لقد حظرت ملفات تعريف الارتباط. ولكن لا تزال تتم متابعتك — شرح بصمة المتصفح

أصبحت لافتة الموافقة على ملفات تعريف الارتباط النمط المحدد لواجهة المستخدم للويب الحديث بعد تطبيق اللائحة العامة لحماية البيانات (GDPR) في عام 2018. انقر فوق "رفض الكل"، واشعر بالرضا، وتابع. ما لا يعرفه معظم المستخدمين هو أن صناعة الإعلانات والتحليلات قد انتقلت بالفعل إلى تقنية أخرى — البصمة، وهي أسلوب تتبع لا يستخدم ملفات تعريف الارتباط، ولا يخزن أي شيء على جهازك، ولا يتطلب موافقة بموجب معظم الأطر القانونية الحالية.

ما هي بصمة المتصفح فعليًا

يكشف كل متصفح قدرًا هائلاً من المعلومات عن نفسه وعن الجهاز الذي يعمل عليه — ليس من خلال أي ثغرة أمنية، ولكن من خلال التشغيل الطبيعي لمعايير الويب. يبلغ متصفحك عن سلسلة user agent الخاصة به (اسم المتصفح، الإصدار، نظام التشغيل)، والخطوط المثبتة على نظامك، ودقة الشاشة وعمق الألوان، والمنطقة الزمنية، والإضافات والملحقات المثبتة، وكيفية عرض وحدة معالجة الرسومات (GPU) لعمليات رسومية محددة (بصمة Canvas)، وكيفية معالجة أجهزة الصوت لأشكال موجية محددة (بصمة الصوت)، وعشرات السمات الأخرى.

لا توجد سمة واحدة تحدد هويتك بشكل فريد. لكن مجتمعة، تشكل بصمة فريدة إحصائيًا في جزء كبير من الحالات. وجد بحث مشروع Panopticlick التابع لمؤسسة الحدود الإلكترونية (EFF) أن الجمع بين المتصفح ونظام التشغيل ودقة الشاشة والمنطقة الزمنية والإضافات المثبتة جعل 83.6% من المتصفحات قابلة للتحديد بشكل فريد. تستخدم أنظمة البصمة الحديثة 50-100+ سمة وتحقق معدلات تفرد أعلى بكثير.

Canvas وWebGL: أقوى الإشارات

تستغل بصمة Canvas حقيقة أن المجموعات المختلفة من GPU والبرنامج المشغل (driver) ونظام التشغيل وعرض الخطوط تنتج مخرجات بيكسل مختلفة قليلاً عند رسم نفس الشكل أو النص. يقوم برنامج البصمة النصي برسم نصوص وأشكال غير مرئية على عنصر Canvas HTML5، ويقرأ قيم البيكسل مرة أخرى، ويقوم بتجزئة (hashing) النتيجة. هذا التجزئة مستقر عبر الجلسات — لا يتغير عند مسح ملفات تعريف الارتباط، أو استخدام التصفح الخاص، أو إعادة تشغيل المتصفح — وهو فريد للغاية لأن خطوط أنابيب عرض GPU تختلف على مستوى الأجهزة والبرامج المشغلة.

تمدد بصمة WebGL هذا إلى العرض ثلاثي الأبعاد: تستعلم البرامج النصية عن سلسلة عرض GPU المحددة (مثل "ANGLE (Intel, Intel(R) UHD Graphics 620 Direct3D11 vs_5_0 ps_5_0)")، وتعرض مشاهد WebGL، وتقرأ framebuffer الناتجة. الجمع بين مورد GPU والطراز وإصدار البرنامج المشغل ومخرجات العرض يضيق نطاق البصمة أكثر.

لماذا هي قانونية (في الوقت الحالي)

تعرف كل من GDPR وCCPA "البيانات الشخصية" بأنها معلومات يمكنها تحديد هوية شخص طبيعي. لا تحدد البصمة شخصًا بشكل مباشر — إنها تحدد مجموعة متصفح/جهاز. السؤال القانوني هو ما إذا كان يمكن ربط البصمة، مع بيانات أخرى، بشخص طبيعي، مما يضعها ضمن نطاق GDPR. وقد صرح فريق العمل المقال 29 (الآن مجلس حماية البيانات الأوروبي) بأن البصمة تشكل على الأرجح معالجة للبيانات الشخصية بموجب اللائحة العامة لحماية البيانات. لكن التنفيذ كان محدودًا — فقد انشغلت الهيئات التنظيمية بانتهاكات أكثر وضوحًا، والبصمة معقدة تقنيًا لتدقيقها في إجراءات التنفيذ.

الخطر القانوني الناشئ هو بموجب المادة 25 من اللائحة العامة لحماية البيانات (حماية البيانات حسب التصميم) وتحت التطبيقات الوطنية التي بدأت في اعتبار البصمة تتطلب موافقة. حكمت CNIL الفرنسية صراحة في عام 2020 بأن البصمة تتطلب موافقة. اتخذت سلطات حماية البيانات الألمانية مواقف مماثلة. لكن التنفيذ والتطبيق يتخلفان عن التكنولوجيا.

ما يقلل البصمة فعليًا

هنا تكون الصورة أكثر دقة من "لا شيء يعمل". العديد من الأساليب لها تأثير حقيقي:

متصفح Tor يقوم بتطبيع البصمة عن عمد — يجعل كل مستخدم Tor يبلغ عن نفس السمات، مما يلغي التفرد. التكلفة كبيرة: أداء JavaScript ينخفض، والعديد من المواقع تتعطل، وتجربة التصبح تتدهور بشكل ملحوظ. لكنه الأسلوب الوحيد الذي يعالج البصمة بشكل شامل على مستوى البروتوكول.

حماية البصمة في فايرفوكس (مفعلة في الوضع الصارم عبر Enhanced Tracking Protection) تطبق عشوائية البصمة — تدخل تشويشًا محكومًا في Canvas وWebGL وواجهات برمجة التطبيقات عالية الإنتروبيا الأخرى، مما يجعل البصمة غير مستقرة عبر الجلسات. هذا لا يجعلك غير قابل للتتبع لكنه يكسر الاستقرار الذي يجعل البصمة مفيدة للتتبع عبر الجلسات.

متصفح Brave يستخدم نهج عشوائية مماثل، مع خطوة إضافية لحظر البرامج النصية المعروفة للبصمة. وجدت الأبحاث المستقلة أن حماية البصمة في Brave من بين الأكثر فعالية في المتصفحات السائدة.

حظر JavaScript يزيل بصمة Canvas وWebGL لكنه يكسر بشكل أساسي كل موقع ويب حديث.

الموقف الواقعي لمعظم المستخدمين: متصفح سائد مع تفعيل حماية البصمة (الوضع الصارم في فايرفوكس أو Brave) يقلل بشكل كبير من فعالية البصمة دون الحاجة إلى احتكاك على مستوى متصفح Tor. لن يجعلك غير مرئي للمتتبعين المصممين، لكنه يرفع تكلفة الارتباط عبر الجلسات بما يكفي ليكون مهمًا للتتبع على مستوى الإعلانات.