Розуміння відбитків пальців браузера

Відбитки пальців веб-переглядача – це систематичний збір інформації про веб-браузер, щоб зробити обґрунтовані припущення щодо його ідентичності чи характеристик. Налаштування та функції кожного браузера створюють «відбиток пальця браузера». Більшість браузерів ненавмисно створюють унікальний відбиток для кожного користувача, який можна відстежувати в інтернеті. Щоб отримати докладнішу інформацію про відбитки пальців у веб-переглядачі, зверніться до цих статей у блозі Tor: Відбитки пальців у веб-переглядачі: вступ і майбутні викликиі Браузер Tor: спадок інновацій у приватному перегляді.

Чому збирання браузером цифрових відбитків, погрожує онлайн приватності?

По-перше, немає необхідності запитувати дозвіл у користувача на збір цієї інформації. Будь-який сценарій, запущений у браузері, може мовчки створити відбиток пальця пристрою, навіть не підозрюючи про це.

По-друге, якщо один атрибут відбитка пальця браузера є унікальним або якщо комбінація кількох атрибутів унікальна, пристрій можна ідентифікувати та відслідковувати онлайн. Це означає, що навіть без файлів cookies пристрій можна відстежувати за його відбитком пальця.

Як браузер Tor пом'якшує відбитки пальців

Браузер Tor спеціально розроблено для мінімізації унікальності відбитка пальця кожного користувача за різними показниками. Хоча практично неможливо зробити всіх користувачів Браузера Tor ідентичними, мета полягає у зменшенні кількості «кошиків», які можна розрізнити за кожною метрикою. Такий підхід ускладнює ефективне відстеження окремих користувачів.

Певні атрибути, як-от операційна система та мова, необхідні для функціональності, і їх не можна повністю приховати чи підробити. Натомість Браузер Tor обмежує різноманітність цих атрибутів, щоб запобігти їх розрізненню. Наприклад, він обмежує перерахування шрифтів і застосовує резервні символи, стандартизує розміри екрана та вікон за допомогою літерного ящика та обмежує різноманітність запитуваних мов невеликим, попередньо визначеним набором.

Основна мета захисту браузера Tor від відбитків пальців полягає в тому, щоб значно ускладнити збір достатньої інформації для однозначної ідентифікації користувачів, тим самим покращуючи конфіденційність без шкоди для необхідної функціональності.

Функції захисту від цифрових відбитків у Браузері Tor

Letterboxing

Щоб запобігти відбитку пальця на основі розмірів екрана, Tor Browser запускає вікно вмісту, округлене до кратного 200 пікселів x 100 пікселів. Стратегія тут полягає в тому, щоб розділити всіх користувачів на кілька груп, щоб виокремити їх було складніше. Це працює допоки користувачі не почнуть змінювати розміри вікон (наприклад, збільшуючи їх або переходячи в повноекранний режим). Браузер Tor також постачається з захистом від збирання відомостей для таких сценаріїв, який називається Letterboxing, метод, розроблений Mozilla і представлений у 2019 році. Він працює шляхом додавання полів до вікна браузера, щоб вікно було якомога ближче до бажаного розміру, тоді як користувачі все ще перебувають у кількох сегментах розміру екрана, які не дозволяють виділяти їх за допомогою розмірів екрана.

Простіше кажучи, ця техніка створює групи користувачів з певним розміром екрана, що ускладнює виділення користувачів на основі розміру екрана, оскільки багато користувачів матиме однаковий розмір екрана.

letterboxing

User-Agent and Operating System spoofing

The User-Agent string is a value websites can use to identify details about your browser, operating system (OS), CPU architecture, vendor, and version. Since this information can reveal which OS or device a user is using, it has been a vector for browser fingerprinting, allowing websites or trackers to potentially single out users.

Tor Browser addresses this by spoofing the User-Agent. Users cannot choose a specific operating system or attempt to imitate every possible platform. Instead, Tor Browser standardizes User-Agent values to reduce uniqueness and avoid creating a false sense of privacy:

  • All Windows appear as Windows 10.
  • All macOS appear as OS X 10.15.
  • All Android as Android 10.
  • All other systems like all Linux distributions (including Tails and Qubes), *BSD and other operating systems are grouped together and reported as "Linux running X11".
  • All the other details (such as the architecture) are also normalized per-platform.

In this case, the fingerprint resistance strategy in Tor Browser is to protect real values of the User-Agent by spoofing, but also have a large enough user set.

User-Agent is sent to websites as an HTTP header, and it is available to JavaScript as navigator.userAgent. Inconsistencies in these values can trigger anti-bot and anti-fraud systems into categorizing Tor users as a bot, and deny their requests, which in turn affects usability for Tor Browser users.

Some privacy tools or users suggest that making all users appear as Windows would offer the best cover. However, perfectly spoofing across all browser contexts is not possible and active fingerprinting methods (using fonts, features, behavior, with or without JavaScript, etc.) can often be used to infer aspects of the hardware or operating system.

Tor Browser does not let users select which OS they appear to be. This is intentional: any option to choose would only make users more unique and thus easier to fingerprint. The small set of standardized options is key to keeping users blended together, maximizing privacy for everyone.

Інші функції захисту від цифрових відбитків

Окрім поштового ящика, Tor Browser використовує багато інших функцій, щоб зменшити відбитки пальців браузера та захистити конфіденційність користувачів. These features include Canvas image extraction blocking, NoScript integration, and first-party isolation. Щоб отримати повний перелік функцій, ознайомтеся з документом щодо проектування та реалізації браузера Tor .