CreepJS: Bagaimana Tes Sidik Jari Browser Melihat Anda
Buka satu halaman web biasa dan, sebelum Anda mengklik apa pun, halaman tersebut sudah dapat mengenali browser Anda di antara jutaan browser lainnya. Tanpa login, tanpa cookie, tanpa permintaan izin. Hapus riwayat Anda, beralih ke mode penyamaran, arahkan semuanya melalui VPN, dan halaman tersebut seringkali masih dapat mengenali Anda. Cara kerjanya bukan dari alamat IP Anda, tetapi dari ribuan detail kecil yang diberikan browser web Anda secara gratis. CreepJS adalah alat yang membuktikan betapa rentannya Anda, dan setelah Anda melihat cara kerjanya, web tidak lagi terasa begitu anonim. Panduan ini menjelaskan apa itu CreepJS, bagaimana cara kerjanya untuk mengenali Anda, bagaimana cara melawan erosi privasi browser, dan mengapa siapa pun yang menjalankan lebih dari satu akun kripto harus peduli.
Apa itu sidik jari peramban?
Pemrograman sidik jari peramban adalah identifikasi tanpa tag. Alih-alih menempatkan cookie di perangkat Anda dan membacanya kembali nanti, sebuah skrip diam-diam mengumpulkan puluhan detail yang diungkapkan peramban Anda hanya dengan memuat halaman, kemudian menggabungkannya menjadi satu nilai yang seringkali unik untuk Anda. Resolusi layar Anda, font yang terpasang, zona waktu Anda, string agen pengguna Anda, cara persis kartu grafis Anda menggambar gambar, masing-masing tampak biasa saja, namun jika digabungkan, detail-detail tersebut menggambarkan satu peramban dan hampir tidak ada peramban lain.
Seberapa unikkah kombinasi tersebut? Dalam sebuah studi penting EFF , Peter Eckersley menemukan bahwa 83,6% peramban unik di antara pengunjung yang menguji sendiri, meningkat menjadi 94,2% setelah detail plugin disertakan, dengan sidik jari yang membawa sekitar 18,1 bit informasi pengenal. Sebuah studi selanjutnya pada tahun 2018 terhadap dua juta pengunjung ke situs utama menunjukkan keunikan di dunia nyata lebih rendah, sekitar 33,6%, karena pengguna biasa cenderung menggunakan pengaturan yang umum. Kebenarannya berada di antara angka-angka tersebut, dan bagaimanapun juga, semakin tidak biasa peramban Anda, semakin banyak sidik jari unik Anda yang mengungkap identitas Anda.
Teknik ini juga jauh lebih umum daripada yang disadari kebanyakan orang. Sebuah survei Princeton terhadap satu juta situs web teratas menemukan bahwa sidik jari kanvas (canvas fingerprinting) berjalan di sekitar 1,6% situs tersebut, meningkat hingga melewati 5% dari situs-situs paling populer, dan pengukuran selanjutnya menempatkannya mendekati 10% dari seratus ribu situs teratas pada tahun 2021. Dampaknya pun tidak merata, karena penelitian dari AmIUnique menemukan bahwa sekitar 90% browser desktop memiliki sidik jari yang unik dibandingkan dengan sekitar 81% pada perangkat seluler, di mana perangkat keras cenderung lebih seragam. Dengan satu atau lain cara, sidik jari diam-diam berjalan di sebagian besar halaman yang sudah Anda kunjungi.
Apa itu CreepJS dan siapa yang membuatnya?
CreepJS bukanlah pelacak yang mencoba menjual data Anda; ini adalah pustaka dan cermin sidik jari sumber terbuka, yang dibangun oleh pengembang Abraham Juliot untuk menunjukkan betapa lemahnya sebagian besar pertahanan privasi dan bagaimana sidik jari bekerja dalam praktiknya. Anda mengarahkan peramban Anda ke demo langsung, ia menjalankan pengujiannya, dan ia memberi Anda laporan tentang seberapa mudah diidentifikasi dan seberapa jujur peramban Anda terlihat.
Proyek ini berada di GitHub di bawah lisensi MIT yang permisif dengan sekitar 2.400 bintang, dan menggabungkan lebih dari dua puluh kategori pengujian ke dalam satu halaman. Proyek ini lebih tepat dipahami sebagai tolok ukur penelitian daripada pemblokir bot dunia nyata, tolok ukur yang digunakan oleh peneliti privasi dan vendor anti-deteksi untuk mengukur pekerjaan mereka sendiri. Jika pengaturan siluman Anda tidak dapat bertahan dari CreepJS, maka pengaturan tersebut juga tidak akan bertahan dari layanan sidik jari komersial yang serius, dan itulah mengapa alat ini telah menjadi ujian tidak resmi yang dipelajari semua orang.
Laporan yang dihasilkannya sangat detail untuk sebuah alat gratis. Di samping skor kepercayaan utama, laporan ini mencantumkan setiap sinyal yang diukur, menandai sinyal yang tampak dimanipulasi, dan menunjukkan seberapa stabil sidik jari Anda saat Anda memuat ulang halaman. Itulah mengapa para pengembang menggunakannya terlebih dahulu ketika mereka ingin mengetahui apakah penyesuaian privasi benar-benar mengubah sesuatu atau hanya terasa seperti mengubah sesuatu.
Bagaimana cara kerja CreepJS di balik layar
Sebagian besar pemeriksaan sidik jari hanya membaca pengaturan Anda. CreepJS melangkah lebih jauh, karena ia membuat browser Anda benar-benar melakukan sesuatu, menggambar gambar, merender 3D, menjalankan sidik jari audio pada suara yang dihasilkan, menjalankan timer, dan kemudian mempelajari bagaimana mesin Anda melakukan setiap tugas. Cara kerjanya jauh lebih sulit dipalsukan daripada apa yang dilakukan, dan di situlah CreepJS mendapatkan reputasinya.
Sinyal yang dikumpulkan oleh CreepJS
Alat ini mengambil data dari berbagai sumber, dan setiap atribut peramban ini membocorkan sedikit informasi berbeda tentang perangkat Anda. Tabel di bawah ini menunjukkan atribut utama dan informasi apa yang mereka berikan.
| Sinyal | Apa yang diungkapkannya |
|---|---|
| Kanvas | Perbedaan piksel yang sangat kecil saat perangkat Anda menampilkan teks dan bentuk. |
| WebGL / GPU | Perangkat keras dan driver grafis Anda, yang ditampilkan melalui rendering 3D. |
| Audio Web | Bagaimana tumpukan audio Anda memproses gelombang suara yang dihasilkan |
| Font yang terpasang | Daftar font persis yang dimiliki sistem Anda |
| Resolusi layar | Ukuran layar, kedalaman warna, dan rasio piksel |
| Agen pengguna | Klaim terkait browser, versi, dan sistem operasi |
| WebRTC | Detail jaringan lokal yang dapat bocor melewati VPN. |
Sebuah skrip membaca sebagian besar data ini melalui JavaScript biasa dan API browser, termasuk plugin yang dilaporkan oleh browser Anda. CreepJS kemudian menjalankan probe yang sama di dalam web worker dan frame tersembunyi untuk memeriksa silang jawabannya, karena browser yang telah dimodifikasi sering memberikan satu jawaban di jendela utama dan jawaban yang berbeda di tempat lain.
Skor kepercayaan, entropi, dan kebohongan
CreepJS menggabungkan setiap sinyal ke dalam sebuah hash, nilai ringkas yang mewakili seluruh profil Anda. Di sekitarnya, CreepJS melaporkan skor kepercayaan, yang lebih berkaitan dengan seberapa konsisten dan sesuai harapan tampilan browser Anda daripada seberapa langka Anda. Pengaturan yang sederhana dan koheren akan mendapatkan skor yang baik meskipun umum.
Bagian yang cerdas adalah deteksi kebohongan. CreepJS mengawasi "kebohongan," kontradiksi kecil yang muncul ketika seseorang mengutak-atik browser mereka, seperti user agent yang mengklaim macOS sementara font dan grafis yang terpasang jelas menunjukkan Windows. Memalsukan satu nilai akan menciptakan ketidaksesuaian di tempat lain, dan ketidaksesuaian itu seringkali lebih mencolok daripada sinyal asli yang coba Anda sembunyikan.
Ini lebih dari sekadar memeriksa label. CreepJS juga mengukur berapa lama operasi tertentu berlangsung dan memeriksa cara mesin JavaScript Anda membulatkan hasil matematika, karena versi mesin yang berbeda membulatkan perhitungan trigonometri dengan cara yang sedikit berbeda, dan nomor versi palsu tidak dapat mengubah cara mesin sebenarnya melakukan perhitungan. Gabungkan cukup banyak pemeriksaan diam-diam ini dan penyamaran yang meyakinkan mulai terlihat seperti kostum.
Apa yang diungkapkan CreepJS tentang browser tanpa antarmuka grafis (headless browser)
Inilah bagian yang membuat para pengikis data dan pembuat bot merasa cemas. Alat otomatisasi peramban biasa akan langsung bereaksi, karena sesi Selenium atau Playwright standar membawa petunjuk yang jelas, yaitu flag navigator.webdriver yang disetel ke true, agen pengguna HeadlessChrome, dan sinyal yang sama sekali tidak sesuai dengan cara kerja peramban manusia sungguhan. Patch tersembunyi mengurangi petunjuk tersebut, tetapi jarang mematikannya sepenuhnya.
Pengujian independen terhadap CreepJS menunjukkan betapa lebarnya perbedaan antara bot mentah dan bot yang cermat. Angka-angka di bawah ini berasal dari tulisan tentang deteksi anti-bot yang menjalankan setiap alat melalui tes sidik jari yang sama.
| Pengaturan otomatisasi | Deteksi CreepJS |
|---|---|
| Vanilla Selenium / Penulis Drama | Terdeteksi ~100% |
| Penulis naskah drama dengan plugin tersembunyi | Terdeteksi sekitar 40% |
| ChromeDriver Tidak Terdeteksi | Terdeteksi sekitar 31% |
| Camoufox (Firefox yang diperkeras) | skor tanpa kepala mendekati 0% |
Pelajaran bagi siapa pun yang membangun web scraper sangat jelas. Mematikan satu flag saja tidak cukup, karena CreepJS memeriksa apakah seluruh profil berfungsi dengan baik, dan alat otomatisasi yang setengah terselubung di CreepJS seringkali mendapat skor lebih buruk daripada yang jujur. Tujuannya bukan untuk melucuti browser hingga tidak ada yang dilaporkan, karena profil kosong itu sendiri mencurigakan, tetapi untuk membuat sesi headless menampilkan, berperilaku, dan mengukur waktunya persis seperti browser sungguhan di layar sungguhan, yang merupakan tugas yang jauh lebih sulit daripada hanya mengubah satu pengaturan menjadi false.
Mengakali deteksi CreepJS untuk akun kripto.
Inilah sudut pandang yang jarang saya lihat dibahas dalam penjelasan CreepJS. Bursa dan platform airdrop melakukan sidik jari pengunjung dengan alasan yang sama seperti kasino mengawasi area permainan — untuk menangkap satu orang yang diam-diam menjalankan banyak akun, dan satu sidik jari bersama dapat menghubungkan seluruh kumpulan dompet "terpisah" kembali ke satu mesin.
Mengapa pertukaran dan airdrop meninggalkan sidik jari Anda?
Yang dipertaruhkan di sini adalah uang sungguhan. Ketika protokol LayerZero menjalankan penindakan terhadap penipuan airdrop pada Mei 2024, mereka menandai 803.093 alamat sebagai akun multi-akun yang dicurigai, dan pada akhirnya sekitar 59% dari semua pelamar dihapus. Pemetaan sidik jari perangkat dan peramban adalah salah satu alat terkuat yang digunakan platform untuk menghubungkan akun-akun tersebut. Anda dapat membuat dompet baru dalam hitungan detik, tetapi membangun sidik jari yang benar-benar baru jauh lebih sulit.
Apa yang sebenarnya dilakukan oleh browser anti-deteksi?
Di sinilah peran browser anti-deteksi , kategori yang mencakup Multilogin, GoLogin, AdsPower, dan Dolphin Anty . Alih-alih menyembunyikan sidik jari Anda, mereka memberikan setiap profil sidik jari yang lengkap dan konsisten secara internal, sehingga setiap akun terlihat seperti orang biasa yang berbeda, bukan orang yang sama yang menyamar. Permintaan telah meledak, dan AdsPower sendiri melaporkan pertumbuhan dari sekitar 100.000 pengguna pada tahun 2020 menjadi sekitar 9 juta pada tahun 2025. Hal yang mereka lakukan dengan benar adalah koherensi, karena profil yang sepenuhnya konsisten mengalahkan profil yang ditambal dengan cerdik di tiga tempat dan kontradiktif di tempat keempat. Di balik layar, setiap profil mengirimkan serangkaian nilai yang cocok. Agen pengguna yang dapat dipercaya, daftar font, string GPU, ukuran layar, dan zona waktu semuanya termasuk dalam perangkat yang dibayangkan yang sama, dan alat yang lebih baik memutarnya sebagai satu unit daripada mengedit satu bidang dan berharap sisanya masih cocok. Namun, ada satu peringatan jujur yang perlu diperhatikan di sini. Sidik jari yang bersih melindungi privasi login Anda, tetapi tidak menggantikan pengawasan mandiri dan praktik keamanan operasional yang baik, dan menjalankan banyak akun dapat melanggar ketentuan platform.
Cara menurunkan skor kepercayaan CreepJS Anda
Penelusuran detail konkret lebih jarang dilakukan daripada yang Anda bayangkan, dan aturan yang berlawanan dengan intuisi di baliknya adalah bahwa terlihat biasa dan konsisten lebih baik daripada terlihat seperti parodi. Berikut adalah urutan yang masuk akal untuk diikuti:
1. Mulailah dari profil perangkat yang nyata dan umum, dan tahan keinginan untuk memalsukan nilai-nilai individual, karena setiap ketidaksesuaian yang Anda buat dapat ditandai oleh CreepJS sebagai kebohongan.
2. Untuk anonimitas total, gunakan Tor Browser , yang mengelompokkan layar Anda ke dalam ukuran tetap melalui letterboxing dan membuat setiap mesin Windows melaporkan Windows yang sama dan setiap Mac melaporkan macOS yang sama, sehingga Anda menyatu dengan kerumunan.
3. Pertimbangkan Brave, yang fitur tambahannya memberikan sedikit sentuhan acak per sesi pada pembacaan kanvas dan audio sehingga nilainya bergeser antar situs alih-alih membentuk satu ID yang stabil.
4. Hindari ekstensi eksotis dan pengaturan yang tidak biasa, karena setiap pilihan aneh meningkatkan entropi Anda dan membuat Anda lebih unik, bukan kurang unik.
5. Untuk pekerjaan multi-akun, andalkan peramban anti-deteksi yang tepat dengan profil yang konsisten daripada sekumpulan add-on privasi, lalu uji ulang pada demo CreepJS langsung dan perhatikan kebohongan yang dihitung, bukan hanya skor judul berita.
Mulailah dengan akun-akun yang benar-benar penting, lakukan pengujian dengan jujur, dan anggap angka tersebut sebagai umpan balik, bukan sebagai nilai yang harus Anda raih sempurna pada percobaan pertama.
Batasan dalam melewati sidik jari peramban.
Anda tidak akan pernah benar-benar menang melawan sidik jari digital, Anda hanya akan menyatu, dan CreepJS hadir untuk menunjukkan betapa tipisnya penyatuan itu. Alat anti-sidik jari digital telah meningkat, tetapi metode deteksinya juga telah meningkat. Tren yang lebih luas juga tidak menggembirakan bagi privasi. Google mempertahankan cookie pihak ketiga pada April 2025 setelah bertahun-tahun berjanji untuk menghapusnya, dan sebelumnya pada tahun yang sama mereka diam-diam mencabut larangan sidik jari digital untuk pengiklan — sebuah langkah yang disebut tidak bertanggung jawab oleh regulator data Inggris. Sidik jari digital semakin berkembang, bukan memudar, jadi tujuan realistisnya adalah profil yang koheren dan berentropi rendah yang menghilang ke dalam kerumunan, bukan benar-benar tidak terlihat.
Sidik jari Anda, CreepJS, dan privasi
Jalankan CreepJS pada diri Anda sendiri sekali, dan biarkan skor kepercayaan menjadi peringatan yang seharusnya. Tujuannya bukan untuk terlihat seperti hantu, yang hanya membuat Anda semakin aneh, tetapi untuk terlihat biasa dan konsisten, dan untuk menyesuaikan alat dengan pekerjaan — Tor ketika Anda menginginkan anonimitas, profil anti-deteksi yang koheren ketika Anda mengelola banyak akun. Sidik jari adalah permainan berbaur yang dimainkan untuk menang. Jadi pertanyaan sebenarnya sederhana: kapan terakhir kali Anda memeriksa apa yang dikatakan browser Anda sendiri kepada web?
