浏览器指纹是什么,浏览器指纹详解

无论是屏下指纹还是侧边指纹，指纹识别技术保护着我们的手机等设备，然而随着互联网技术的不断发展，游览器指纹，就像现实生活中的指纹一样，特异地标记着每个上网用户。在新的互联网环境下，如何跟踪用户在网络上的行为，记录其活动，并用这些信息对用户进行画像，进而构建各式各样的推荐系统成为了一个极具商业价值的话题。今天我来带你了解那些互联网巨头是如何监控你的生活。

传统的网站跟踪用户的方法是利用Cookie记录用户的个人信息，但由于Cookie受到时效性的限制，以及部分用户会定期清理浏览器Cookie，所以仅利用这一技术无法有效地长期跟踪用户。因此，研究人员提出了浏览器指纹这一技术，即使在用户删除Cookie的情况下，网站依然能够通过用户使用浏览器中的特征跟踪用户。

浏览器指纹是一项识别用户浏览器的新技术，它能够通过用户使用浏览器的各种独一无二的特征来区别不同用户并标记。浏览器指纹由EFF（Electronic Frontier Foundation）提出，在浏览器指纹中通常包含了用户访问网站时被搜集到的浏览器相关信息和系统配置的数据。用户在访问网站的过程中，由于数据交换被搜集了大量的软件和硬件环境信息，如客户端型号版本、是否支持Cookie、安装的插件列表、支持的字体列表、操作系统、时区、屏幕分辨率及色深和Canvas等，由于这些信息都与用户的浏览网页的行为习惯和使用环境有关，把这些浏览器指纹特征收集后，并将这些信息传送到后台计算，然后针对属性完全相同的设备进行归并，这样就能判定用户的唯一性。

现有的研究表明，仅利用简单的JavaScript脚本对浏览器的属性进行读取，就可以导出具有唯一性的用户浏览器指纹。

浏览器指纹是确定的。用户的浏览器指纹具有极低的碰撞率，至少能够从数千台设备中标识某一设备。

浏览器指纹是易获取的。在用户浏览网页时，Web服务器可以通过HTTP协议获取用户的设备指纹。随着API技术的发展，浏览器对用户指纹追踪将变得更容易。

浏览器指纹是稳定的。用户第1次浏览网页与第N次浏览网页产生的指纹非常可能是一样的。

所以基于这些特点，浏览器指纹成为目前收集用户信息的主流方案。互联网上基于JavaScript进行浏览器指纹识别并跟踪用户访问，记录用户行为的网站越来越多，有些商业公司，如BlueCava、ThreatMetrix[和Iovation利用浏览器指纹跟踪数百万的上网用户。与此同时，大的互联网公司如Google也暗示其采用了这一技术，2015年6月Google的隐私政策更新显示谷歌会“识别您的浏览器或设备”，这表明谷歌也采用了浏览器指纹技术。

浏览器指纹是一项识别用户浏览器的新技术，它能够通过用户使用浏览器的各种独一无二的特征来区别不同用户并标记。

NIKIFORAKIS团队和ACAR团队的研究对浏览器指纹进行了评估，发现浏览器指纹这一技术被广泛地使用，这对用户隐私造成了很大的损害。

在浏览器指纹中通常包含了用户访问网站时被搜集到的浏览器相关信息和系统配置的数据，如客户端型号版本、是否支持Cookie、安装的插件列表、支持的字体列表、操作系统、时区、屏幕分辨率及色深和Canvas等，由于这些信息都与用户的浏览网页的行为习惯和使用环境有关，把这些浏览器指纹特征收集后，并将这些信息传送到后台计算，然后针对属性完全相同的设备进行归并，这样就能判定用户的唯一性进而进行锁定和跟踪，在上篇文章中，我们对它进行了详细的解读。

对于用户而言，浏览器指纹会对其隐私产生侵害，因此，研究人员提出了两类方法来对抗利用浏览器指纹跟踪用户的行为：

第一类方法是统一浏览器指纹的属性，即将多个浏览器字体、时区、分辨率等属性都设置成一样的，这种方案虽然简单有效但会严重影响浏览器自身的可用性；

第二类方法是在不影响用户使用的前提下，在一定范围内对浏览器指纹中的关键属性随机化，破坏用户不同会话间的关联性。目前，第二种方法是用于对抗浏览器指纹采集的最好且最为有效的方法。

对于用户而言，用户可能是为了获得更好的服务而主动开启以相关信息换取便利和个性化服务，如Cookie就是主动暴露的，用户可以通过隐身模式规避一定的信息泄露的风险。而对于浏览器指纹来说属于被动暴露，用户是无法知道网站是否有获取用户信息，获取了哪些信息，在客户端保存了哪些信息，网站的行为不会被用户发觉且隐蔽性更强，因而用户很难进行有效的规避。所以相比采用Cookie跟踪用户的方法，利用浏览器指纹跟踪用户更具有隐蔽性。

对于浏览器指纹技术，清空浏览器数据无法产生防御效果。当用户第一次访问某网站时，网站服务器采样并记录下用户的浏览器指纹和在该网站上的行为。当用户再一次访问该网站时，网站服务器再次采样用户的浏览器指纹，并将其与数据库中的浏览器指纹进行比较。如果网站服务器的数据库中存在着一样的指纹，则表明该用户访问过该网站。

针对设备指纹获取的原理，大部分网站都是通过Javascript来获取用户的浏览器属性。所以为了保护用户隐私，防止网站服务器利用浏览器指纹这一技术跟踪用户，针对设备指纹的“易获取”这一特性，通过禁用一些较为明显的获取源，如Flash和Javascript，可以实现用户隐私信息保护的作用，但是如果持续禁用此类应用则会导致用户无法正常使用浏览器的基础功能，所以这种方法几乎没有实用价值。

研究者们提出了许多较为可行的用户隐私保护方案。

一种防御措施针对“确定性”（ 用户的浏览器指纹具有极低的碰撞率，至少能够从数千台设备中标识某一设备）进行对抗，研究者创建一种插件或修改浏览器内核，尽量使大量用户具有相同的浏览器指纹，从而避开对个体的追踪。例如，让多个浏览器的字体都显示一致，这样能够使得攻击者无法区分用户。这种方法虽然有效，但是由于网页的显示依赖于浏览器的各项属性，如对分辨率和字体的强行扭曲会对正常浏览结果产生较大的偏差，因此这种方法牺牲了浏览器的可用性，降低了用户体验。

还有像NIKIFORAKIS团队瞄准的是浏览器指纹的“稳定性”（ 用户第1次浏览网页与第N次浏览网页产生的指纹非常可能是一样的）进行对抗。通过在指纹识别过程中引入足够多的随机数，打破指纹信息的稳定性，使追踪者不能将新鲜的指纹与旧的指纹绑定在一起，从而使得跨越多个会话的跟踪变得不可能。

计算机安全技术总是在研究人员不断通过攻击、防御的探索中逐渐前进。2019年底上海科技大学张良峰教授团队对将浏览器指纹中关键属性随机化的防御对策，采用统计和侧信道攻击的方法，根据观察所得的浏览器指纹关键属性的随机值，还原出了浏览器指纹中关键属性的真实值，从而达到区分和跟踪用户的目的，准确度超过了98%。

候鸟防关联指纹浏览器（mbbrowser.com） 是一款运用模拟浏览器硬件配置文件代替若干电脑的多任务浏览器，实现浏览器指纹防护功能，每个浏览器文件的Cookies、本地存储和其他缓存文件将被完全隔离，浏览器配置文件之间完全独立，无法相互访问。

多个唯一指纹浏览器，每个指纹浏览器都是相互隔离的。可以理解为每个浏览器配置文件就是不同的电脑，再结合切换不同 IP，就是不同地区不同的电脑。