Браузерный фингерпринтинг повсеместен. Эксперт заявляет, что Chrome не защищает от методов отслеживания, используемых на миллионах сайтов. — theregister.com
Google продвигает свой браузер Chrome, ссылаясь на его превосходные функции безопасности, однако, по словам консультанта по вопросам конфиденциальности Александра Хана, Chrome не защищает от браузерного фингерпринтинга — метода отслеживания пользователей в сети путем сбора технических данных об их браузере.
«На данный момент, пока вы это читаете, в Chrome работают как минимум тридцать различных методов фингерпринтинга», — написал Ханф, время от времени сотрудничающий с The Register, в недавно опубликованной критике браузера Google.
«Это не теоретические атаки из академических работ, которые могут сработать в лабораторных условиях, — это реальные, работающие в боевом режиме методы, развернутые на миллионах веб-сайтов для идентификации и отслеживания вас без вашего ведома или согласия».
Посетители веб-сайтов могут оставить после себя «отпечаток браузера», который фиксирует используемую ими операционную систему, разрешение экрана и установленные шрифты. Эта информация передается в трафике от браузера к веб-серверу, или же она доступна серверу или третьим сторонам через скрипты страниц и элементы отслеживания. Браузерные отпечатки могут стать уникальными идентификаторами.
Около десяти лет назад Apple, Mozilla и другие разработчики браузеров, ориентированных на конфиденциальность, начали внедрять более эффективные средства защиты от отслеживания на основе файлов cookie. Это подтолкнуло рекламодателей к браузерному фингерпринтингу, который сложнее заблокировать, чем отслеживание с помощью файлов cookie. Этот метод также используется для обнаружения мошенничества.
Согласно исследовательской работе 2021 года «Fingerprinting the Fingerprinters: Learning to Detect Browser Fingerprinting Behaviors» (Фиксируя фингерпринтеры: изучение обнаружения поведения браузерного фингерпринтинга), браузерный фингерпринтинг был обнаружен «более чем на 10 процентах из 100 тысяч самых популярных веб-сайтов и более чем на четверти из 10 тысяч самых популярных веб-сайтов».
Хотя браузерный фингерпринтинг может иметь законное применение, он представляет собой значительный риск для конфиденциальности. При этом такой фингерпринтинг не обязательно должен включать много технической информации. Исследование, опубликованное в Nature в октябре прошлого года, показало, что для идентификации 95 процентов людей достаточно знать всего четыре веб-сайта, которые человек посещает чаще всего, — это поведенческий отпечаток, в отличие от браузерного.
В 2019 году Google объявила об инициативе Privacy Sandbox «для разработки набора открытых стандартов, которые коренным образом повысят конфиденциальность в сети», в том числе путем размывания браузерных отпечатков.
Компания возложила вину за рост фингерпринтинга на усилия по блокировке сторонних файлов cookie и предложила свою собственную технологию сохранения конфиденциальности в качестве альтернативы схеме App Tracking Transparency от Apple и аналогичным мерам защиты от файлов cookie.
«Во-первых, широкомасштабная блокировка файлов cookie подрывает конфиденциальность людей, поощряя непрозрачные методы, такие как фингерпринтинг», — писала тогда компания. «С помощью фингерпринтинга разработчики нашли способы использовать крошечные фрагменты информации, различающиеся у пользователей, например, какое у них устройство или какие шрифты установлены, для создания уникального идентификатора, который затем может использоваться для сопоставления пользователя на разных веб-сайтах. В отличие от файлов cookie, пользователи не могут удалить свой отпечаток и, следовательно, не могут контролировать сбор своей информации. Мы считаем, что это подрывает выбор пользователя и является неправильным».
Но после шести лет неудач, подозрений со стороны индустрии и лоббирования Google отказалась от своего Privacy Sandbox. Это произошло всего через несколько месяцев после того, как компания изменила свою позицию с «цифровой фингерпринтинг — это плохо» на «цифровой фингерпринтинг допустим, если он раскрывается», еще в декабре 2024 года.
Такие опасения могут показаться старомодными во времена, когда люди позволяют ИИ-агентам просматривать свои файлы и делиться конфиденциальными данными с чат-ботами и сторонними ИИ-приложениями. Но они имеют реальное значение.
В недавно опубликованном отчете Citizen Lab подробно описывается, как данные для слежки на основе рекламы продаются государственным органам и правоохранительным структурам по всему миру. Один из описанных продуктов слежки «автоматически извлекает доступную информацию из целевых соединений», включая IP-адрес, тип браузера, язык, версию и плагины, операционную систему и версию, тип устройства, информацию о ЦП и ГП, разрешение экрана, информацию о провайдере, предполагаемое местоположение, действия пользователя, часовой пояс, уровень заряда батареи и статус зарядки». Он осуществляет фингерпринтинг устройств, среди прочих видов слежки.
«Chrome практически не имеет встроенной защиты от фингерпринтинга», — заявил Ханф. «Позвольте мне повторить, потому что это важно: браузер Google, самый популярный браузер в мире, по сути, ничего не делает, чтобы помешать веб-сайтам создавать уникальный профиль вашего устройства».
Он указывает, что другие браузеры имеют защиту от фингерпринтинга.
«Brave использует farbling. Firefox использует privacy.resistFingerprinting. Chrome не имеет ничего. Google Privacy Sandbox был закрыт в апреле 2025 года без внедрения каких-либо мер по смягчению последствий, специфичных для фингерпринтинга».
В оставшейся части своего поста Ханф перечисляет пробелы в защите Chrome от фингерпринтинга. К ним относятся такие технологии, как: Canvas, WebGL, WebGPU, AudioContext, шрифты, свойства навигации и экрана, утечка IP через WebRTC, TLS, рендеринг эмодзи, синтез речи, раскладка клавиатуры и так далее.
Затем он обсуждает 23 механизма хранения данных и отслеживания, которые могут использоваться для слежки за людьми в сети, такие как файлы cookie, отслеживание через редиректы (bounce tracking) и маскировка CNAME (CNAME cloaking).
«Технологии, описанные в этом документе, не являются теоретическими — они применяются в масштабе против миллиардов людей каждый день», — заключает Ханф. «Понимание их — первый шаг. Создание инструментов для их обнаружения и разоблачения — следующий».
Google не ответила на запрос о комментариях. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Thomas Claburn