IRCNF
Privacy & Data

فینگرپرینتینگ مرورگر بدون کوکی هم کاربر را شناسایی می‌کند؛ رگولاتورها هنوز عقب هستند

اشتراک‌گذاری:
فینگرپرینتینگ مرورگر بدون کوکی هم کاربر را شناسایی می‌کند؛ رگولاتورها هنوز عقب هستند

قوانین GDPR اروپا و CCPA کالیفرنیا عمدتاً برای کوکی‌ها نوشته شده‌اند. هر دو برای ردیابی نیاز به رضایت کاربر دارند، حق حذف اطلاعات می‌دهند و جریمه‌های سنگین وضع می‌کنند. زیرساخت انطباق با این قوانین – بنرهای کوکی، پلتفرم‌های مدیریت رضایت، مکانیزم‌های انصراف – چارچوبی قابل مشاهده برای ردیابی مبتنی بر کوکی ایجاد کرده، هرچند کامل نیست.

فینگرپرینتینگ مرورگر تقریباً خارج از این چارچوب عمل می‌کند. هیچ چیزی روی دستگاه کاربر ذخیره نمی‌کند. کوکی‌ای برای حذف یا فایلی برای پاک کردن وجود ندارد. حالت مرور خصوصی کمکی نمی‌کند. مسدود کردن کوکی‌های شخص ثالث هم تأثیری ندارد. داده‌هایی که برای ساخت فینگرپرینت استفاده می‌شوند، ذاتی خود مرورگر هستند – ترکیبی از نسخه مرورگر، سیستم‌عامل، فونت‌های نصب‌شده، سخت‌افزار گرافیک، رزولوشن صفحه، منطقه زمانی، تنظیمات زبان و ده‌ها ویژگی دیگر که از طریق APIهای استاندارد JavaScript قابل خواندن است. هر ویژگی به‌تنهایی معمولی است. اما ترکیب آنها اغلب آنقدر منحصربه‌فرد است که کاربر را در جلسات مختلف و بین سایت‌های گوناگون شناسایی می‌کند، بدون اینکه هیچ شناسه پایداری روی دستگاه ذخیره شده باشد.

کارکرد فینگرپرینتینگ در عمل

تکنیک اصلی به این واقعیت متکی است که APIهای JavaScript که برای توسعه وب طراحی شده‌اند، مشخصات سخت‌افزاری و نرم‌افزاری منحصربه‌فردی را هم افشا می‌کنند. شیء navigator نسخه مرورگر، پلتفرم و لیست افزونه‌ها را برمی‌گرداند. Canvas Fingerprinting یک تصویر مخفی با Canvas API رندر می‌کند و خروجی را هش می‌کند – چون درایورهای گرافیکی مختلف تصویر یکسان را با تفاوت‌های ظریف در سطح پیکسل رندر می‌کنند، هش به عنوان شناسه سخت‌افزار عمل می‌کند. WebGL Fingerprinting همین کار را از طریق رندر سه‌بعدی انجام می‌دهد. AudioContext Fingerprinting یک صدای مصنوعی تولید و خروجی پردازش‌شده را هش می‌کند که بسته به سخت‌افزار صدا و استک صوتی سیستم‌عامل متفاوت است.

یک فینگرپرینت جامع ۳۰ تا ۵۰ ویژگی از این دست را ترکیب می‌کند. تحقیقات پروژه Panopticlick بنیاد EFF نشان داد که با شمارش کامل فونت‌ها، بیش از ۹۹٪ مرورگرها به‌طور منحصربه‌فرد قابل شناسایی هستند. FingerprintJS ادعای دقت بالای ۹۹٫۵٪ با اجرای کامل JavaScript را دارد. حتی با نویز اضافه‌شده توسط مرورگرهای حریم‌خصوصی‌محور، یک فینگرپرینت با ویژگی‌های کافی می‌تواند کاربر بازگشتی را با اطمینان بالا شناسایی کند – اغلب مطمئن‌تر از کوکی، چون کوکی قابل حذف است اما مشخصات مرورگر معمولاً تا به‌روزرسانی نرم‌افزاری پایدار می‌مانند.

چرا رگولاتورها هنوز عقب هستند

تعریف داده‌های شخصی در GDPR هر اطلاعاتی که بتواند شخصی را شناسایی کند شامل می‌شود. فینگرپرینت مرورگر به‌وضوح در این دسته قرار می‌گیرد. ICO بریتانیا و CNIL فرانسه هر دو راهنمایی منتشر کرده‌اند که فینگرپرینتینگ مرورگر مشمول الزامات رضایت GDPR است. CNIL در سال ۲۰۲۲ شرکت تحلیل فرانسوی Eulerian Technologies را تا حدی به خاطر فینگرپرینتینگ بدون رضایت، ۲۰۰٬۰۰۰ یورو جریمه کرد. اما در مقایسه با اقدامات اجرایی مربوط به رضایت کوکی، موارد فینگرپرینتینگ نادر است.

چند عامل این شکاف را توضیح می‌دهد. اول، ظرفیت اجرای قانون محدود است و تخلفات کوکی راحت‌تر تشخیص و گزارش می‌شوند – کاربران بنر را می‌بینند. فینگرپرینتینگ نامرئی است و اجرا نیاز به بررسی فنی دارد که اکثر شاکیان نمی‌توانند انجام دهند. دوم، تمایز قانونی بین فینگرپرینتینگ برای جلوگیری از تقلب و ردیابی رفتاری واقعاً مبهم است. کوکی‌های ضروری از الزام رضایت معاف هستند و بسیاری از شرکت‌ها استدلال می‌کنند که فینگرپرینتینگ برای تشخیص بات یا امنیت مشمول معافیت مشابهی است. سوم، اکثر ناشران فینگرپرینتینگ را از طریق اسکریپت‌های شخص ثالث جاسازی‌شده پیاده‌سازی می‌کنند – ارائه‌دهندگان تحلیل، شبکه‌های تبلیغاتی – که ممکن است ناشر دقیقاً نداند آن اسکریپت‌ها چه داده‌ای جمع‌آوری می‌کنند. مسئولیت پراکنده است و اجرا علیه یک طرف خاص را پیچیده می‌کند.

فینگرپرینتینگ واقعاً کجا دیده می‌شود

فینگرپرینتینگ عمدتاً حوزه سایت‌های آشکارا مخرب نیست. محصول تجاری FingerprintJS توسط بانک‌های بزرگ، خطوط هوایی و پلتفرم‌های تجارت الکترونیک برای پیشگیری از تقلب و امنیت جلسه استفاده می‌شود – کاربردهای مشروعی که شناسایی کاربر بازگشتی از تصاحب حساب جلوگیری می‌کند. همان API همچنین توسط شبکه‌های تبلیغاتی برای ردیابی بین‌سایتی بدون رضایت و بازسازی پروفایل کاربر پس از حذف کوکی استفاده می‌شود.

اسکریپت‌های همگام‌سازی کوکی لایه دیگری اضافه می‌کنند. یک ناشر ممکن است کوکی‌های شخص ثالث را در سایت خود مسدود کند اما اسکریپتی را میزبانی کند که فینگرپرینت مرورگر را با شناسه‌های کوکی شبکه تبلیغاتی برای ردیابی دامنه‌های مختلف همگام می‌کند. نتیجه این است که مسدود کردن کوکی کمتر از آنچه کاربران انتظار دارند تأثیر دارد، چون فینگرپرینت همان شناسه پایداری را فراهم می‌کند که قبلاً کوکی می‌داد.

مقابله در سطح مرورگر و محدودیت‌های آن

مرورگرها محافظت‌هایی در برابر فینگرپرینتینگ اضافه کرده‌اند، اما جزئی هستند. Intelligent Tracking Prevention سافاری دسترسی به برخی APIهای شخص ثالث را محدود می‌کند. محافظت پیشرفته فینگرپرینتینگ فایرفاکس به نتایج Canvas و WebGL نویز اضافه می‌کند – به‌اندازه‌ای که اسکریپت‌های ساده فینگرپرینتینگ را خنثی می‌کند اما نه سیستم‌های پیشرفته‌ای که ویژگی‌های کافی اضافی جمع‌آوری می‌کنند. رویکرد Privacy Sandbox کروم به کوکی‌های شخص ثالث می‌پردازد اما ردیابی مبتنی بر فینگرپرینت را از بین نمی‌برد.

مرورگر Tor کامل‌ترین محافظت را با همگن‌سازی عمدی ویژگی‌های فینگرپرینت ارائه می‌دهد: رزولوشن صفحه گرد می‌شود، شمارش فونت مسدود می‌شود، نتایج Canvas به‌ازای هر سایت تصادفی می‌شود. بهای آن کاهش قابل توجه قابلیت استفاده و پرچم‌گذاری توسط سیستم‌های تشخیص بات است. برای کاربرانی که محافظت معنادار بدون اصطکاک Tor می‌خواهند، فایرفاکس با محافظت سخت‌گیرانه فینگرپرینتینگ به همراه uBlock Origin در حالت پیشرفته، یا مرورگر Brave با تصادفی‌سازی داخلی فینگرپرینت، بهترین ترکیب موجود را ارائه می‌دهند. هیچ تنظیماتی نمی‌تواند از تمام فینگرپرینتینگ توسط یک ردیاب مصمم جلوگیری کند.

مسیر نظارتی

حرکت اجرایی معنادار از طریق موارد اختصاصی فینگرپرینتینگ اتفاق نمی‌افتد، بلکه از طریق کمپین‌های گسترده اجرایی ردیابی بدون کوکی است. CNIL فرانسه در سال ۲۰۲۵ اقدامات هماهنگی علیه فینگرپرینتینگ و ردیابی مبتنی بر پیکسل در کنار کوکی‌ها انجام داد و آنها را یک استراتژی فرار هماهنگ تلقی کرد. DSK آلمان راهنمایی صادر کرده که قوانین ePrivacy برای هر مکانیزم ردیابی که ویژگی‌های دستگاه را می‌خواند اعمال می‌شود – از جمله فینگرپرینت‌های حاصل از ویژگی‌های مرورگر.

اگر این تفسیر در سراسر کشورهای عضو اتحادیه اروپا یکسان شود، فینگرپرینتینگ با همان بار رضایت کوکی مواجه می‌شود – نیاز به انصراف صریح برای استفاده‌های ردیابی رفتاری. صنعت تبلیغات از نزدیک نظاره می‌کند: فینگرپرینتینگ به‌طور فزاینده‌ای به عنوان پشتیبان ردیابی رفتاری بین‌سایتی در حالی که کوکی‌های شخص ثالث در کروم به پایان می‌رسند، عمل می‌کند. از دست دادن آن به دلیل اجرای GDPR مستلزم بازسازی زیرساخت تبلیغات رفتاری بر اساس شناسه‌های مبتنی بر رضایت واقعی است، نه صرفاً تعویض یک شناسه پایدار با دیگری.

شکاف بین آنچه فینگرپرینتینگ مرورگر می‌تواند انجام دهد و آنچه مقررات در حال حاضر محدود می‌کند هنوز زیاد است – اما از طریق اجرای هماهنگ، راهنمایی نظارتی شفاف‌تر و بستن تدریجی APIهایی که قابل اعتمادترین فینگرپرینت‌ها را ممکن می‌سازند، در حال کاهش است. کاربرانی که اکنون به دنبال محافظت هستند، گزینه‌های بهتری نسبت به دو سال پیش دارند. کاربرانی که منتظر حل مشکل توسط مقررات هستند، احتمالاً بیشتر از آنچه انتظار دارند صبر می‌کنند.

privacygdprbrowser fingerprintingcookiestrackingsurveillance
اشتراک‌گذاری:
فینگرپرینتینگ مرورگر بدون کوکی هم کاربر را شناسایی می‌کند؛ رگولاتورها هنوز عقب هستند | IRCNF - Intelligent Reliable Custom Next-gen Frameworks