เรียนรู้เกี่ยวกับลายนิ้วมือ

การติดตามลายนิ้วมือของเบราว์เซอร์คือการเก็บข้อมูลเกี่ยวกับเว็บเบราว์เซอร์อย่างเป็นระบบเพื่อคาดเดาเกี่ยวกับตัวตนหรือคุณลักษณะของมัน การตั้งค่าและฟีเจอร์ของเบราว์เซอร์แต่ละตัวจะสร้าง "ลายนิ้วมือของเบราว์เซอร์" เว็บเบราว์เซอร์ส่วนใหญ่สร้างลายนิ้วมือเฉพาะสำหรับผู้ใช้แต่ละคนโดยไม่ตั้งใจ ซึ่งสามารถติดตามได้ทั่วอินเทอร์เน็ต สำหรับข้อมูลเชิงลึกเพิ่มเติมเกี่ยวกับการติดตามลายนิ้วมือของเบราว์เซอร์ กรุณาอ่านบทความเหล่านี้ในบล็อกของ Tor: การติดตามลายนิ้วมือของเบราว์เซอร์: บทนำและความท้าทายที่รออยู่ข้างหน้า และ Tor Browser: มรดกของการพัฒนานวัตกรรมการท่องเว็บอย่างเป็นส่วนตัว

ทำไมลายนิ้วมือของเบราว์เซอร์ถึงเป็นภัยต่อความเป็นส่วนตัวออนไลน์?

ประการแรก ไม่จำเป็นต้องขออนุญาตจากผู้ใช้ในการเก็บข้อมูลนี้ สคริปต์ใด ๆ ที่ทำงานในเบราว์เซอร์สามารถสร้างลายนิ้วมือของอุปกรณ์ได้อย่างเงียบ ๆ โดยที่ผู้ใช้ไม่รู้ตัว

ประการที่สอง หากคุณสมบัติหนึ่งของลายนิ้วมือของเบราว์เซอร์เป็นเอกลักษณ์หรือหากการรวมกันของคุณสมบัติหลายอย่างเป็นเอกลักษณ์ อุปกรณ์นั้นสามารถถูกระบุและติดตามทางออนไลน์ได้ ซึ่งหมายความว่าแม้ไม่มี คุกกี้ก็ตาม อุปกรณ์ยังสามารถถูกติดตามได้โดยใช้ลายนิ้วมือของมัน

วิธีที่ Tor Browser ป้องกันการติดตามลายนิ้วมือ

Tor Browser ได้รับการออกแบบมาโดยเฉพาะเพื่อลดความเป็นเอกลักษณ์ของลายนิ้วมือของผู้ใช้แต่ละคนในหลายๆ ด้าน ในขณะที่การทำให้ผู้ใช้ Tor Browser ทุกคนเหมือนกันทั้งหมดนั้นเป็นไปไม่ได้ในทางปฏิบัติ เป้าหมายคือการลดจำนวน "กลุ่ม" ที่แยกแยะได้สำหรับแต่ละด้าน วิธีการนี้ทำให้การติดตามผู้ใช้แต่ละคนนั้นยากขึ้น

คุณสมบัติบางอย่าง เช่น ระบบปฏิบัติการและภาษา เป็นสิ่งจำเป็นสำหรับการทำงานและไม่สามารถซ่อนหรือปลอมแปลงได้อย่างสมบูรณ์ ในทางกลับกัน, Tor Browser จำกัดความหลากหลายของคุณสมบัติเหล่านี้เพื่อลดความโดดเด่น ตัวอย่างเช่น มันจำกัดการตรวจสอบแบบอักษรและใช้การแก้ไขตัวอักษร, ทำให้ขนาดหน้าจอและหน้าต่างเป็นมาตรฐานโดยใช้การเลตเตอร์บอกซ์, และจำกัดความหลากหลายของภาษาที่ขอให้เป็นชุดที่กำหนดไว้ล่วงหน้าเล็กน้อย

เป้าหมายหลักของการป้องกันการติดตามลายนิ้วมือของ Tor Browser คือการทำให้การรวบรวมข้อมูลเพื่อระบุตัวตนผู้ใช้อย่างเฉพาะเจาะจงทำได้ยากขึ้นอย่างมาก โดยที่ยังคงรักษาความเป็นส่วนตัวโดยไม่กระทบต่อการทำงานที่จำเป็น

ฟีเจอร์ป้องกันลายนิ้วมือของใน Tor Browser

การเลตเตอร์บอกซ์

เพื่อป้องกันการติดตามจากขนาดหน้าจอ Tor Browser เริ่มต้นด้วยหน้าต่างเนื้อหาที่มีขนาดเป็นทวีคูณของ 200px x 100px กลยุทธ์นี้คือการจัดกลุ่มผู้ใช้ทั้งหมดเป็นสองสามกลุ่มเพื่อทำให้การระบุตัวผู้ใช้แต่ละคนทำได้ยากขึ้น มันทำงานได้ดีจนกว่าผู้ใช้จะเริ่มปรับขนาดหน้าต่างของพวกเขา (เช่น โดยการขยายหน้าต่างให้เต็มหน้าจอหรือเข้าสู่โหมดเต็มหน้าจอ) Tor Browser มาพร้อมกับการป้องกันการติดตามลายนิ้วมือสำหรับสถานการณ์เหล่านี้เช่นกัน ซึ่งเรียกว่า Letterboxing เทคนิคนี้พัฒนาโดย Mozilla และได้รับการนำเสนอในปี 2019 มันทำงานโดยการเพิ่มขอบสีขาวให้กับหน้าต่างเบราว์เซอร์เพื่อให้หน้าต่างใกล้เคียงกับขนาดที่ต้องการมากที่สุด ในขณะที่ผู้ใช้ยังคงอยู่ในกลุ่มขนาดหน้าจอที่ป้องกันการระบุตัวโดยใช้ขนาดหน้าจอ

พูดง่ายๆ คือ เทคนิคนี้จะจัดกลุ่มผู้ใช้ที่มีขนาดหน้าจอบางอย่างและทำให้ยากต่อการระบุตัวผู้ใช้จากขนาดหน้าจอ เนื่องจากจะมีผู้ใช้หลายคนที่มีขนาดหน้าจอเดียวกัน

letterboxing

User-Agent and Operating System spoofing

The User-Agent string is a value websites can use to identify details about your browser, operating system (OS), CPU architecture, vendor, and version. Since this information can reveal which OS or device a user is using, it has been a vector for browser fingerprinting, allowing websites or trackers to potentially single out users.

Tor Browser addresses this by spoofing the User-Agent. Users cannot choose a specific operating system or attempt to imitate every possible platform. Instead, Tor Browser standardizes User-Agent values to reduce uniqueness and avoid creating a false sense of privacy:

  • All Windows appear as Windows 10.
  • All macOS appear as OS X 10.15.
  • All Android as Android 10.
  • All other systems like all Linux distributions (including Tails and Qubes), *BSD and other operating systems are grouped together and reported as "Linux running X11".
  • All the other details (such as the architecture) are also normalized per-platform.

In this case, the fingerprint resistance strategy in Tor Browser is to protect real values of the User-Agent by spoofing, but also have a large enough user set.

User-Agent is sent to websites as an HTTP header, and it is available to JavaScript as navigator.userAgent. Inconsistencies in these values can trigger anti-bot and anti-fraud systems into categorizing Tor users as a bot, and deny their requests, which in turn affects usability for Tor Browser users.

Some privacy tools or users suggest that making all users appear as Windows would offer the best cover. However, perfectly spoofing across all browser contexts is not possible and active fingerprinting methods (using fonts, features, behavior, with or without JavaScript, etc.) can often be used to infer aspects of the hardware or operating system.

Tor Browser does not let users select which OS they appear to be. This is intentional: any option to choose would only make users more unique and thus easier to fingerprint. The small set of standardized options is key to keeping users blended together, maximizing privacy for everyone.

ฟีเจอร์อื่น ๆ ในการป้องกันลายนิ้วมือ

นอกจากการเลตเตอร์บอกซ์แล้ว Tor Browser ยังใช้ฟีเจอร์อื่นๆ อีกมากมายเพื่อลดการติดตามลายนิ้วมือของเบราว์เซอร์และปกป้องความเป็นส่วนตัวของผู้ใช้ These features include Canvas image extraction blocking, NoScript integration, and first-party isolation. สำหรับรายการฟีเจอร์ทั้งหมด กรุณาอ่าน เอกสารการออกแบบและการดำเนินการของ Tor Browser