歡迎來到光錐外的世界。
無論是屏下指紋還是側邊指紋,指紋識別技術保護著我們的手機等設備,然而隨著互聯網技術的不斷髮展,遊覽器指紋,就像現實生活中的指紋一樣,特異地標記著每個上網用戶。瀏覽器指紋可以被用於廣告營銷和網絡詐騙,同時也可以被攻擊者用來跟蹤用戶。今天我來帶你瞭解如何擺脫互聯網巨頭的監控,守護個人信息安全的方法與技術。
瀏覽器指紋是一項識別用戶瀏覽器的新技術,它能夠通過用戶使用瀏覽器的各種獨一無二的特徵來區別不同用戶並標記。
NIKIFORAKIS團隊和ACAR團隊的研究對瀏覽器指紋進行了評估,發現瀏覽器指紋這一技術被廣泛地使用,這對用戶隱私造成了很大的損害。
在瀏覽器指紋中通常包含了用戶訪問網站時被蒐集到的瀏覽器相關信息和系統配置的數據,如客戶端型號版本、是否支持Cookie、安裝的插件列表、支持的字體列表、操作系統、時區、屏幕分辨率及色深和Canvas等,由於這些信息都與用戶的瀏覽網頁的行為習慣和使用環境有關,把這些瀏覽器指紋特徵收集後,並將這些信息傳送到後臺計算,然後針對屬性完全相同的設備進行歸併,這樣就能判定用戶的唯一性進而進行鎖定和跟蹤。
對於用戶而言,瀏覽器指紋會對其隱私產生侵害,因此,研究人員提出了兩類方法來對抗利用瀏覽器指紋跟蹤用戶的行為:
第一類方法是統一瀏覽器指紋的屬性,即將多個瀏覽器字體、時區、分辨率等屬性都設置成一樣的,這種方案雖然簡單有效但會嚴重影響瀏覽器自身的可用性;
第二類方法是在不影響用戶使用的前提下,在一定範圍內對瀏覽器指紋中的關鍵屬性隨機化,破壞用戶不同會話間的關聯性。目前,第二種方法是用於對抗瀏覽器指紋採集的最好且最為有效的方法。
對於用戶而言,用戶可能是為了獲得更好的服務而主動開啟以相關信息換取便利和個性化服務,如Cookie就是主動暴露的,用戶可以通過隱身模式規避一定的信息洩露的風險。而對於瀏覽器指紋來說屬於被動暴露,用戶是無法知道網站是否有獲取用戶信息,獲取了哪些信息,在客戶端保存了哪些信息,網站的行為不會被用戶發覺且隱蔽性更強,因而用戶很難進行有效的規避。所以相比採用Cookie跟蹤用戶的方法,利用瀏覽器指紋跟蹤用戶更具有隱蔽性。
對於瀏覽器指紋技術,清空瀏覽器數據無法產生防禦效果。當用戶第一次訪問某網站時,網站服務器採樣並記錄下用戶的瀏覽器指紋和在該網站上的行為。當用戶再一次訪問該網站時,網站服務器再次採樣用戶的瀏覽器指紋,並將其與數據庫中的瀏覽器指紋進行比較。如果網站服務器的數據庫中存在著一樣的指紋,則表明該用戶訪問過該網站。
針對設備指紋獲取的原理,大部分網站都是通過Javascript來獲取用戶的瀏覽器屬性。所以為了保護用戶隱私,防止網站服務器利用瀏覽器指紋這一技術跟蹤用戶,針對設備指紋的"易獲取"這一特性,通過禁用一些較為明顯的獲取源,如Flash和Javascript,可以實現用戶隱私信息保護的作用,但是如果持續禁用此類應用則會導致用戶無法正常使用瀏覽器的基礎功能,所以這種方法幾乎沒有實用價值。
研究者們提出了許多較為可行的用戶隱私保護方案。
一種防禦措施針對"確定性"( 用戶的瀏覽器指紋具有極低的碰撞率,至少能夠從數千臺設備中標識某一設備)進行對抗,研究者創建一種插件或修改瀏覽器內核,儘量使大量用戶具有相同的瀏覽器指紋,從而避開對個體的追蹤。例如,讓多個瀏覽器的字體都顯示一致,這樣能夠使得攻擊者無法區分用戶。這種方法雖然有效,但是由於網頁的顯示依賴於瀏覽器的各項屬性,如對分辨率和字體的強行扭曲會對正常瀏覽結果產生較大的偏差,因此這種方法犧牲了瀏覽器的可用性,降低了用戶體驗。
還有像NIKIFORAKIS團隊瞄準的是瀏覽器指紋的"穩定性"( 用戶第1次瀏覽網頁與第N次瀏覽網頁產生的指紋非常可能是一樣的)進行對抗。通過在指紋識別過程中引入足夠多的隨機數,打破指紋信息的穩定性,使追蹤者不能將新鮮的指紋與舊的指紋綁定在一起,從而使得跨越多個會話的跟蹤變得不可能。
計算機安全技術總是在研究人員不斷通過攻擊、防禦的探索中逐漸前進。2019年底上海科技大學張良峰教授團隊對將瀏覽器指紋中關鍵屬性隨機化的防禦對策,採用統計和側信道攻擊的方法,根據觀察所得的瀏覽器指紋關鍵屬性的隨機值,還原出了瀏覽器指紋中關鍵屬性的真實值,從而達到區分和跟蹤用戶的目的,準確度超過了98%。
探索永無止境,防止信息洩露依然任重而道遠。
END
更多前沿信息安全技術,歡迎關注和評論!
閱讀更多 光錐外的記錄者 的文章
