Отпечаток Canvas: правда и мифы

Наверное, вам знакомы рассказы о том, как сайты используют отпечаток Canvas для отслеживания пользователей. Но так ли это на самом деле? Возможно, вы уже читали исследования на эту тему, проводили собственные эксперименты или слышали что-то от друзей. Мы готовы развенчать все мифы прямо сейчас.

Конечно, если проанализировать тысячи устройств с разными операционными системами и браузерами, созданными за последние 25 лет, мы получим множество уникальных Canvas-отпечатков. Это подтверждают несколько научных исследований.

А что если мы возьмём только те системы, которые популярны сейчас? Безусловно, сайты могут легко отследить пользователя, который использует бабушкин компьютер старше 15 лет с Windows 95 и Internet Explorer 5.0. Но насколько уникален современный Dell XPS с Windows 10 и Chrome 73?

Наш эксперимент

Чтобы не тратить несколько месяцев на анализ всех актуальных сейчас отпечатков, мы решили провести исследование только самого спорного из них — отпечатка Canvas.

Благодаря сотрудничеству с местным магазином компьютерной техники, мы получили доступ к сотням новых и б/у устройств. Среди них мы выбрали компьютеры с разными графическими адаптерами и драйверами, а в качестве ОС мы проверяли Windows 10 и последнюю версию Chrome.

Интересный факт: мы протестировали более ста абсолютно разных устройств и у большинства из них был одинаковый Canvas-отпечаток.

Вот основные выводы нашего исследования:

• У ноутбуков Dell XPS 2018 года и HP 2012 года был одинаковый отпечаток Canvas.

• Согласно browserleaks.com у всех MacBook Pro с 2011 по 2018 год был одинаковый отпечаток Canvas в Chrome 73 с уникальностью 100% (на момент проведения исследования Chrome 73 был последним ядром).

• У планшета Windows был такой же Canvas-отпечаток, как и у многих ноутбуков.

• Мы протестировали 17 ноутбуков подряд, и у них у всех был одинаковый Canvas-отпечаток.

• Многие дискретные видеоадаптеры генерировали такой же Canvas-отпечаток, как и встроенные графические адаптеры.

Что значат эти результаты?

Вот наш главный вывод: смешаться с толпой на самом деле очень просто. Всё, что вам нужно, — выпущенное не так давно устройство с популярной моделью GPU, Windows 10 и одной из последних версий Chrome или Firefox. Это также относится к устройствам Apple. Вам не нужно дополнительно маскировать отпечаток Canvas, ведь, как оказалось, он недостаточно уникален, чтобы повлиять на конечный результат.

Вот почему в Multilogin маскировка Canvas отключена по умолчанию. Это же коснулось и AudioContext: по последним данным, его уникальность ещё ниже.

В то же время мы не изменили выставленное по умолчанию значение маскировки WebGL Image. Дело в том, что пока мы не знаем о сайтах, которые бы использовали этот отпечаток для идентификации пользователей. Тут могут быть две причины. Во-первых, отпечаток WebGL не такой постоянный, как AudioContext или Canvas. А во-вторых, создание изображения WebGL требует слишком много ресурсов и иногда не может быть завершено в рамках короткой сессии.

Стоит упомянуть и метаданные WebGL: сайты действительно анализируют их как часть цифрового отпечатка пользователя. Пока мы рекомендуем включать маскировку WebGL, а скоро мы добавим возможность отдельного управления этим параметром. Мы постоянно проводим исследования и сообщим вам, как только появятся новые данные.