Наверно, большинство людей, стремящихся избавиться от сервисов и приложений Google, озабочено приватностью. Приватность в Интернете — довольно расплывчатая концепция, однако один из её аспектов определённо заключается в защите от передачи информации о веб-браузинге между разными организациями. Например, я не хочу, чтобы моя страховая медицинская компания знала, что я гуглил ишемическую болезнь сердца. И хотя, вероятно, речь не идёт о моей личной безопасности и свободе, я не хочу никоим образом помогать глобальному рекламному монстру, предоставляя рекламодателям доступ к более подробной информации обо мне.

К сожалению, хотя дистанцирование от Google и его сервисов действительно будет необходимым первым шагом по защите своей приватности, он окажется далеко не последним. Потребуются и другие меры, предпринимать которые становится всё сложнее из-за браузерного фингерпринтинга.

Как мы попали в такую ситуацию

Ещё пять лет назад нашей основной проблемой, связанной с браузерной приватностью, вероятно, были шпионские куки сторонних компаний. Изначально куки задумывались для того, чтобы браузер и сервер могли общаться в течение длительного периода времени. Используемый веб-серверами протокол HTTP не хранит состояние, то есть каждое взаимодействие между браузером и сервером должно быть завершённым процессом. Обмен куки (который может быть просто случайным числом) между браузером и сервером при каждом взаимодействии позволял серверу соотносить каждый браузер с уже существующей беседой. Это было и остаётся обоснованным использованием куки, необходимым практически для всех интерактивных веб-сервисов. Если куки имеет краткий срок жизни и применяется только к единственной беседе с одним веб-сервером, то проблем с приватностью это не вызовет.

К сожалению, веб-браузеры долгое время не разделяли сохраняющее и нарушающее приватность применение куки. Если множество разных веб-сайтов генерирует страницы, содержащие ссылки на один сервер (обычно через какой-то рекламный сервис), то браузер, пытаясь быть полезным, отправит куки на этот сервер. По сути, такое поведение связывает веб-сервисы, позволяя им обмениваться информацией о пользователях. Этот процесс чуть сложнее, чем в моём описании, но сторонние куки стали настолько серьёзным вопросом, что как минимум в Европе были приняты законы, по которым веб-сайты обязаны разъяснять, для чего они их используют.

Со временем браузеры лучше стали разбираться в том, какие куки полезны, а какие вредны, поэтому сегодня нам по большей части не нужно особо беспокоиться о таких «шпионских куки». Браузеры научились снижать эти риски; кроме того, появилась гораздо более зловещая угроза: браузерный фингерпринтинг.

Браузерный фингерпринтинг

Браузерный фингерпринтинг не зависит от куки. В какой-то степени он устойчив к мерам обеспечения конфиденциальности наподобие VPN. Хуже всего то, что шаги, которые мы можем предпринимать для снижения риска фингерпринтинга, на самом деле способны его повышать. С точки зрения приватности это кошмар, и ситуация становится только хуже.

Фингерпринтинг — это извлечение веб-сервером из браузера отдельных элементов информации и преобразование этих элементов в числовой идентификатор. Часть передаваемой браузером информации фундаментальна и необходима, и хотя браузер может её подделать, этим, вероятно, он поломает для себя веб-сайт.

Например, система фингерпринтинга из одной только передаваемой всегда моим браузером информации может понять, что я пользуюсь версией 144 браузера Firefox в Linux; у меня выбран английский язык и часовой пояс GMT. Самого по себе этого недостаточно для моей уникальной идентификации, но это один из шагов в её направлении.

Для получения дополнительной информации система фингерпринтинга (фингерпринтер) должна использовать более изощрённые методики, которые браузер, теоретически, может блокировать. Например, если браузер поддерживает JavaScript, а его поддерживают почти все браузеры, то фингерпринтер может выяснить, какие шрифты у меня установлены, какие расширения браузера я использую и, вероятно, даже оборудование компьютера. Наверно, самое плохое заключается в том, что он может извлекать canvas-фингерпринт. При canvas-фингерпринтинге браузер выполняет код, который отрисовывает текст (иногда невидимый), после чего извлекаются данные об отдельных пикселях. Из-за незначительных отличий в графическом оборудовании и операционной системе эти пиксельные данные сильно различаются на разных системах даже при отрисовке одного и того же текста.

Похоже, совпадения canvas-фингерпринтов случаются всего на один из тысячи браузеров. Самого по себе этого тоже недостаточно для моей идентификации, но это может стать ещё одним важным примером данных.

При фингерпринтинге можно использовать даже, казалось бы, тривиальную информацию. Например, если я меняю размер окна браузера, то браузер, вероятно, создаст следующее окно в том же размере. Скорее всего, он будет запоминать мои повседневные предпочтения. Если фингерпринтер знает, что я предпочитаю окно размером 1287x892 пикселя, то это может сузить область поиска моей идентификации в тысячу или более раз.

Почему не работают грубые способы защиты от фингерпринтинга

Возможно, вы подумаете, что для предотвращения фингерпринтинга или хотя бы для препятствования ему достаточно отключить в браузере поддержку JavaScript. Хоть это и помогает защититься от canvas-фингерпринтинга, при этом всё равно генерируется значимый пример данных: сам факт отключения JavaScript. Так как почти все браузеры в мире сегодня поддерживают JavaScript, его отключение для защиты конфиденциальности аналогично посещению торгового центра в балаклаве. Да, она скрывает вашу личность, но никто не захочет обслуживать вас в магазинах. К тому же отключение JavaScript поломает многие веб-сайты, в том числе и некоторые страницы на моём сайте, потому что у меня он используется для рендеринга математических уравнений.

Менее радикальные способы борьбы с фингерпринтингом тоже обладают своими проблемами. Например, уже долгое время идут споры о том, должен ли вообще браузер идентифицировать себя. Из-за того, что я пользуюсь Firefox в Linux, я, вероятно, попадаю в небольшую, легко идентифицируемую группу. Может быть, мой браузер должен вместо этого сообщать серверу, что у меня стоит Chrome и я работаю в Windows? В конце концов, это ведь гораздо более обширная группа.

Проблема заключается в том, что фингерпринтеры могут с достаточно высокой точностью определять браузер и платформу при помощи других способов, вне зависимости от того, сообщает ли браузер такую информацию. Если браузер сообщает сведения, противоречащие извлечённым фингерпринтером, мы снова попадаем в ситуацию с балаклавой.

А как насчёт более тонких способов подделки поведения клиента? Браузеры (или плагины) могут менять процедуры отрисовки canvas, например, для подделки результатов canvas-фингерпринтинга. К сожалению, такие способы при не очень аккуратном применении сами по себе оставляют следы. Более того, если они применяются достаточно строго для того, чтобы быть эффективными, то могут поломать веб-сайты, использующие подделываемую ими информацию для своей обычной работы.

В конечном итоге, браузерный фингерпринтинг победить очень сложно, а желающие отслеживать нас организации научились делать это пугающе хорошо.

Есть ли хорошие новости?

Честно говоря, причин для особого оптимизма нет.

Прежде, чем впадать в уныние, стоит вспомнить о том, что веб-сайты наподобие amiunique и fingerprint.com, пытающиеся демонстрировать эффективность фингерпринтинга, не в полной мере отражают то, как он работает в реальности. Они работают с относительно малыми множествами данных и чаще всего не отслеживают пользователей в течение длительного времени. Отслеживание в реальном мире гораздо сложнее, чем пытаются представить эти сайты. Не хочу сказать, что это очень сложно, но это в лучшем случае статистическое решение, а не точное.

Кроме того, «уникальность» сама по себе — не надёжный способ отслеживания. То, что фингерпринт моего браузера уникален в какой-то момент времени, не так важно, если завтра он будет другим, вне зависимости от того, уникален ли фингерпринт в базе данных.

Разумеется, всё это означает, что эффективность наших контрмер сложно оценить: оценка может быть только приблизительной, потому что неизвестно, что же делают реальные фингерпринтеры.

Ещё одна хорошая новость заключается в том, что разработчики браузеров начинают осознавать всю опасность фингерпринтинга и применяют всё более надёжные меры по борьбе с ним. Нам уже необязательно прибегать к плагинам и расширениям, которые сами распознаются и становятся частью фингерпринта. Похоже, на текущий момент наибольшее сопротивление фингерпринтингу реализуют Brave и Mullvad, хоть и разным образом. Контрмеры Librewolf имеют тот же уровень, что и у Firefox, но включены по умолчанию. Вероятно, со временем методики защиты от фингерпринтинга станут совершенствоваться, но и фингерпринтеры стоять на месте не будут.

Что же мы можем сделать?

Если вы стремитесь избегать отслеживания, то первый и самый очевидный шаг — это обязательное избавление от долгоживущих в браузере куки и обязательное использование VPN. В идеале VPN должен регулярно выполнять ротацию своей конечной точки.

Разумеется, факт использования VPN будет известен фингерпринтерам, и из-за этого вы будете выделяться. Изощрённые фингерпринтеры не победить одним VPN. Но если вы не используете VPN, то трекерам даже не понадобится выполнять фингерпринтинг: вас почти наверняка сразу же выдаст ваш IP-адрес и пара незначительных подробностей.

Многие браузеры можно настроить так, чтобы они удаляли куки, которые не используются; Librewolf делает это по умолчанию, а Firefox и Chrome — в режиме инкогнито. Недостаток такого подхода в том, что долгоживущие куки часто используются для хранения статуса аутентификации, и в случае их удаления придётся каждый раз выполнять вход на сайте, требующем аутентификацию. Чтобы избавить пользователя от таких неудобств, браузеры обычно позволяют исключать некоторые сайты из политики уничтожения куки.

Во-вторых, нужно быть максимально непримечательным. Главное для фингерпринтинга — это уникальность, поэтому следует пользоваться самым популярным браузером в самой популярной операционной системе на как можно более стандартном оборудовании. Если вы выберете последнюю версию Chrome в Windows 11 на двухлетнем стандартном ноутбуке, то окажетесь в очень большой группе. Разумеется, Chrome — это продукт Google, поэтому с ним связаны отдельные вопросы проблемы приватности, поэтому, возможно, стоит выбрать браузер на основе Chromium с пониженным влиянием Google, например, Brave.

Следует предпринимать усилия к тому, чтобы ваш компьютер был как можно ближе к стандартной конфигурации. Не устанавливайте ничего (например, шрифты), о чём может знать браузер. Не устанавливайте расширения и не меняйте никакие настройки. Используйте ту же светлую тему, что и все остальные, запускайте браузер в развёрнутом окне и всегда одного размера. И так далее.

По возможности выберите браузер со встроенной защитой от фингерпринтинга, например, Mullvad или Librewolf (или Firefox с включёнными функциями защиты).

Если использовать все эти меры предосторожности, то, вероятно, можно снизить вероятность отслеживания браузерного фингерпринта в течение дней или недель с 99% до примерно 50%.

Но, конечно, 50% — это всё равно слишком много.

Минусы защиты от фингерпринтинга

Если включить в Firefox защиту от фингерпринтинга или работать в Librewolf, то вы сразу заметите странности. Самая очевидная: каждый раз, когда вы будете открывать новое окно браузера, оно будет одного и того же размера. При изменении размера окна оно может вести себя странно, потому что будет стараться ограничить размеры элементов экрана значениями, кратными стандартным размерам. Кроме того, вы не сможете поменять тему.

Вероятно, вам придётся проходить больше проверок CAPTCHA и сталкиваться с другими подобными сложностями идентификации, потому что ваш браузер будет незнаком серверу. Веб-сайты поступают так не назло: в Интернете бесчинствуют хакеры и мошенники, поэтому операторы веб-сервисов имеют полное право параноидально относиться к поведению клиентов.

Скорее всего, окажется, что некоторые сайты в мелочах работают неправильно: не те цвета, смещённый текст и тому подобное. Мне эти проблемы показались просто раздражающими факторами, но у вас может быть иное мнение.

Законен ли браузерный фингерпринтинг?

Думаю, если вкратце, то никто этого не знает, даже в пределах определённой юрисдикции. Британский Information Commissioner’s Office настроен относительно него негативно, и он, вероятно, нарушает дух, но не букву GDPR.

GDPR по большей части нейтрален к технологиям, хотя в нём есть особые положения о куки, которые были серьёзной проблемой на момент его составления. Насколько я знаю, никто ещё пока не оспаривал соответствие фингерпринтинга GDPR, хоть он, похоже, и нарушает положения закона касательно согласия. Так как у фингерпринтинга есть и допустимые причины, например, обнаружение хакинга, занимающиеся им организации, наверно, могли бы защищаться от исков, заявляя, что фингерпринтинг необходим для безопасной работы их сервисов. В конечном итоге, нам требуются новые специализированные законы для регулирования этой угрозы приватности.

В заключение

Подозреваю, многие люди, интересующиеся приватностью в Интернете, не осознают, насколько сложно препятствовать фингерпринтингу. Действия по снижению угрозы приводят к неудобствам, а на текущем уровне развития технологий даже самые назойливые решения эффективны лишь частично. Собираемые фингерпринтингом данные невидимы для пользователя и хранятся в местах, недоступных для него.

С другой стороны, фингерпринтинг генерирует лишь статистические результаты, и обычно его нельзя использовать для точного отслеживания или идентификации. Собираемые им данные имеют короткий срок жизни, от дней до недель, а не месяцы и не годы. Хоть его и можно, вероятно, использовать в злоумышленных целях, для меня его главный недостаток в том, что он поддерживает бесцеремонную и бесконтрольную сферу рекламы, превратившую Интернет в пустошь.

Вероятно, в результате он будет контролироваться только законодательно, но даже когда это произойдёт, распространители рекламы будут, как это и происходит всегда, искать новые способы превратить Интернет в ещё более адское место.