ای دربارهٔ هویت و مشخصه‌های آن می‌زند. تنظیمات و قابلیت‌های هر مرورگر، یک «اثرانگشت مرورگر» ایجاد می‌کند. بیشتر مرورگرها ناخواسته برای هر کاربر اثرانگشت یکتایی می‌سازند که می‌تواند روی اینترنت ردیابی شود. برای اطلاعات عمیق‌تر در مورد انگشت‌نگاری مرورگر، به این مقاله‌ها در تارنگار Tor مراجعه کنید: Browser Fingerprinting: An Introduction and the Challenges Ahead‏ و Tor Browser: a legacy of advancing private browsing innovation.

چرا انگشت‌نگاری مرورگر، حریم‌خصوصی آنلاین را تهدید می‌کند؟

اولاً، هیچ نیازی به گرفتن اجازه از کاربر برای جمع‌آوری این اطلاعات نیست. هر اسکریپت در حال اجرا در مرورگر می‌تواند به‌طور پنهانی اثرانگشتی از دستگاه بسازد، بدون اینکه حتی کاربران متوجه آن شوند.

دوم اینکه اگر یکی از ویژگی‌های انگشت نگاری مرورگر منحصربه‌فرد باشد یا ترکیبی از چند ویژگی منحصربه‌فرد باشد، دستگاه می‌تواند شناسایی شده و به‌صورت آنلاین پیگیری شود. این یعنی حتی بدون استفاده از کوکی‌ها، می‌توان یک دستگاه را با استفاده از اثر انگشت آن ردیابی کرد.

چگونه مرورگر Tor از انگشت‌نگاری جلوگیری می‌کند

مرورگر Tor به‌طور خاص برای کاهش یکتایی اثر انگشت کاربران در معیارهای مختلف طراحی شده است. اگرچه یکسان‌سازی کامل همه کاربران مرورگر Tor در عمل ممکن نیست، هدف این است که تعداد «گروه‌های قابل تشخیص» برای هر معیار کاهش یابد. این رویکرد ردیابی کاربران را دشوارتر می‌کند.

برخی از خاصیت‌ها، مانند سیستم‌عامل و زبان، برای کارکرد ضروری هستند و نمی‌توانند به‌طور کامل پنهان یا جعل شوند. در عوض، مرورگر Tor تنوع این ویژگی‌ها را محدود می‌کند تا میزان قابل‌تشخیص بودن کاهش یابد. به‌عنوان مثال، برشمارش فونت را محدود کرده و نویسه‌ها را جایگزین می‌کند، با استفاده از هم‌اندازه‌سازی، ابعاد صفحه و پنجره را استانداردسازی می‌کند، و تنوع زبان‌های درخواست‌شده را به یک مجموعهٔ کوچک و ازپیش‌تعریف‌شده محدود می‌کند.

هدف اصلی محافظت‌های ضد انگشت نگاری در مرورگر Tor این است که جمع‌آوری اطلاعات کافی برای شناسایی منحصربه‌فرد کاربران را بسیار دشوارتر کند و در نتیجه بدون از دست دادن عملکرد ضروری، حریم خصوصی را افزایش دهد.

قابلیت‌های ضد-انگشت‌نگاری در مرورگر Tor

هم‌اندازه‌سازی

برای جلوگیری از انگشت نگاری بر اساس ابعاد صفحه، مرورگر Tor با یک پنجره‌ی محتوا که به مضربی از ۲۰۰x۱۰۰ پیکسل گرد شده آغاز می‌شود. در اینجا راهبرد در قراردادن همهٔ کاربران در چندین دسته است تا شناسایی آن‌ها سخت‌تر شود. این کار تا زمانی جواب می‌دهد که کاربران شروع به تغییر اندازهٔ پنجره‌های خود کنند (برای مثال با بیشینه‌کردن آن‌ها یا رفتن به حالت تمام‌صفحه). مرورگر Tor با یک پدافند انگشت‌نگاری برای آن سناریوها نیز عرضه می‌شود، که به هم‌اندازه‌سازی موسوم است، تکنیکی که Mozilla توسعه داده و در سال ۲۰۱۹ ارائه شده است. این روش با افزودن حاشیه‌هایی به پنجره مرورگر کار می‌کند تا اندازه پنجره تا حد امکان به اندازه مورد نظر نزدیک شود، در حالی که کاربران همچنان در چند دسته‌بندی اندازه صفحه قرار بگیرند که مانع از شناسایی آن‌ها از طریق ابعاد صفحه می‌شود.

به زبان ساده، این تکنیک گروه‌هایی از کاربران با چند ابعاد صفحهٔ مشخص ایجاد می‌کند و این کار تفکیک کاربران را بر اساس ابعاد صفحه دشوارتر می‌کند، چون کاربران بسیاری ابعاد صفحهٔ یکسانی خواهند داشت.

letterboxing

User-Agent and Operating System spoofing

The User-Agent string is a value websites can use to identify details about your browser, operating system (OS), CPU architecture, vendor, and version. Since this information can reveal which OS or device a user is using, it has been a vector for browser fingerprinting, allowing websites or trackers to potentially single out users.

Tor Browser addresses this by spoofing the User-Agent. Users cannot choose a specific operating system or attempt to imitate every possible platform. Instead, Tor Browser standardizes User-Agent values to reduce uniqueness and avoid creating a false sense of privacy:

  • All Windows appear as Windows 10.
  • All macOS appear as OS X 10.15.
  • All Android as Android 10.
  • All other systems like all Linux distributions (including Tails and Qubes), *BSD and other operating systems are grouped together and reported as "Linux running X11".
  • All the other details (such as the architecture) are also normalized per-platform.

In this case, the fingerprint resistance strategy in Tor Browser is to protect real values of the User-Agent by spoofing, but also have a large enough user set.

User-Agent is sent to websites as an HTTP header, and it is available to JavaScript as navigator.userAgent. Inconsistencies in these values can trigger anti-bot and anti-fraud systems into categorizing Tor users as a bot, and deny their requests, which in turn affects usability for Tor Browser users.

Some privacy tools or users suggest that making all users appear as Windows would offer the best cover. However, perfectly spoofing across all browser contexts is not possible and active fingerprinting methods (using fonts, features, behavior, with or without JavaScript, etc.) can often be used to infer aspects of the hardware or operating system.

Tor Browser does not let users select which OS they appear to be. This is intentional: any option to choose would only make users more unique and thus easier to fingerprint. The small set of standardized options is key to keeping users blended together, maximizing privacy for everyone.

سایر قابلیت‌های ضد-انگشت‌نگاری

علاوه‌بر هم‌اندازه‌سازی، مرورگر Tor از بسیاری قابلیت‌های دیگر استفاده می‌کند تا انگشت‌نگاری مرورگر را تقلیل دهد و از حریم‌خصوصی کاربر محافظت کند. These features include Canvas image extraction blocking, NoScript integration, and first-party isolation. برای فهرست کاملی از قابلیت‌ها، لطفاً سند طراحی و پیاده‌سازی مرورگر Tor‏ را مطالعه کنید.