毫无疑问,我们被在线跟踪的原因有好有坏。根据著名的免费软件提供商 Ghostery 的一项研究,超过 79% 的具有独特域的网站都有收集用户数据的跟踪器。一个当今最流行的指纹识别技术之一是画布指纹识别。在本指南中,了解什么是画布指纹识别、它的工作原理以及它如何与其他浏览器指纹识别技术相比较。
了解画布指纹
毫无疑问,我们被在线跟踪的原因有好有坏。根据著名的免费软件提供商 Ghostery 的一项研究,超过 79% 的具有独特域的网站都有收集用户数据的跟踪器。一个当今最流行的指纹识别技术之一是画布指纹识别。在本指南中,了解什么是画布指纹识别、它的工作原理以及它如何与其他浏览器指纹识别技术相比较。
指纹识别概述?
有很多网络跟踪方法,例如,IP 地址跟踪、使用 HTTP cookie、网络信标、浏览器指纹识别和新的偷偷摸摸的画布指纹识别。到目前为止,一切都很好,cookies 和其余的跟踪方法正在被画布指纹识别取代,这是一种复杂而准确的浏览器指纹识别技术。为了更好地理解什么 画布指纹 是,首先要理解 浏览器 指纹。
顾名思义,浏览器指纹识别允许网站所有者通过从一组参数中收集数据来创建用户配置文件。浏览器指纹识别中收集的数据包括;
是,首先要理解
- 设备型号
- 操作系统 (OS)
- 屏幕分辨率
- 时区
- 文件格式标识符
- 时间戳
- 用户代理 (UA) 字符串
- 语言设置
- 插件
- 扩展
然后将收集到的数据聚集在一起并称为“指纹”。浏览器指纹的工作原理是两个用户不能100%匹配浏览器数据
什么是画布指纹识别?
Canvas 指纹识别是一种非常新的在线跟踪技术,已被标记为’cookie 的真正继承者’和’类固醇的cookies’。画布指纹识别与其他跟踪方法的区别在于它利用超文本标记语言 5 (HTML5) 画布功能来跟踪网络访问者的数字足迹。
画布指纹识别的历史可以追溯到 2012 年,当时加州大学的两位研究人员 Hovav Shacham 和 Keaton Mowery 发表了一篇名为“Pixel Perfect: Fingerprinting Canvas in HTML5”的论文。在论文中,研究人员详细阐述了如何这 HTML5 可以利用画布来创建互联网用户的准确数字指纹。
几乎在警报响起后,著名软件公司 AdBlock Plus 就表示他们的产品 AdBlock Plus 可以绕过画布指纹识别,并且已经使用了几年。这告诉你,甚至在之前加州大学研究的发表,画布指纹就在我们身边。
Canvas 指纹识别技术复杂且非常准确。这就是它被认为是浏览器指纹识别技术第一的原因。据记录,canvas 指纹识别可以作为唯一的跟踪方法,也可以与其他方法结合使用浏览器指纹技术以提高准确性。
根据 Tor Project 画布指纹识别,由 HTML5 画布提供,是当今互联网用户在插件之后面临的最大指纹识别威胁。在 2016 年 1 月进行的一次抓取中,包括 Dropbox、BBC、Bleacher Report、华盛顿邮报、NDTV 和 The Verge 都有画布指纹脚本。
Canvas 指纹识别是如何工作的?
这次讨论中的一个大问题是,画布指纹识别是如何工作的?嗯,这是一个简单的概念,但也很广泛
区分画布指纹的一件事是它基于操纵 HTML5 Canvas 功能。对于初学者来说,HTML5 是一种用于构建大多数网站的编码语言。另一方面,canvas 是一种 HTML5 API,用于通过 Javascript 中的脚本在网页上绘制文本和图形.
当您点击带有画布指纹脚本的网站时,该脚本会以随机字体和大小以及随机背景绘制文本。然后结果是画布像素数据在散列之前转换为 Base64 编码格式进入指纹。
画布指纹的工作原理是不同的计算机基于图像格式级别或系统级别的原因对同一画布图像进行不同的渲染。在图像格式级别,变化可能是由图像处理引擎引起的,图像导出选项和浏览器压缩级别。当涉及到系统级别时,不同的计算机可能会以不同的方式呈现相同的图像,因为操作系统具有不同的字体并使用 不同的算法和设置 用于亚像素渲染和抗锯齿。
为了记录,画布指纹仅关注图形方面。它所依赖的数据包括:
- 操作系统
- 浏览器
- 显卡
- 显卡驱动程序
- 已安装的客户端字体
哈希从何而来?
散列是将任意大小的数据映射到固定大小的值而不改变数据的唯一性的过程。在画布指纹识别中首选散列,因为只要输入相同,它就会产生相同的结果。这意味着, ‘Canvas’ 的哈希值,使用 SHA-256 在线哈希函数,是:
3824a9f4dafe92c6f1b80b40656a59784c03a824c27d58125d7d0ace753e2df2
但是,如果我们将输入更改为 ‘Canvas ‘1 并在单词后添加空格,尽管变化可以忽略不计,但哈希值完全不同。有了空格,’Canvas’ 的哈希值是;
90a297b736922fb50bb83eb58bdef9af7b1603aa1699b3fb6bee85ce638d6d54
Canvas Fingerprinting – The Necessary Evil
我们必须承认,我们生活在一个监控最严密的世界中。在数字空间中,公司、组织甚至政府都热衷于跟踪在线活动。这就是为什么使用最先进的网络的原因已经部署了画布指纹等跟踪方法。在本节中,找出画布指纹的一些流行应用。
画布指纹识别的好处
你会同意我的观点,因为画布指纹识别和其他在线跟踪方法可能会侵犯我们的在线安全和隐私,它们是一种必要的邪恶。今天,画布指纹识别可以通过几种方式使用户受益,如下所述。
1. 内容个性化
营销人员了解个性化的重要性。这就是为什么所有大型内容中心,如 Netflix、Spotify 甚至 电子商务 网站依赖画布指纹识别等网络跟踪方法。据统计,91%的消费者表示,他们更倾向于选择提供个性化产品建议和推荐体验的品牌。内容个性化翻译为冲浪者提供更好的用户体验并为品牌带来更多收入。
为了确保消费者获得个性化的体验,品牌利用cookies和浏览器指纹等网络跟踪方法。如前所述,cookies正在慢慢过时,而最新的跟踪方法如canvas指纹正在成为中心阶段。
2. 定向广告
今天,在线广告是许多营销人员和品牌的最佳渠道。但考虑到广泛的受众,营销人员必须明智地花费他们的预算 定位广告 仅针对潜在消费者,无需针对可能对您的产品不感兴趣的互联网用户。
今天,广告商严重依赖画布指纹来定制广告以获得更高的投资回报率。虽然过去 cookie 是最好的,但画布指纹识别的准确性使其成为物超所值的最佳选择,至少对广告商而言更重要的是,今天可以阻止 cookie,让广告商没有可靠的跟踪方法。
仅针对潜在消费者,无需针对可能对您的产品不感兴趣的互联网用户。
3. 在线欺诈预防
随着网上银行呈指数级增长,欺诈风险也呈指数级增长。网上银行平台一直在注意确保只有您才能访问您的网上银行帐户。Canvas 指纹识别以及其他在线跟踪方法是让数字空间成为一个更安全的地方。
例如,通过画布指纹识别,金融科技可以检测在线银行会话何时构成威胁。您可能知道,您通常用于登录电子钱包和其他在线银行平台的设备具有特定的足迹。任何通过具有新足迹的设备登录都表明该帐户可能受到攻击。
4. 分析和跟踪
业务中的关键动力之一是分析和跟踪。没有硬数据和分析,营销人员可能无法报告投资回报率并优化未来的活动。画布指纹识别的优势之一是它可以识别关键数据,例如新用户、回访者等。
画布指纹的丑陋一面
就像两面硬币一样,画布指纹识别有优点也有缺点。就像所有其他网络跟踪技术一样,画布指纹识别最大的缺点是它的部署不能保证 100% 的在线安全和隐私。事实证明,画布指纹识别是政府和其他在线间谍可以用来跟踪您所有数字足迹的最佳方式。在数字时代,这是非常令人担忧的,因为 81% 的美国人担心收集他们的私人数据。
画布指纹识别合法吗?
用户在浏览器指纹识别方面面临的挑战之一是主体的合法性。没有明确的法律法规来解决浏览器指纹识别问题,更不用说画布指纹识别了。
根据通用数据保护条例 (GDPR) 浏览器指纹在欧洲是合法的,只要网站所有者遵守所有相关的规则和规定。即使 GDPR 没有特别提到指纹,网站在跟踪他们之前必须得到用户的同意,因为cookie 跟踪就是这种情况。
在美国,没有管理网络跟踪的法律,但至少有加州消费者隐私法 (CCPA) and 佛蒙特州数据经纪人法尝试解决在线跟踪和数据收集问题,但不是专门针对画布指纹或一般设备指纹。
最近,人们非常重视在线安全和隐私,这导致了新的电子隐私指令和 GDPR 的进一步执行。但据在线安全专家称,目前的趋势表明这些法律没有希望以后者为准。目前对cookies的法律是严格的,但仍然有很多网站按照法律规定,在没有事先通知用户并征得他们同意的情况下部署cookies来跟踪用户。从这个趋势来看,很明显浏览器指纹甚至画布指纹都将继续存在。这就是互联网用户应该警惕他们的数字足迹的原因。
目前,问题在于各个浏览器。对于 Mozilla Firefox 和 Google Chrome 等公司来说,画布指纹识别直接威胁到各自的品牌。这就是为什么这两家公司已采取行动遏制画布指纹识别。
如何避免画布指纹
Canvas 指纹识别是真实存在的。它的一个奇特之处在于它很难绕过它,原因有一个;它依赖于网站的一个组成部分——HTML5 canvas 元素。你可能知道,canvas 有很多合法目的,因此阻止它不是一种选择。您可以阻止跟踪您的数字活动的 cookie,但阻止 HTML5 画布元素并不容易。
但这并不意味着没有办法避免画布指纹识别。
1. 阻止画布指纹
我们已经看到了几个声称可以完全屏蔽画布指纹的扩展和附加组件。在关于画布指纹的研究发布后,AdBlock Plus 声称他们的产品可以阻止画布指纹,并且已经有效多年. 它的工作原理是阻止设置 cookie 的脚本,从而阻止画布指纹识别。还有其他基于浏览器的画布指纹识别阻止程序,例如,Mozilla Firefox 的 NoScript 和 Google Chrome 的 ScriptSafe 扩展,它们有选择地阻止 JavaScript。
嗯,阻止画布指纹识别听起来像是一个合理的想法,因为用户不会发送他们的画布指纹。然而,事实是阻止画布指纹识别可以直接识别你。请记住,插件和扩展你正在运行是浏览器指纹识别中关键标识符的一部分。简而言之,阻止画布指纹识别就像在一群不戴口罩的人群中戴上口罩,让你更加显眼。
屏蔽画布指纹只有在所有网民都能屏蔽的情况下才有效;也就是说我们都有口罩。但是,可以屏蔽画布指纹的网民数量可以忽略不计,考虑不到10%的互联网用户知道广告拦截器。此外,没有那么多画布指纹拦截器。
2. 随机化画布指纹
使用拦截器可以清楚地识别您。但是提交随机画布指纹呢?顾名思义,这涉及随机化核心浏览器对象,例如用户代理、HTTP 标头、插件、平台、屏幕分辨率、时区、供应商、 WebGL 供应商等
随机化画布指纹是一种避免被画布指纹追踪的实用方法,但这还不够,就像拦截器一样。用户在会话期间改变他们的足迹是不正常的。所以,提交随机单次的画布脚印会自动引起怀疑。这就像在人群中换衣服一样,每十分钟 – 你肯定会被注意到。
随机画布指纹可以有效避免画布指纹的唯一方法是,如果所有互联网用户都将他们的画布指纹随机化。这样,很难确定单个用户。在我们的示例中,就像人群中的每个人都改变了他们每十分钟穿一次衣服——那行得通。
避免画布指纹识别:可能吗?
很明显,虽然上述方法可以帮助用户绕过画布指纹识别,但从长远来看,它们根本没有用。您仍然会被跟踪!
唯一可行的解决方案是通过自定义指纹的每个参数来管理您的足迹。那么,您如何做到这一点?
第一件事是通过确保画布指纹识别功能处于活动状态来确保您不会皱眉,这样您就不会看起来好像已经被掩盖了。然后,始终如一地使用画布标识,这样就可以了看起来不像是在逃避检测。最后,在必要时切换身份以擦除数字轨道。虽然这看起来像是一场艰苦的战斗,但这是避免被画布指纹追踪的唯一方法。这里的想法不是防止跟踪但要控制它。
另一种避免画布指纹识别的方法是手动选择退出基于兴趣的广告。可以通过选择您不想要的定向广告的公司来选择退出基于兴趣的广告网络广告倡议退出页面。
嗯,这听起来也是个好主意,但是,考虑到公司日夜添加画布指纹脚本,这是一个相当乏味的过程。这意味着您需要定期进行清理才能进入安全的一面。此外,定向广告并不是画布指纹识别的唯一风险。虽然您可以选择退出定向广告,但您仍然可以因其他原因被跟踪。
结束
伙计们,你知道关于画布指纹识别的一切。好吧,正如目击者所见,这是一个必要的邪恶。画布指纹识别也有几个好处和缺点。另一个要点是画布指纹识别已经在这里有一段时间,即使可以完全阻止该过程,也很难绕过画布指纹识别。
唯一的出路是管理我们的在线足迹。通过强大的数字足迹管理方法,我们可以控制我们被跟踪的方式,但我们无法阻止跟踪。
