Отпечаток Canvas: правда и мифы
5 АПРЕЛЯ 2019 | БРАУЗЕРНЫЕ ОТПЕЧАТКИ
Наверное, вам знакомы рассказы о том, как сайты используют отпечаток Canvas для отслеживания пользователей. Но так ли это на самом деле? Возможно, вы уже читали исследования на эту тему, проводили собственные эксперименты или слышали что-то от друзей. Мы готовы развенчать все мифы прямо сейчас.
Конечно, если проанализировать тысячи устройств с разными операционными системами и браузерами, созданными за последние 25 лет, мы получим множество уникальных Canvas-отпечатков. Это подтверждают несколько научных исследований.
А что если мы возьмём только те системы, которые популярны сейчас? Безусловно, сайты могут легко отследить пользователя, который использует бабушкин компьютер старше 15 лет с Windows 95 и Internet Explorer 5.0. Но насколько уникален современный Dell XPS с Windows 10 и Chrome 73?
Наш эксперимент
Чтобы не тратить несколько месяцев на анализ всех актуальных сейчас отпечатков, мы решили провести исследование только самого спорного из них — отпечатка Canvas.
Благодаря сотрудничеству с местным магазином компьютерной техники, мы получили доступ к сотням новых и б/у устройств. Среди них мы выбрали компьютеры с разными графическими адаптерами и драйверами, а в качестве ОС мы проверяли Windows 10 и последнюю версию Chrome.
Интересный факт: мы протестировали более ста абсолютно разных устройств и у большинства из них был одинаковый Canvas-отпечаток.
Вот основные выводы нашего исследования:
У ноутбуков Dell XPS 2018 года и HP 2012 года был одинаковый отпечаток Canvas.
Согласно browserleaks.com у всех MacBook Pro с 2011 по 2018 год был одинаковый отпечаток Canvas в Chrome 73 с уникальностью 100% (на момент проведения исследования Chrome 73 был последним ядром).
У планшета Windows был такой же Canvas-отпечаток, как и у многих ноутбуков.
Мы протестировали 17 ноутбуков подряд, и у них у всех был одинаковый Canvas-отпечаток.
Многие дискретные видеоадаптеры генерировали такой же Canvas-отпечаток, как и встроенные графические адаптеры.
Что значат эти результаты?
Вот наш главный вывод: смешаться с толпой на самом деле очень просто. Всё, что вам нужно, — выпущенное не так давно устройство с популярной моделью GPU, Windows 10 и одной из последних версий Chrome или Firefox. Это также относится к устройствам Apple. Вам не нужно дополнительно маскировать отпечаток Canvas, ведь, как оказалось, он недостаточно уникален, чтобы повлиять на конечный результат.
Вот почему в Multilogin маскировка Canvas отключена по умолчанию. Это же коснулось и AudioContext: по последним данным, его уникальность ещё ниже.
В то же время мы не изменили выставленное по умолчанию значение маскировки WebGL Image. Дело в том, что пока мы не знаем о сайтах, которые бы использовали этот отпечаток для идентификации пользователей. Тут могут быть две причины. Во-первых, отпечаток WebGL не такой постоянный, как AudioContext или Canvas. А во-вторых, создание изображения WebGL требует слишком много ресурсов и иногда не может быть завершено в рамках короткой сессии.
Стоит упомянуть и метаданные WebGL: сайты действительно анализируют их как часть цифрового отпечатка пользователя. Пока мы рекомендуем включать маскировку WebGL, а скоро мы добавим возможность отдельного управления этим параметром. Мы постоянно проводим исследования и сообщим вам, как только появятся новые данные.