Понимание фингерпринта браузера

Фнгерпринтинг браузера - это систематический сбор информации о веб-браузере, позволяющий сделать обоснованные предположения о его идентичности или характеристиках. Настройки и функции каждого браузера создают "фингерпринт" браузера. Большинство браузеров непреднамеренно создают уникальный фингерпринт для каждого пользователя, который можно отследить по всему интернету. Более подробную информацию об фингерпринтинге браузера можно найти в этих статьях в блоге Tor: "Browser Fingerprinting: An Introduction and the Challenges Ahead" и Tor Browser: a legacy of advancing private browsing innovation.

Почему "фингерпринтинг" браузеров угрожают конфиденциальности в Интернете?

Во-первых, для сбора этой информации не нужно запрашивать разрешения у пользователя. Любой скрипт, запущенный в браузере, может тихо создать фингерпринт устройства так, что пользователь даже не узнает об этом.

Во-вторых, если один из атрибутов фингерпринта браузера уникален или уникальна комбинация нескольких атрибутов, устройство может быть идентифицировано и отслежено в Интернете. Это означает, что даже без cookies устройство можно отследить по фингерпринту.

Как браузер Tor защищает от фингерпринтинга

Браузер Tor специально разработан для минимизации уникальности фингерпринтов каждого пользователя по различным параметрам. Хотя практически невозможно сделать всех пользователей браузера Tor одинаковыми, цель состоит в том, чтобы уменьшить количество различимых групп для каждой метрики. Такой подход затрудняет эффективное отслеживание отдельных пользователей.

Некоторые атрибуты, такие как операционная система и язык, необходимы для функциональности и не могут быть полностью скрыты или подделаны. Вместо этого браузер Tor ограничивает разнообразие этих атрибутов, чтобы уменьшить различимость. Например, он ограничивает перечисление шрифтов и применяет возврат символов, стандартизирует размеры экрана и окна, используя letterboxing, и ограничивает разнообразие запрашиваемых языков небольшим, заранее определенным набором.

Основная задача при защите браузера Tor от фингерпринтинга заключается в том, чтобы значительно усложнить сбор информации, достаточной для однозначной идентификации пользователя, тем самым повышая уровень конфиденциальности без ущерба для необходимой функциональности.

Функции защиты от фингерпринтинга в браузере Tor

Letterboxing

Чтобы предотвратить фингерпринтинг на основе размеров экрана, Tor Browser начинает работу с окном, округленным до размера, кратного 200px x 100px. Стратегия заключается в том, чтобы объединить всех пользователей в несколько групп, чтобы их было сложнее выделить. Это работает до тех пор, пока пользователи не начинают изменять размеры своих окон (например, увеличивая их или переходя в полноэкранный режим). Браузер Tor поставляется с защитой от фингерпринтинга и для этих сценариев, эта защита называется Letterboxing, она разработана Mozilla и представленна в 2019 году. Он работает путем добавления полей к окну браузера, чтобы окно было как можно ближе к желаемому размеру, в то время как пользователи все еще находятся в нескольких группах размеров экрана, что не позволяет выделить их с помощью размеров экрана.

Проще говоря, эта техника создает группы пользователей с определенным размером экрана, что затрудняет выделение пользователей на основе размера экрана, так как у многих пользователей он будет одинаковым.

letterboxing

Подделка агента пользователя и Операционной Системы

Строка User-Agent - это значение, которое веб-сайты могут использовать для определения сведений о вашем браузере, ОС, архитектуре процессора, производителе и версии. Поскольку эта информация позволяет узнать, какую ОС или устройство использует пользователь, она стала вектором для "отпечатков пальцев" браузеров, позволяя веб-сайтам или трекерам потенциально выделять пользователей.

Tor Browser решает эту проблему путем подмены User-Agent. Пользователи не могут выбирать конкретную операционную систему или пытаться имитировать все возможные платформы. Вместо этого Tor Browser стандартизирует значения User-Agent, чтобы уменьшить уникальность и избежать создания ложного чувства приватности:

  • Все Windows отображаются как Windows 10.
  • Все macOS отображаются как OS X 10.15.
  • Все Android как Android 10.
  • Все остальные системы, такие как все дистрибутивы Linux (включая Tails и Qubes), *BSD и другие ОС, группируются вместе и сообщаются как "Linux под управлением X11".
  • Все остальные детали (например, архитектура) также нормализованы для каждой платформы.

В этом случае стратегия защиты от отпечатков пальцев в Tor Browser заключается в том, чтобы защитить реальные значения User-Agent от подмены, но при этом иметь достаточно большой набор пользователей.

User-Agent отправляется на сайты в виде HTTP-заголовка и доступен для JavaScript в виде navigator.userAgent. Несоответствие этих значений может заставить системы защиты от ботов и мошенничества классифицировать пользователей Tor как ботов и отклонять их запросы, что, в свою очередь, негативно сказывается на удобстве работы пользователей браузера Tor.

Некоторые специалисты по обеспечению конфиденциальности или пользователи считают, что наилучшим прикрытием будет отображение всех пользователей как Windows. Однако идеальная подделка всех контекстов браузера невозможна, а активные методы "отпечатков пальцев" (с использованием шрифтов, функций, поведения, с JavaScript или без него и т. д.) часто могут быть использ. для вывода об аспектах аппаратного обеспечения или ОС.

Tor Browser не позволяет пользователям выбирать, под какой ОС они представляются. Это сделано намеренно: любая возможность выбора только сделает пользователей более уникальными, а значит, их будет легче идентифицировать. Небольшой набор стандартизированных опций - это ключ к тому, чтобы пользователи не смешивались друг с другом, обеспечивая максимальную конфиденциальность для всех.

Другие функции защиты от фингерпринтинга

Помимо letterboxing, в браузере Tor реализовано множество других функций, позволяющих снизить вероятность фингерпринтинга браузера и защитить конфиденциальность пользователя. Среди этих функций - блокировка извлечения изображений из Canvas, интеграция NoScript и внутренняя изоляция. Полный список возможностей можно найти в документе "Документ о проектировании и разработке браузера Tor".