Большой Миф о Браузерном Отпечатке Canvas. Часть 1.

Раз уж ты здесь, то, наверняка, тебе известно, что отпечатки Canvas помогают отслеживать пользователей. Давай разберемся, почему ты этому веришь. Может тебе попадалось на глаза какое-то исследование или ты самостоятельно собирал информацию? Или может где-то читал, слышал? Интересно же. Так вот сегодня мы развенчиваем миф о Canvas.

Действительно, если проанализировать тысячи различных устройств с разными операционными системами и браузерами, созданными за последние 25 лет, то мы получили бы много уникальных отпечатков Canvas. Это подтверждают несколько научных работ.

Но что произойдет, если мы проанализируем только популярные на данный момент устройства и ОС? Очень занимательно знать, что сайты могут легко отследить кого-то, просматривающего Интернет с бабушкиного компьютера 15-летней давности с Windows 95 и Internet Explorer 5.0. Но отвечает ли это на вопрос, насколько уникален отпечаток вашего Dell XPS с Windows 10 и Chrome 73?

Эксперимент

Анализ всех отпечатков, используемых сайтами, занял бы у нас несколько месяцев. Поэтому мы решили ограничиться исследованием самого спорного и неправильно понятного из них — Canvas.

В сотрудничестве с местным компьютерным магазином, который продает новые и б/у компьютеры, мы получили доступ к сотням машин с разной комплектацией. Для тестирования мы выбирали только машины с различными графическими адаптерами и драйверами. В большинстве случаев тесты проходили на Windows 10 с последней версией браузера Chrome.

Итак, после тестирования более ста совершенно разных машин, мы обнаружили, что большинство из них имеют идентичный отпечаток Canvas.

Вот несколько интересных моментов из нашего исследования:

  • DellXPS 2018 года имел тот же отпечаток Canvas, что и ноутбук HP 2012 года.
  • Все MacBook Pro с 2011 по 2018 год имели одинаковый отпечаток на Chrome 73 с уникальностью 100,00% в соответствии с browserleaks.com (Примечание: Chrome 73 только что вышел в момент исследования)
  • Планшетный ПК на Windows имел такой же отпечаток, как и многие ноутбуки
  • 17 ноутбуков, протестированных подряд, имели одинаковый отпечаток
  • Многие дискретные видеокарты показывали тот же отпечаток Canvas, что и встроенные графические адаптеры.

Что все это значит?

Вывод, который мы сделали заключается в том, что смешаться с толпой гораздо легче чем мы думали. Если вы используете не очень старый ноутбук с популярной моделью графического процессора, Windows 10 и одной из последних версий распространенных браузеров, таких как Chrome или Firefox, то этого уже достаточно. Та же ситуация с пользователями устройств Apple. Вам не требуется дополнительная маскировка отпечатка Canvas, поскольку сам отпечаток не добавляет особой уникальности вашему общему цифровому отпечатку.

Учитывая такие результаты, мы решили изменить режим маскировки Canvas отпечатка в Multilogin. Теперь по умолчанию защита отключена. То же самое мы сделали для AudioContext, так как этот отпечаток добавляет еще меньше уникальности, чем Canvas согласно последним научным исследованиям.

Однако, мы не меняли значение по умолчанию для защиты отпечатка WebGL Image, поскольку у нас пока недостаточно данных.

Мы не встречали популярных сайтов, которые бы использовал отпечаток WebGL Image для идентификации пользователя. Возможно, потому что этот отпечаток не так стабилен, как AudioContext или Canvas.

Другая возможная причина заключается в том, что рендеринг WebGL Image требует значительных ресурсов и иногда  даже не может быть завершен в течение короткого сеанса.

Однако, когда дело доходит до метаданных WebGL, некоторые популярные сайты действительно считывают информацию и могут ее использовать как часть цифрового отпечатка пользователя. Поэтому пока что мы рекомендуем оставить маскировку WebGL включенной. В скором времени мы планируем добавить возможность раздельного включения и отключения защиты WebGL Image и Metadata.

Если наше дальнейшее исследование выявит какую-либо информацию, которая может повлиять на настройку значений по умолчанию для отпечатков WebGL, мы напишем об этом в нашем блоге.

Теперь о главном

Раз уже отпечаток Canvas не представляет значительной угрозы, если работать с распространенными моделями и ПО, то как узнать эти модели? Именно о моделях компьютеров мы расскажем во второй части обсуждения мифов о Canvas. Следите за обновлениями!