基于画布的指纹:它是什么以及它是如何工作的?

基于画布的指纹:它是什么以及它是如何工作的?

我抹掉了我的痕迹,更换了IP。我什至用湿餐巾擦拭鼠标,但我的动作还是被跟踪了。但这怎么可能?毕竟,所有的数字痕迹都被抹去了。和帆布?

互联网上的隐私现在不是那么简单……或者更确切地说,根本没有隐私。而且,无论用户如何努力掩盖他们的踪迹,长鼻子的广告网络、分析平台和反欺诈系统仍会追踪并确定他们的兴趣、品味和偏好。然后他们会查出你的性别、年龄……然后离你的名字和姓氏和地址不远。因此,您应该通过将数据替换为其他人的数据来正确保护您的数据。包括 Canvas,很多反检测用户都忘记了……因为他们不知道它是一种什么样的“画布”。

让我们遍历指纹的所有组件

使用匿名浏览器隐藏既方便又有效。在他们的帮助下,有时您可以伪装自己,使您认不出自己。而这样的案例在实践中也时有发生。但是要达到如此高的效果,就必须适当地准备数字印刷品。正是这些反检测器用来隐藏用户的真实特征。

指纹是封装在一个通用术语中的一组特征。其中包含的信号允许反检测绕过所有站点阻塞。以及对它们进行任何数量的多帐户活动。

构成数字指纹参数集的参数可以分为几组:

  • 主要有:操作系统、浏览器、其版本、屏幕分辨率、CPU 时钟速度、RAM。以及包含在 User-Agent 中的值。

User-Agent 字符串是应用程序(在我们的例子中是浏览器)发送到服务器的 HTTP 标头的一部分。此行包含用户设备的特征值及其本地设置。 User-Agent 中指定的某些参数与通过指纹其他部分传递的参数相匹配。因此,确保它们的兼容性很重要。为此,Undetectable 在数字指纹设置中添加了一个工具来检查这些值的身份。

  • 网络 – 时区、地理位置、WebRTC。

_WebRTC 协议用于使用点对点技术在 Internet 上传输信息包。它最常用于在 Web 应用程序之间传输多媒体数据(语音和音频)。所有流媒体服务的工作都基于它。该协议还允许跟踪器和反欺诈系统绕过代理服务器来确定客户端的 IP。

  • 系统 – 应用程序窗口大小、字体集、WebGL 和 Canvas。

WebGL 库用于在任何浏览器中为 JavaScript 添加创建 3D 图形的功能。该库还允许安全系统检索有关用户设备的视频处理器的信息。

就这样渐渐地,一步一步地,我们达到了今天的目标——Canvas指纹系统参数。它现在将得到我们的全部关注,这就是为什么......

什么是画布?

这个元素的本质和目的从它的名字就很容易理解了。 Canvas 允许浏览器自行在网页上绘制图形内容。它最常与嵌入在页面上的 JavaScript 脚本一起使用。但不可能用两句话来表征和解释 Canvas 的含义。因为它是多方面的。

首先,Canvas 是一种超文本语言标签,在 HTML5 推出后成为其中的一部分。使用此标签,您不仅可以在网页上绘制二维图形基元,还可以在画布上嵌入多媒体内容。包括视频和音频。

目前,Canvas 是 Web 开发中普遍接受的标准。所有版本的移动和桌面浏览器都支持它。包括实际上已不再使用的 Internet Explorer,并且 Microsoft 已停止对它的支持。

这不是关于 IE 困境的抒情题外话,而是一个不争的事实,它将让我们了解 Canvas 对于具有反检测功能的高质量多帐户活动的重要性。

但是匿名、指纹和反检测浏览器与它有什么关系呢?毕竟,HTML 标记不能用于跟踪用户操作并识别他。由于 Canvas 是一种成熟的、广泛使用的技术,并且这些标签存在(使用)在数百万个站点的标记中......

所有这些问题的出现都是因为我们没有意识到 Canvas 的另一面。但是,广告和分析平台非常清楚这一点,它们对用户在线生活的各个方面都嗤之以鼻。

Canvas 的其他天赋

每个人都有自己的笔迹,这是他独有的。因此,通过笔迹检查,可以确定特定文本的作者。但事实证明,不仅人有笔迹,还有电脑。

通过 Canvas 识别用户必须满足的主要条件是使设备绘制一些图元。之后,应将“笔迹”样本发送给笔迹学家,就指纹而言,笔迹学家是反欺诈系统和分析平台。

Canvas 跟踪机制本身基于每台计算机、智能手机或其他类型的用户设备处理相同绘制的图形元素的方式。

基于 Canvas 的识别机制如下:

  • 当用户访问与跟踪器集成的站点时,会指示浏览器绘制一些图形图元。
  • 然后从渲染分析数据中导出一个唯一的令牌,它可以让您以高达 90% 的准确度确定设备的“身份”。
  • 同时,生成的token的值不存储在cookies中,而是记录在全局数据库中。
  • 之后,对任何跟踪资源的每次后续访问都将是图形基元的类似呈现,并将生成的标识符与数据库中的值进行比较。

使用 Canvas 确定用户的数字身份时,会考虑以下设备规格:

*中央处理器。

  • 显卡。
  • 操作系统。
  • 处理机制的特点。
  • 图像压缩级别。
  • 导出参数。

浏览器也可以作为识别示例而不是图形原语发送文本字符串。在这种情况下,在上面的设置中添加了抗锯齿和亚像素渲染设置。

同时应该理解,使用 Canvas 作为确定设备的单独信息源是无效的。由于为生成令牌而聚合的信息仅通过 User-Agent 字符串传输,这提供了低识别精度。

此外,基于 Canvas 的指纹的整个机制完全依赖于浏览器对 JavaScript 的支持。它在其中编写了按需加载和渲染图形基元所需的脚本。如果浏览器不支持JS或者禁用脚本执行,跟踪系统将无法获取数据生成token值。

此外,没有任何站点跟踪和安全系统仅依赖于 Canvas 信息。我们上面提到了这种识别方法的效率在90%的水平。但如此高的指标只有在实验室条件下才能实现。在实践中?

Canvas 有多少可信度?

实际上,如果所有的反欺诈系统都只在“画布”的基础上进行识别,那么使用Undetectable这样的高质量反检测的需求将一劳永逸。

要获得无效的 Canvas 生成的令牌,用户只需要更改他们的浏览器,甚至升级到更新的版本。因此,这种机制只是获取指纹技术的次要部分。

这种数字身份识别方法的现场测试也[证明](https://multilog.in/ru/the-great-myth-of-canvas-fingerprinting-part-i/)其有效性低。为了检查基于 Canvas 的指纹的准确性,该实验的作者使用了一百多台计算机。他们中的大多数人在 Windows 10 上工作。这使得为测试创造更严格的条件成为可能。但与此同时,计算机、平板电脑和笔记本电脑在技术填充方面却截然不同。首先,显卡的型号和特点,以及安装的驱动程序集。

实验结果的简要摘录:

  • 许多离散卡的令牌与带有集成显卡的计算机的 Canvas 令牌一致。
  • 连续测试的 15 台笔记本电脑具有相同的指纹。
  • 即使是来自不同制造商的计算机的数字打印也匹配。

例如,2018 年戴尔笔记本电脑与 2012 年惠普笔记本电脑具有相同的基于 Canvas 的指纹。

  • 六年内(2012 年至 2018 年)发布的所有 MacBook Pro 机型也有相同的代币。
  • Windows 上的平板电脑和笔记本电脑具有相似的指纹。

如您所见,很难实现基于 Canvas 的数字印刷品的独特性。因此,这种类型的指纹很容易通过验证。因为token的值与另一个用户的token匹配的概率非常高。包括由于具有 Internet 访问权限的移动和桌面设备数量不断增加。

也可以质疑存储基于 Canvas 的令牌的数据库的有效性。最有可能的是,大约 10-15% 的值被重复。所以在没有其他指纹参数的情况下使用这些数据库来识别用户是无效的。

所以值得担心吗?

基于上述事实,很明显 Canvas 是反欺诈系统的弱信号,因为它提供的识别准确度较低。

但是,在某些情况下,此参数的值可能是决定性的。因此,它存在于无法检测的指纹设置中。同时,antidetector 的用户可以将其关闭或选择“Noise”模式,其中 Canvas 值将随机生成。