CreepJS: كيف يتعرف عليك اختبار بصمة المتصفح

افتح صفحة ويب عادية، وقبل أن تنقر على أي شيء، ستتمكن من التعرف على متصفحك من بين ملايين المتصفحات. لا حاجة لتسجيل الدخول، ولا ملفات تعريف الارتباط، ولا حتى طلب إذن. امسح سجل التصفح، واستخدم وضع التصفح المتخفي، ووجّه كل شيء عبر شبكة VPN، وستظل الصفحة قادرة على التعرف عليك في كثير من الأحيان. لا يعتمد الأمر على عنوانك، بل على آلاف الخصائص الدقيقة التي يوفرها متصفحك تلقائيًا. CreepJS هي الأداة التي تثبت مدى انكشافك، وبمجرد أن تشاهدها تعمل، ستفقد شعورك بالخصوصية التامة على الإنترنت. يشرح هذا الدليل ماهية CreepJS، وكيف يتعرف عليك، وكيفية التصدي لتآكل خصوصية المتصفح، ولماذا يجب على كل من يدير أكثر من حساب عملات رقمية الاهتمام بهذا الأمر.

ما هي بصمة المتصفح؟

بصمة المتصفح هي عملية تعريف بدون علامة. فبدلاً من وضع ملف تعريف ارتباط على جهازك وقراءته لاحقًا، يقوم برنامج نصي بجمع عشرات التفاصيل التي يكشفها متصفحك بمجرد تحميل صفحة، ثم يدمجها في قيمة واحدة غالبًا ما تكون فريدة لك. دقة شاشتك، والخطوط المثبتة، ومنطقتك الزمنية، وسلسلة وكيل المستخدم ، والطريقة الدقيقة التي ترسم بها بطاقة الرسومات لديك الصورة، كل منها يبدو عاديًا بحد ذاته، ولكن عند تجميعها معًا، فإنها تصف متصفحًا واحدًا ولا تصف أي متصفح آخر تقريبًا.

ما مدى فرادة هذا المزيج؟ في دراسة رائدة أجرتها مؤسسة EFF ، وجد بيتر إيكرسلي أن 83.6% من المتصفحات كانت فريدة بين الزوار الذين اختبروا أنفسهم، وارتفعت هذه النسبة إلى 94.2% عند تضمين تفاصيل الإضافات، حيث تحمل بصمة المتصفح حوالي 18.1 بت من المعلومات التعريفية. وفي دراسة لاحقة أجريت عام 2018 على مليوني زائر لموقع إلكتروني شهير، انخفضت نسبة التفرد في الواقع العملي إلى حوالي 33.6%، لأن المستخدمين العاديين يميلون إلى استخدام إعدادات مشتركة. والحقيقة تقع بين هاتين النسبتين، وفي كلتا الحالتين، كلما كان متصفحك أكثر تميزًا، كلما كشفت بصمته الفريدة عن هويتك بشكل أكبر.

هذه التقنية أكثر شيوعًا مما يدركه معظم الناس. فقد كشف مسح أجرته جامعة برينستون لأكثر مليون موقع إلكتروني استخدام تقنية بصمة المتصفح (Canvas Fingerprinting) في حوالي 1.6% منها، لتتجاوز 5% في المواقع الأكثر شعبية، وتشير قياسات لاحقة إلى أنها ستصل إلى حوالي 10% في أفضل مئة ألف موقع بحلول عام 2021. كما أن تأثيرها غير متساوٍ، إذ وجدت دراسة أجرتها شركة AmIUnique أن حوالي 90% من متصفحات سطح المكتب فريدة من نوعها، مقابل حوالي 81% على الهواتف المحمولة، حيث تميل الأجهزة إلى أن تكون أكثر تجانسًا. وبطريقة أو بأخرى، تنتشر تقنية بصمة المتصفح (Canvas Fingerprinting) بهدوء في جزء كبير من الصفحات التي تزورها بالفعل.

ما هو CreepJS ومن قام بتطويره؟

CreepJS ليس برنامج تتبع يسعى لبيع بياناتك؛ بل هو مكتبة مفتوحة المصدر لتحليل بصمات المتصفح، أنشأها المطور أبراهام جوليوت لإظهار مدى هشاشة معظم وسائل حماية الخصوصية وكيفية عمل تحليل بصمات المتصفح عمليًا. ما عليك سوى توجيه متصفحك إلى العرض التوضيحي المباشر، وسيجري البرنامج اختباراته، ثم يقدم لك تقريرًا يوضح مدى سهولة تحديد هوية متصفحك ومدى مصداقيته.

يُتاح المشروع على منصة GitHub بموجب ترخيص MIT المتساهل، ويحظى بحوالي 2400 نجمة، ويضم أكثر من عشرين فئة من الاختبارات في صفحة واحدة. يُفهم المشروع على أنه معيار بحثي أكثر منه أداة فعّالة لحجب برامج الروبوت، وهو المقياس الذي يستخدمه باحثو الخصوصية ومطورو برامج مكافحة الكشف لتقييم عملهم. إذا لم يتمكن نظامك الخفي من الصمود أمام CreepJS، فلن يصمد أمام خدمة بصمة رقمية تجارية جادة أيضًا، وهذا تحديدًا ما جعل هذه الأداة بمثابة الاختبار غير الرسمي الذي يستعد له الجميع.

يتميز التقرير الذي يُصدره هذا البرنامج بتفاصيله الدقيقة غير المعتادة بالنسبة لأداة مجانية. فإلى جانب مؤشر الثقة الرئيسي، يُدرج البرنامج جميع الإشارات التي تم قياسها، ويُحدد الإشارات التي تبدو مُتلاعبًا بها، ويُبين مدى ثبات بصمة جهازك عند إعادة تحميل الصفحة. ولذلك، يلجأ إليه المطورون أولًا عندما يرغبون في معرفة ما إذا كان تعديل الخصوصية قد أحدث تغييرًا فعليًا أم أنه مجرد وهم.

كيف يعمل CreepJS من الداخل

معظم برامج فحص بصمات المتصفح تكتفي بقراءة إعداداتك. أما CreepJS فيتجاوز ذلك، إذ يُجبر متصفحك على القيام بمهام حقيقية، مثل رسم صورة، وعرض ثلاثي الأبعاد، وتحليل الصوت المُولّد، وتشغيل مؤقتات، ثم يدرس كيفية أداء جهازك لكل مهمة. إن تزييف كيفية الأداء أصعب بكثير من تزييف ماهية المهمة، ومن هنا اكتسب CreepJS شهرته.

الإشارات التي يجمعها CreepJS

تستقي الأداة بياناتها من مصادر متنوعة، وكل سمة من سمات المتصفح هذه تكشف معلومات مختلفة قليلاً عن جهازك. يوضح الجدول أدناه أهم هذه السمات وما تكشفه.

يقرأ البرنامج النصي معظم هذه البيانات باستخدام جافا سكريبت العادية وواجهات برمجة تطبيقات المتصفح، بما في ذلك الإضافات التي يُبلغ عنها متصفحك. ثم يُشغّل CreepJS نفس عمليات التحقق داخل عمال الويب والإطارات المخفية للتحقق من صحة النتائج، لأن المتصفح الذي تم التلاعب به غالبًا ما يُعطي إجابة في النافذة الرئيسية وإجابة مختلفة في مكان آخر.

درجة الثقة، والإنتروبيا، والأكاذيب

يقوم CreepJS بتحويل كل إشارة إلى قيمة تجزئة، وهي قيمة مضغوطة تمثل ملفك الشخصي بالكامل. وبناءً على ذلك، يُبلغ عن درجة ثقة، لا تعتمد على مدى ندرة وجودك بقدر ما تعتمد على مدى اتساق وتوقع مظهر متصفحك. يحصل الإعداد البسيط والمتناسق على تقييم جيد حتى لو كان شائعًا.

يكمن ذكاء CreepJS في كشف التناقضات. فهو يرصد "التناقضات"، تلك التناقضات الصغيرة التي تظهر عند التلاعب بالمتصفح، كأن يُظهر المتصفح نظام macOS بينما تُشير الخطوط والرسومات المُثبّتة بوضوح إلى نظام Windows. إن تزييف قيمة واحدة يُحدث تناقضًا في مكان آخر، وغالبًا ما يكون هذا التناقض أكثر وضوحًا من الإشارة الأصلية التي حاولت إخفاءها.

الأمر يتجاوز مجرد فحص التصنيفات. يقوم CreepJS أيضًا بحساب الوقت الذي تستغرقه عمليات معينة، ويفحص طريقة تقريب محرك جافا سكريبت للنتائج الرياضية، لأن إصدارات المحرك المختلفة تُقرّب العمليات الحسابية المثلثية بطرق مختلفة قليلاً، ولا يمكن لرقم إصدار مزيف أن يُغيّر طريقة حساب المحرك الحقيقي. بتكديس عدد كافٍ من هذه الفحوصات الخفية، يبدأ التمويه المُتقن في الظهور كزي تنكري.

ما يكشفه CreepJS عن المتصفحات بدون واجهة رسومية

هذا هو الجزء الذي يُثير قلق مُنشئي برامج استخراج البيانات والروبوتات. تُصبح أدوات أتمتة المتصفح العادية مُعرّضة للخطر فورًا، لأن جلسة Selenium أو Playwright الافتراضية تحمل مؤشرات واضحة، مثل ضبط علامة navigator.webdriver على "صحيح"، واستخدام وكيل مستخدم HeadlessChrome، وإشارات لا تتوافق مع ما يُظهره متصفح المستخدم الحقيقي. تُخفّف التصحيحات الخفية من هذه المؤشرات، لكنها نادرًا ما تُزيلها تمامًا.

تُظهر الاختبارات المستقلة التي أُجريت على برنامج CreepJS مدى اتساع الفجوة بين الروبوتات الخام والروبوتات المُصممة بعناية. وتأتي الأرقام أدناه من تقارير حول كشف الروبوتات، والتي استخدمت نفس اختبار البصمة الرقمية لكل أداة.

الدرس المستفاد لكل من يبني برنامجًا لاستخراج البيانات من مواقع الويب واضحٌ تمامًا. لا يكفي تعطيل خيار واحد، لأن CreepJS يتحقق من تماسك الملف التعريفي بأكمله، وغالبًا ما تُسجّل أداة أتمتة مُخفية جزئيًا على CreepJS نتائج أسوأ من الأداة النزيهة. الهدف ليس تجريد المتصفح من جميع البيانات حتى لا يُقدّم أي تقارير، لأن الملف التعريفي الفارغ بحد ذاته مثير للريبة، بل جعل جلسة بدون واجهة رسومية تُعرض وتتصرف وتُؤقت تمامًا مثل متصفح حقيقي على شاشة حقيقية، وهو أمرٌ أصعب بكثير من مجرد تغيير إعداد واحد إلى "خطأ".

التغلب على نظام كشف CreepJS لحسابات العملات المشفرة

هذه هي الزاوية التي نادراً ما أراها في شروحات CreepJS. تقوم منصات التداول ومنصات الإنزال الجوي بأخذ بصمات الزوار لنفس السبب الذي يدفع الكازينوهات لمراقبة قاعات التداول - لكشف شخص واحد يدير بهدوء العديد من الحسابات، ويمكن لبصمة مشتركة واحدة أن تربط مجموعة كاملة من المحافظ "المنفصلة" بجهاز واحد.

لماذا تقوم منصات التداول وعمليات الإنزال الجوي بتسجيل بياناتك الشخصية؟

المخاطر هنا حقيقية. عندما شنّ بروتوكول LayerZero حملةً لمكافحة عمليات توزيع العملات الرقمية غير المشروعة (Airdrop Sybil) في مايو 2024، صنّف 803,093 عنوانًا على أنها حسابات متعددة مشبوهة، وفي النهاية، تمّ استبعاد ما يقارب 59% من جميع المتقدمين. تُعدّ بصمات الأجهزة والمتصفحات من أقوى الأدوات التي تستخدمها المنصات لربط هذه الحسابات. يمكنك إنشاء محافظ جديدة في ثوانٍ، لكن بناء بصمة رقمية جديدة تمامًا أصعب بكثير.

ما الذي تفعله متصفحات مكافحة الكشف فعلياً

هنا يأتي دور متصفحات مكافحة الكشف ، وهي فئة تضم Multilogin وGoLogin وAdsPower و Dolphin Anty . فبدلاً من إخفاء بصمة المستخدم، تُنشئ هذه المتصفحات لكل ملف تعريف بصمةً كاملةً ومتسقةً داخليًا، بحيث يبدو كل حساب وكأنه لشخص عادي مختلف، وليس نفس الشخص متنكرًا. وقد ازداد الطلب عليها بشكلٍ كبير، حيث أفادت AdsPower وحدها بنمو عدد مستخدميها من حوالي 100,000 مستخدم في عام 2020 إلى ما يقارب 9 ملايين مستخدم في عام 2025. يكمن سر نجاحها في التناسق، إذ يتفوق ملف التعريف المتناسق تمامًا على الملف الذي تم تعديله بذكاء في ثلاثة مواضع ويتناقض في موضع رابع. في جوهرها، يحتوي كل ملف تعريف على مجموعة متطابقة من القيم. فوكيل المستخدم، وقائمة الخطوط، وسلسلة وحدة معالجة الرسومات، وحجم الشاشة، والمنطقة الزمنية، كلها تنتمي إلى نفس الجهاز المُفترض، وتقوم الأدوات الأفضل بتدويرها كوحدة واحدة بدلاً من تعديل حقل واحد على أمل أن تظل بقية البيانات متناسقة. مع ذلك، ثمة ملاحظة هامة يجب مراعاتها. إن بصمة الإصبع النظيفة تحمي خصوصية تسجيل الدخول الخاصة بك، لكنها لا تحل محل الحماية الذاتية وأمن العمليات الرصين، كما أن تشغيل العديد من الحسابات قد ينتهك شروط المنصة.

كيفية خفض درجة ثقة CreepJS الخاصة بك

إنّ وجود دليل عملي واضح أمر نادر أكثر مما تتصور، والقاعدة غير البديهية وراء ذلك هي أن المظهر العادي والمتناسق أفضل من المظهر المُزيّف. إليك ترتيب منطقي للعمل:

1. ابدأ بملف تعريف جهاز حقيقي وشائع وقاوم الرغبة في تزييف القيم الفردية جزئيًا، لأن كل عدم تطابق تقوم بإنشائه هو شيء يمكن لـ CreepJS أن يعتبره كذبة.

2. للحصول على إخفاء هوية تام، استخدم متصفح Tor ، الذي يقسم شاشتك إلى أحجام ثابتة من خلال تقنية التوسيع (Letterboxing) ويجعل كل جهاز يعمل بنظام Windows يعرض نفس نظام Windows وكل جهاز Mac يعرض نفس نظام macOS، بحيث تندمج مع الحشد.

3. لنأخذ متصفح Brave كمثال، حيث يضيف هذا المتصفح لمسة عشوائية صغيرة لكل جلسة إلى قراءات اللوحة والصوت بحيث تتغير القيم بين المواقع بدلاً من تشكيل معرف ثابت واحد.

4. تجنب الإضافات الغريبة والإعدادات غير المألوفة، لأن كل خيار غريب يزيد من فوضويتك ويجعلك أكثر تميزًا، وليس أقل.

5. بالنسبة للعمل متعدد الحسابات، اعتمد على متصفح مضاد للكشف مناسب مع ملف تعريف متماسك بدلاً من مجموعة من إضافات الخصوصية، ثم أعد الاختبار على العرض التوضيحي المباشر لـ CreepJS وشاهد الأكاذيب تُحسب، وليس فقط النتيجة الرئيسية.

ابدأ بالحسابات المهمة فعلاً، واختبر بصدق، وتعامل مع الرقم على أنه ملاحظات وليس درجة يجب عليك الحصول عليها من المحاولة الأولى.

حدود تجاوز بصمات المتصفح

لا يُمكن تحقيق انتصار حقيقي على تقنية بصمات المواقع، بل يُمكن فقط الاندماج في محيطها، وقد وُجدت أداة CreepJS لتوضيح مدى دقة هذا الاندماج. صحيح أن أدوات مكافحة بصمات المواقع قد تحسّنت، إلا أن أساليب الكشف عنها قد تطوّرت أيضاً. كما أن التوجه العام لا يُبشّر بالخير فيما يخص الخصوصية. فقد أبقت جوجل على ملفات تعريف الارتباط التابعة لجهات خارجية في أبريل 2025 بعد سنوات من وعودها بإلغائها، وفي وقت سابق من ذلك العام، رفعت بهدوء حظرها الخاص على بصمات المواقع للمعلنين - وهي خطوة وصفتها هيئة تنظيم البيانات في المملكة المتحدة بأنها غير مسؤولة. إن تقنية بصمات المواقع في ازدياد، وليست في انحسار، لذا فإن الهدف الواقعي هو الحصول على ملف تعريف متماسك ومنخفض التعقيد يختفي بين البيانات الأخرى، وليس الاختفاء التام.

بصمتك، وCreepJS، والخصوصية

جرّب CreepJS على نفسك مرة واحدة، ودع درجة الثقة تكون بمثابة جرس إنذار. الهدف ليس الظهور كشبح، فهذا يزيد الأمر غرابة، بل الظهور بمظهر طبيعي ومتسق، واختيار الأداة المناسبة للغرض - استخدم Tor عندما تريد إخفاء هويتك، وملف تعريف متماسك مضاد للكشف عندما تدير حسابات متعددة. بصمة المتصفح لعبة تمويه تُلعَب بجدية. لذا، السؤال الحقيقي بسيط: متى كانت آخر مرة تحققت فيها مما يخبر به متصفحك الإنترنت؟

Simon Chartan

A journalist with a strong technical background and a passion for decentralized finance. With degrees in MBA and Master of Engineering in Data Science, the author combines analytical expertise with a clear, engaging writing style. At Plisio, they cover topics such as cryptocurrency, blockchain, DeFi, and digital finance—helping readers make sense of a rapidly evolving fintech landscape.