اثر انگشت مرورگر چیست؟ چگونه کار می‌کند و خطرات آن چیست؟

اکثر مردم ردیابی آنلاین را به عنوان یک کوکی تصور می‌کنند: یک فایل کوچک که یک وب‌سایت در مرورگر شما قرار می‌دهد و در بازدید بعدی شما دوباره آن را می‌خواند. اثر انگشت مرورگر، این فایل را به طور کامل نادیده می‌گیرد. این روش با خواندن تنظیماتی که مرورگر شما از قبل به صورت رایگان در اختیار شما قرار می‌دهد، مانند اندازه صفحه نمایش، فونت‌های نصب شده، کارت گرافیک و منطقه زمانی شما، شما را شناسایی می‌کند. چند ده مورد از این جزئیات کسل‌کننده را با هم ترکیب کنید و نتیجه تقریباً منحصر به فرد خواهد بود. تحقیقات اخیر تقریباً ۶۰٪ از مرورگرها را در یک دسته قرار می‌دهد، بدون کوکی، بدون ورود به سیستم و بدون نیاز به آدرس IP. بنابراین اثر انگشت مرورگر چیست، چرا خلاص شدن از آن اینقدر سخت است و برای هر کسی که در ارزهای دیجیتال پول جابجا می‌کند، چه معنایی دارد؟ این همان چیزی است که این راهنما توضیح می‌دهد.

تعریف اثر انگشت مرورگر و نحوه عملکرد آن

اثر انگشت مرورگر، که گاهی اوقات اثر انگشت دیجیتال نیز نامیده می‌شود، نمایه‌ای است که از ویژگی‌های فنی دستگاه شما هر بار که صفحه‌ای را بارگذاری می‌کند، ساخته شده است - نوعی از اثر انگشت دستگاه که کاملاً بدون فایل‌های ذخیره شده کار می‌کند. این روش از اطلاعات معمولی مرورگر و پیکربندی سیستم شما استفاده می‌کند و هیچ ویژگی واحدی شما را لو نمی‌دهد. وضوح صفحه نمایش شما توسط میلیون‌ها نفر به اشتراک گذاشته شده است، و سیستم عامل شما نیز همینطور. قدرت از ترکیب این دو می‌آید؛ مقادیر مشترک کافی را کنار هم قرار دهید و احتمال اینکه شخص دیگری همه آنها را به طور همزمان مطابقت دهد، به صفر می‌رسد.

محققان این را با واحد بیت‌های آنتروپی اندازه‌گیری می‌کنند، که فقط راهی برای شمارش میزان تأثیر یک مقدار بر جمعیت است. طبق مطالعه‌ای که در سال ۲۰۲۵ در سمپوزیوم فناوری‌های بهبود حریم خصوصی منتشر شد ، یک مرورگر دسکتاپ مدرن در مجموع حدود ۱۲.۱ بیت نشت اطلاعات دارد. این مقدار تا زمانی که متوجه نشوید هر بیت تقریباً تعداد افرادی را که می‌توانید از هم تشخیص دهید دو برابر می‌کند، کوچک به نظر می‌رسد. رشته کارت گرافیک به تنهایی، که از طریق WebGL خوانده می‌شود، نزدیک به ۶.۸ از این بیت‌ها را تشکیل می‌دهد. این مشکل جدیدی هم نیست. وقتی EFF برای اولین بار آن را اندازه‌گیری کرد، ۸۳.۶٪ از مرورگرهایی که آزمایش کرد در نمونه‌ای متشکل از ۴۷۰۱۶۱ بازدیدکننده منحصر به فرد بودند و یک تکرار در سال ۲۰۱۶ (یک تیم متفاوت، با همان روش) نشان داد که این رقم به ۸۹.۴٪ افزایش یافته است.

جمع‌آوری سیگنال غیرفعال در مقابل فعال

انگشت‌نگاری به دو سبک تقسیم می‌شود. جمع‌آوری غیرفعال، آنچه مرورگر شما به طور خودکار ارسال می‌کند را می‌خواند: هدر عامل کاربر، زبان‌هایی که می‌پذیرید، ترتیب هدرهای HTTP شما. این انگشت‌نگاری عامل کاربر ارزان اما به خودی خود ضعیف است. هیچ چیزی روی دستگاه شما اجرا نمی‌شود. جمع‌آوری فعال فراتر می‌رود. جاوا اسکریپت را اجرا می‌کند که بی‌سروصدا از مرورگر شما می‌خواهد تصویری را ترسیم کند، یک نمونه صوتی بی‌صدا پخش کند یا فونت‌های آن را فهرست کند، سپس دقیقاً نحوه پاسخ سخت‌افزار شما را اندازه‌گیری می‌کند. روش‌های فعال نشت بسیار بیشتری دارند، به همین دلیل است که قدرتمندترین تکنیک‌ها همگی به اسکریپت‌ها متکی هستند.

چرا منحصر به فرد بودن واقعاً فقط ریاضی است؟

این بخشی است که افراد را به اشتباه می‌اندازد. اثر انگشت برای کار کردن نیازی به مخفی بودن ندارد. هر مقدار موجود در آن عمومی است و شما همه آنها را با میل خود منتشر می‌کنید. چیزی که شما را قابل ردیابی می‌کند این است که آن مجموعه خاص به اندازه کافی نادر است که بتواند دستگاه شما را به طور منحصر به فرد شناسایی کند. به همین دلیل است که تنها دفاع واقعی این است که شبیه دیگران به نظر برسید، نکته‌ای که بعداً به آن برمی‌گردیم. شما نمی‌توانید اثر انگشت را همانطور که رمز عبور را پنهان می‌کنید، پنهان کنید، زیرا چیزی نیست که شما در اختیار دارید. این الگویی است که شما منتشر می‌کنید. روی آن شماره بگذارید: با ۱۲ بیت آنتروپی، یک ردیاب می‌تواند تقریباً یک دستگاه را در ۴۰۰۰ دستگاه جدا کند و یک اثر انگشت با اسکریپت سنگین که به بیش از ۲۰ بیت می‌رسد، شما را عملاً در شهری با یک میلیون نفر تنها می‌گذارد.

انواع تکنیک‌های انگشت‌نگاری مرورگر

هر تکنیک، بخش متفاوتی از هویت را فاش می‌کند. برخی ارزان و ضعیف هستند، برخی دیگر کند و افشاگر. یک ردیاب معمولاً تعداد انگشت‌شماری از این بردارهای اثر انگشت را می‌گیرد و آنها را در یک رشته کوتاه، یک شناسه منحصر به فرد واحد که به عنوان شناسه دستگاه نیز عمل می‌کند، هش می‌کند. جدول زیر بردارهای اصلی و تقریباً میزان کاهش جمعیت توسط هر یک را نشان می‌دهد.

انگشت نگاری روی بوم

Canvas ابزار قدرتمندی است. یک اسکریپت به مرورگر شما می‌گوید که یک خط متن و چند شکل را روی یک عنصر پنهان Canvas رسم کند، سپس پیکسل‌ها را می‌خواند. شما هرگز آن را نمی‌بینید. نکته این است که هیچ دو پشته گرافیکی آن نقاشی را به طور یکسان رندر نمی‌کنند، زیرا GPU، نسخه درایور، anti-aliasing و هموارسازی فونت، همگی ردپاهای کوچکی به جا می‌گذارند. این تفاوت‌ها پایدار و قابل اندازه‌گیری هستند. بر اساس یک بررسی خزشی که در سال ۲۰۲۵ در کنفرانس اندازه‌گیری اینترنت ACM ارائه شد ، اثر انگشت Canvas اکنون روی ۱۲.۷٪ از ۲۰،۰۰۰ وب‌سایت برتر و ۹.۹٪ از سایت‌های رتبه‌بندی شده بین ۲۰،۰۰۰ تا یک میلیون اجرا می‌شود.

انگشت‌نگاری WebGL

WebGL سخت‌افزار گرافیکی شما را مستقیماً در معرض دید قرار می‌دهد. یک اسکریپت می‌تواند رشته رندرکننده را که اغلب نام دقیق GPU را نشان می‌دهد، بخواند و نحوه مدیریت رندر سه‌بعدی توسط آن را بررسی کند. این کانال واحد، سنگین‌ترین آنتروپی را در کل اثر انگشت به همراه دارد، به همین دلیل است که مرورگرهای حریم خصوصی تلاش زیادی را برای کند کردن آن صرف می‌کنند.

انگشت‌نگاری صوتی و فونت

اثر انگشت صوتی AudioContext یک موج صوتی بی‌صدا تولید می‌کند و نحوه پردازش آن توسط پشته صوتی شما را اندازه‌گیری می‌کند، زیرا تفاوت‌های کوچک سخت‌افزاری و نرم‌افزاری خروجی را تغییر می‌دهند. شمارش فونت بررسی می‌کند که سیستم شما کدام فونت‌ها را می‌تواند رندر کند و مجموعه دقیقی که نصب کرده‌اید به طرز شگفت‌آوری شخصی است. یک نکته صادقانه: آنتروپی اثر انگشت صوتی در کارهای اخیر بررسی‌شده توسط همتا به خوبی اندازه‌گیری نشده است، بنابراین ادعاهای فروشندگان در مورد آن را با احتیاط در نظر بگیرید.

اثر انگشت مرورگر در مقابل کوکی‌ها: تفاوت‌های کلیدی

کوکی‌ها و اثر انگشت‌ها هر دو شما را ردیابی می‌کنند، اما مانند دو قطب مخالف رفتار می‌کنند. کوکی فایلی است که سایت روی دستگاه شما ذخیره می‌کند، بنابراین می‌توانید آن را ببینید، مسدود کنید و حذف کنید. اثر انگشت از مقادیری که نمی‌توانید حذف کنید، درجا جمع‌آوری می‌شود. چیزی برای پاک کردن وجود ندارد. این عدم تقارن، عدم رضایت و عدم خاموش کردن، تمام دلیلی است که ردیاب‌ها پس از شروع حذف کوکی‌های شخص ثالث توسط مرورگرها، به سراغ آن رفتند. برخلاف کوکی‌های ردیابی که در لیستی قرار می‌گیرند که می‌توانید آنها را پاک کنید، اثر انگشت چیزی برای پیدا کردن باقی نمی‌گذارد.

چگونه تبلیغ‌کنندگان از اثر انگشت مرورگر استفاده می‌کنند

دو اردوگاه بسیار متفاوت به یک ابزار تکیه دارند. شرکت‌های فناوری تبلیغات، شرکت‌های تبلیغاتی پشت اکثر تبلیغات آنلاین، از اثر انگشت برای دنبال کردن شما در سایت‌ها و بازسازی پروفایل بین سایتی که هنگام از رده خارج شدن کوکی‌های شخص ثالث از دست داده بودند، استفاده می‌کنند. این به آنها اجازه می‌دهد رفتار کاربر شما را بدون درخواست به هم پیوند دهند، نوعی ردیابی رفتاری آرام که نیازی به ورود ندارد. این فناوری‌های ردیابی همچنین می‌توانند تاریخچه مرورگر شما را برای دقیق‌تر کردن پروفایل در نظر بگیرند. کاربردها همیشه بی‌ضرر نیستند. همان پروفایل بین سایتی می‌تواند تبعیض قیمت را ایجاد کند، جایی که به دو خریدار، قیمت‌های متفاوتی برای یک پرواز یا ابزار مشابه بر اساس آنچه دستگاه و تاریخچه مرور پشت اثر انگشت آنها نشان می‌دهد که پرداخت خواهند کرد، پیشنهاد می‌شود. اردوگاه دوم، پیشگیری از کلاهبرداری است و در اینجا منطق برعکس می‌شود: بانک‌ها، بازارها و صرافی‌ها از سیگنال‌های دستگاه یکسانی برای شناسایی کاربرانی که پشت یک حساب دزدیده شده یا یک مزرعه ربات هستند و برای شناسایی کاربرانی که مخفیانه چندین حساب را همزمان اجرا می‌کنند، استفاده می‌کنند.

این حالا یک صنعت واقعی است، نه یک ویژگی جانبی. یک فروشنده متخصص از رشد درآمد ۶۵ درصدی نسبت به سال گذشته خبر داد و گفت که از اوایل سال ۲۰۲۶، ماهانه بیش از یک میلیارد شناسایی دستگاه را پردازش می‌کند. بنابراین وقتی می‌پرسید چه کسی از اثر انگشت مرورگر استفاده می‌کند، پاسخ صادقانه این است که هم ردیاب‌هایی که می‌خواهید از آنها اجتناب کنید و هم تیم‌های امنیتی که سعی در محافظت از حساب شما دارند. همان تکنیک، اما با نیت مخالف.

پیامدهای حریم خصوصی برای کاربران ارزهای دیجیتال و فین‌تک

اگر شما ارز دیجیتال معامله می‌کنید یا نگهداری می‌کنید، اثر انگشت مرورگر داور خاموش در هر صرافی است که به آن دست می‌زنید. این اثر انگشت همزمان به نفع شما و به ضرر شما عمل می‌کند، و دقیقاً به همین دلیل است که شایسته توجه بیشتری نسبت به توصیه‌های عمومی حفظ حریم خصوصی است. برای هر کسی که دارایی دارد، خطر حفظ حریم خصوصی در اینجا ملموس است، نه انتزاعی.

صرافی‌ها، ضد کلاهبرداری و مقاومت در برابر سیبیل

دستگاه‌های اثر انگشت را برای اجرای یک قانون بسیار کاربردی - یک شخص واقعی، یک حساب - مبادله می‌کند. همین سیگنال‌ها، تصاحب حساب، پاداش بلوک و ایردراپ فارمرهایی که صدها هویت جعلی را اجرا می‌کنند و ربات‌ها را علامت‌گذاری می‌کنند، را شناسایی می‌کنند. هدف، شناسایی قابل اعتماد کاربر در زمانی است که نام کاربری و رمز عبور دیگر کافی نیست. فروشندگانی مانند FingerprintJS، SEON و Sift دقیقاً همین را می‌فروشند. دستکاری دستگاه، نشانه آشکار اینکه کسی این سیگنال‌ها را جعل می‌کند، در یک سال دو برابر شد. طبق گزارش اطلاعات دستگاه یک فروشنده در سال ۲۰۲۶ که از ۲۳.۴ میلیارد رویداد استخراج شده است، این مورد در ۴.۴٪ از رویدادهای شناسایی دسکتاپ در سال ۲۰۲۵ در مقابل ۲.۶٪ در سال ۲۰۲۴ مشاهده شده است. تقریباً از هر پنج رویداد دسکتاپ، یک مورد نیز از طریق VPN انجام شده است.

ناشناس‌سازی کیف پول

اکثر راهنماها این ریسک را به طور کامل نادیده می‌گیرند. فرض کنید شما KYC را در یک صرافی تحت نظارت در یک تب تکمیل می‌کنید، سپس کیف پول خودگردانِ به ظاهر ناشناس خود را در تب دیگری از همان مرورگر باز می‌کنید. هر دو تب اثر انگشت یکسانی را منتشر می‌کنند. هر کسی که آن داده‌ها را مرتبط کند می‌تواند هویت تأیید شده را به کیف پولی که فکر می‌کردید خصوصی است، مرتبط کند. این اثر انگشت به رشته‌ای تبدیل می‌شود که نام واقعی شما را به فعالیت درون زنجیره‌ای شما پیوند می‌دهد. ماجرا به اینجا ختم نمی‌شود. اگر بعداً برای دور زدن یک بلوک منطقه‌ای، حساب دومی باز کنید، اثر انگشت تطبیقی می‌تواند آن را به عنوان همان شخص علامت‌گذاری کرده و در اواسط تأیید، آن را مسدود کند.

مسابقه تسلیحاتی ضد آشکارسازی

در پاسخ، بازار کاملی از مرورگرهای ضد شناسایی با نام‌هایی مانند Multilogin، GoLogin و AdsPower رشد کرده است. آن‌ها برای هر پروفایل، یک اثر انگشت جدید جعل می‌کنند تا یک اپراتور بتواند حساب‌های زیادی را که شبیه افراد زیادی هستند، اجرا کند. صرافی‌ها، شناسایی را تشدید می‌کنند؛ ابزارها، فرار از شناسایی را تشدید می‌کنند و این شکاف همچنان در حال افزایش است. من مطمئن نیستم که هیچ‌کدام از طرفین هرگز به‌طور کامل برنده شوند. دو برابر شدن سیگنال‌های دستکاری نشان می‌دهد که ابزارهای فرار از شناسایی، در حال پیروزی در دورهای بعدی هستند، نه در جنگ.

وضعیت قانونی اثر انگشت مرورگر

اثر انگشت به جای یک میدان باز، در یک چارچوب قانونیِ در حال تنگ‌تر شدن قرار دارد. در اتحادیه اروپا، قوانین اکنون با آن بسیار شبیه به یک کوکی رفتار می‌کنند. هیئت حفاظت از داده‌های اروپا در اکتبر 2024 راهنمایی را نهایی کرد و تأیید کرد که ویژگی‌های دستگاه خواندن، همان الزام رضایت را تحت دستورالعمل حریم خصوصی الکترونیکی ایجاد می‌کند که کوکی‌ها انجام می‌دهند، که تکرار نظر قبلی سال 2014 است. تنظیم‌کنندگان نیز مایلند این را با صدای بلند بگویند. پس از آنکه گوگل تصمیم گرفت دوباره اثر انگشت را برای تبلیغ‌کنندگان مجاز کند، تنظیم‌کننده داده‌های بریتانیا علناً این تغییر را غیرمسئولانه خواند و گفت که اثر انگشت وسیله‌ای منصفانه برای ردیابی افراد نیست. در ایالات متحده، قانون حفظ حریم خصوصی کالیفرنیا در حال حاضر این شناسه‌ها را به عنوان داده‌های شخصی در نظر می‌گیرد و اثر انگشت را مستقیماً در نگرانی‌های اصلی حریم خصوصی قرار می‌دهد. مسیر حرکت روشن است - هر سال منطقه خاکستری کمتری وجود دارد.

روش‌های محافظت در برابر اثر انگشت

شما نمی‌توانید نامرئی شوید. می‌توانید یکی از دو استراتژی متضاد را انتخاب کنید، و اکثر مردم آنها را برعکس انجام می‌دهند. یا در میان جمعیت قاطی می‌شوید تا اثر انگشتتان با اثر انگشت دیگران مطابقت داشته باشد، یا به یک هدف متحرک تبدیل می‌شوید که اثر انگشتش هر بار که خوانده می‌شود تغییر می‌کند. یک VPN و حالت ناشناس، دو ابزاری که مردم ابتدا به سراغشان می‌روند، به سختی اثر انگشتی را لمس می‌کنند.

تنظیمات مرورگر برای کاهش اثر انگشت

مرورگر تور (Tor Browser) مسیر ترکیبی (blending-in) را در پیش می‌گیرد. این مرورگر باعث می‌شود هر کاربر اثر انگشت تقریباً یکسانی ارائه دهد و از جعبه حروف (letterboxing) برای گرد کردن پنجره شما به اندازه‌های رایج استفاده می‌کند، بنابراین ابعاد صفحه نمایش از نشت اطلاعات جلوگیری می‌کند. مرورگر Brave با تکنیکی که آن را farbling می‌نامد، مسیر هدف متحرک (moving-target) را در پیش می‌گیرد، که تصادفی‌سازی کوچک در هر جلسه را به canvas و خوانش‌های صوتی اضافه می‌کند. این روش هوشمندانه است، اگرچه محققان در سال ۲۰۲۵ نشان دادند که میانگین‌گیری در نمونه‌های کافی می‌تواند تا حدودی آن را خنثی کند. فایرفاکس با حالت Resist Fingerprinting و Enhanced Tracking Protection خود در این بین قرار می‌گیرد.

VPNها، افزونه‌ها و غیرفعال کردن جاوا اسکریپت

در مورد عملکرد هر ابزار شفاف باشید. VPN آدرس IP شما را پنهان می‌کند، که برای حریم خصوصی VPN مهم است، اما اثر انگشت شما بدون تغییر باقی می‌ماند، بنابراین در اینجا کار چندانی انجام نمی‌دهد. مرور خصوصی یا حالت ناشناس کوکی‌ها را بازنشانی می‌کند اما تقریباً هیچ محافظتی در برابر اثر انگشت ارائه نمی‌دهد. افزونه‌های حریم خصوصی مانند uBlock Origin، نوعی مسدودکننده ردیاب که اکثر مردم از قبل می‌شناسند، اسکریپت‌هایی را که سیگنال‌ها را جمع‌آوری می‌کنند مسدود می‌کند، که واقعاً کمک می‌کند. غیرفعال کردن جاوا اسکریپت، canvas، WebGL و اثر انگشت صوتی را به طور کامل متوقف می‌کند، زیرا این موارد برای اجرا به اسکریپت نیاز دارند، اما بخش بزرگی از وب مدرن را نیز مختل می‌کند، بنابراین افراد کمی برای مدت طولانی به این روش زندگی می‌کنند.

ابزارهایی برای بررسی اثر انگشت مرورگر شما

می‌توانید خودتان را در عرض دو دقیقه آزمایش کنید. ابزار Cover Your Tracks در EFF نشان می‌دهد که مرورگر شما چقدر منحصر به فرد به نظر می‌رسد و آیا می‌توان ردیاب‌ها را مسدود کرد یا خیر. AmIUnique و BrowserLeaks (هر دو رایگان) کار مشابهی انجام می‌دهند و نتیجه را به صورت برداری تجزیه و تحلیل می‌کنند؛ می‌توانید دقیقاً ببینید کدام تنظیمات شما را متمایز می‌کند.

توصیه‌ها: زندگی با اثر انگشت خود

دفاع را با تهدید تطبیق دهید. یک خواننده معمولی که فقط حریم خصوصی آنلاین بهتری می‌خواهد، توسط Brave یا Firefox با مسدودکننده ردیاب به خوبی پشتیبانی می‌شود و این واقعاً کافی است. یک کاربر کریپتو به یک عادت سختگیرانه‌تر نیاز دارد، که همان بهداشت هویت است. مفیدترین قانون این است که هرگز یک پروفایل مرورگر را بین صرافی KYC و کیف پول خصوصی خود به اشتراک نگذارید. یک مرورگر یا پروفایل اختصاصی برای هر هویت، بیش از هر افزونه‌ای کار می‌کند، زیرا مانع از تبدیل شدن اثر انگشت مرورگر به پیوند بین دو خود شما می‌شود. بنابراین سوال واقعی این نیست که چگونه اثر انگشت مرورگر خود را پاک کنید، که نمی‌توانید این کار را انجام دهید. ناشناس بودن کامل به ندرت هدف واقعی است. مرور ناشناس برای یک کاربر کریپتو در واقع در مورد جدا نگه داشتن هویت‌ها است. مهم این است که چند هویت جداگانه را باید از هم جدا نگه دارید و آیا تنظیمات فعلی شما واقعاً آنها را به این شکل نگه می‌دارد یا خیر.

Marco Lucchetti

Marco Lucchetti is a senior content strategist and blockchain analyst at Plisio. With over 7 years of experience in cryptocurrency research, DeFi protocols, and payment technologies, Marco specializes in creating clear, data-driven content for a global crypto audience. His work focuses on transaction tracing, crypto compliance, and the future of blockchain infrastructure.