CreepJS: come il test dell’impronta digitale del browser ti vede
Apri una qualsiasi pagina web e, prima ancora di cliccare su qualsiasi cosa, il tuo browser è già in grado di identificarsi tra milioni di altri. Nessun login, nessun cookie, nessuna richiesta di autorizzazione. Cancella la cronologia, passa alla navigazione in incognito, instrada tutto attraverso una VPN, eppure la pagina spesso riesce comunque a riconoscerti. Non funziona grazie al tuo indirizzo IP, ma grazie alle migliaia di piccole peculiarità che il tuo browser ti fornisce gratuitamente. CreepJS è lo strumento che dimostra quanto sei esposto e, una volta che lo hai visto in azione, il web smette di sembrare così anonimo. Questa guida spiega cos'è CreepJS, come ti individua, come contrastare l'erosione della privacy del browser e perché chiunque gestisca più di un conto di criptovalute dovrebbe interessarsene.
Che cos'è il fingerprinting del browser?
Il fingerprinting del browser è un'identificazione senza tag. Invece di installare un cookie sul dispositivo e leggerlo in seguito, uno script raccoglie silenziosamente le decine di dettagli che il browser rivela semplicemente caricando una pagina, per poi combinarli in un singolo valore che spesso è univoco per ciascun utente. La risoluzione dello schermo, i font installati, il fuso orario, la stringa user agent , il modo preciso in cui la scheda grafica visualizza un'immagine: ognuno di questi elementi è di per sé insignificante, eppure, messi insieme, descrivono un browser e quasi nessun altro.
Quanto è unica questa combinazione? In uno studio fondamentale dell'EFF , Peter Eckersley ha scoperto che l'83,6% dei browser erano unici tra i visitatori che si sono sottoposti al test, percentuale che saliva al 94,2% una volta inclusi i dettagli dei plugin, con l'impronta digitale che trasportava circa 18,1 bit di informazioni identificative. Un successivo studio del 2018 su due milioni di visitatori di un sito web molto diffuso ha rilevato un'unicità reale inferiore, intorno al 33,6%, perché gli utenti comuni tendono a utilizzare configurazioni comuni. La verità si trova tra questi due numeri e, in entrambi i casi, più insolito è il tuo browser, più la tua impronta digitale unica ti tradisce.
Questa tecnica è molto più diffusa di quanto la maggior parte delle persone creda. Un'analisi condotta da Princeton sui milioni di siti web più visitati ha rilevato la presenza del fingerprinting su circa l'1,6% di essi, superando il 5% dei siti più popolari, e misurazioni successive hanno stimato la sua diffusione intorno al 10% dei centomila siti più visitati entro il 2021. L'impatto è inoltre disomogeneo, dato che una ricerca di AmIUnique ha scoperto che circa il 90% dei browser desktop presentava un fingerprinting unico, contro l'81% circa sui dispositivi mobili, dove l'hardware tende ad essere più uniforme. In un modo o nell'altro, il fingerprinting si insinua silenziosamente in una larga parte delle pagine che visitiamo abitualmente.
Cos'è CreepJS e chi l'ha creato?
CreepJS non è un tracker che cerca di vendere i tuoi dati; è una libreria e un mirror open-source per il fingerprinting, creato dallo sviluppatore Abraham Juliot per mostrare quanto siano fragili la maggior parte delle difese della privacy e come funziona il fingerprinting nella pratica. Basta puntare il browser sulla demo live, il sistema esegue i test e restituisce un report su quanto il tuo browser sia identificabile e quanto appaia affidabile.
Il progetto è ospitato su GitHub con una licenza MIT permissiva e conta circa 2.400 stelle, e raggruppa più di venti categorie di test in un'unica pagina. È più corretto intenderlo come un benchmark di ricerca piuttosto che come un vero e proprio strumento di blocco dei bot, il parametro di riferimento che i ricercatori nel campo della privacy e i fornitori di soluzioni anti-rilevamento utilizzano per valutare il proprio lavoro. Se la vostra configurazione stealth non resiste a CreepJS, non resisterà nemmeno a un serio servizio commerciale di fingerprinting, ed è proprio per questo che lo strumento è diventato l'esame non ufficiale per cui tutti si preparano.
Il report che produce è insolitamente dettagliato per uno strumento gratuito. Oltre al punteggio di affidabilità principale, elenca ogni segnale misurato, contrassegna quelli che sembrano manipolati e mostra quanto stabile rimane l'impronta digitale quando si ricarica la pagina. Ecco perché gli sviluppatori lo utilizzano per primi quando vogliono sapere se una modifica alla privacy ha effettivamente prodotto un risultato o se è solo un'illusione.
Come funziona CreepJS a livello interno
La maggior parte dei controlli di fingerprinting si limita a leggere le impostazioni. CreepJS va oltre, perché fa sì che il tuo browser esegua effettivamente delle azioni: disegna un'immagine, renderizza un modello 3D, analizza un fingerprint audio su un suono generato, avvia dei timer e poi studia come il tuo computer esegue ciascuna di queste attività. Il "come" è molto più difficile da falsificare del "cosa", ed è proprio in questo che CreepJS si guadagna la sua reputazione.
I segnali che CreepJS raccoglie
Lo strumento attinge a una vasta gamma di fonti e ognuno di questi attributi del browser rivela qualcosa di leggermente diverso sul tuo dispositivo. La tabella seguente mostra i principali e le informazioni che forniscono.
| Segnale | Ciò che rivela |
|---|---|
| Tela | Piccole differenze di pixel quando il dispositivo visualizza testo e forme |
| WebGL / GPU | La tua scheda grafica e i relativi driver, visualizzati tramite rendering 3D. |
| Audio web | Come il tuo sistema audio elabora un'onda sonora generata |
| Font installati | L'elenco esatto dei caratteri supportati dal tuo sistema |
| Risoluzione dello schermo | Dimensioni dello schermo, profondità del colore e rapporto pixel |
| Agente utente | Affermazioni relative a browser, versione e sistema operativo |
| WebRTC | Dettagli della rete locale che possono trapelare attraverso una VPN |
Uno script legge la maggior parte di queste informazioni tramite JavaScript standard e le API del browser, inclusi i plugin segnalati dal browser stesso. CreepJS esegue quindi le stesse verifiche all'interno dei web worker e dei frame nascosti per confrontare le risposte, poiché un browser manomesso spesso fornisce una risposta nella finestra principale e una risposta diversa altrove.
Punteggio di affidabilità, entropia e bugie
CreepJS raggruppa ogni segnale in un hash, un valore compatto che rappresenta l'intero profilo. Attorno a questo, calcola un punteggio di affidabilità, che non si basa tanto sulla rarità del tuo profilo, quanto sulla coerenza e la prevedibilità del tuo browser. Una configurazione semplice e coerente ottiene un buon punteggio, anche se è comune.
La parte geniale sta nel rilevamento delle bugie. CreepJS monitora le "bugie", le piccole contraddizioni che compaiono quando qualcuno manomette il proprio browser, come ad esempio un user agent che dichiara macOS mentre i font e la grafica installati indicano chiaramente Windows. Falsificando un valore si crea una discrepanza altrove, e questa discrepanza è spesso più evidente del segnale originale che si cercava di nascondere.
Va ben oltre il semplice controllo delle etichette. CreepJS misura anche il tempo impiegato da determinate operazioni e analizza il modo in cui il motore JavaScript arrotonda i risultati matematici, perché le diverse versioni dei motori arrotondano i calcoli trigonometrici in modi leggermente diversi, e un numero di versione falsificato non può alterare il modo in cui il motore reale esegue i calcoli. Accumulando un numero sufficiente di questi controlli silenziosi, un travestimento ben congegnato inizia ad assomigliare a un costume.
Cosa rivela CreepJS sui browser headless
È questa la parte che mette a disagio chi si occupa di scraping e di creazione di bot. I semplici strumenti di automazione del browser si attivano quasi all'istante, perché una sessione predefinita di Selenium o Playwright presenta indizi evidenti, come il flag navigator.webdriver impostato su true, uno user agent HeadlessChrome e segnali che semplicemente non corrispondono a quelli di un browser utilizzato da una persona reale. Le patch nascoste attenuano questi indizi, ma raramente li disattivano completamente.
Test indipendenti condotti su CreepJS dimostrano quanto sia ampio il divario tra un bot inesperto e uno ben progettato. I dati riportati di seguito provengono da analisi di sistemi anti-bot che hanno sottoposto ciascuno strumento allo stesso test di fingerprinting.
| Configurazione dell'automazione | Rilevamento di CreepJS |
|---|---|
| Vanilla Selenium / Drammaturgo | ~100% rilevato |
| Drammaturgo con plugin stealth | ~40% rilevato |
| ChromeDriver non rilevato | ~31% rilevato |
| Camoufox (Firefox rinforzato) | punteggio headless vicino allo 0% |
La lezione per chiunque crei uno scraper web è chiara: disattivare un singolo flag non basta, perché CreepJS verifica che l'intero profilo sia coerente e uno strumento di automazione camuffato su CreepJS spesso ottiene un punteggio inferiore rispetto a uno onesto. L'obiettivo non è svuotare un browser fino a renderlo inutilizzabile, dato che un profilo vuoto è di per sé sospetto, ma far sì che una sessione headless si comporti, si esegua e tempi di esecuzione esattamente come un browser reale su uno schermo reale, il che è un'impresa ben più ardua che disattivare una singola impostazione.
Come eludere il rilevamento di CreepJS per gli account di criptovalute
Ecco un aspetto che raramente vedo trattato nelle guide esplicative su CreepJS. Gli exchange e le piattaforme di airdrop rilevano le impronte digitali dei visitatori per lo stesso motivo per cui i casinò sorvegliano la sala: per smascherare chi gestisce silenziosamente molti account. Una singola impronta digitale condivisa può infatti collegare un intero gruppo di portafogli "separati" a un unico dispositivo.
Perché gli scambi e gli airdrop ti lasciano un'impronta digitale
Qui si tratta di soldi veri. Quando il protocollo LayerZero ha lanciato la sua operazione di contrasto agli airdrop di Sybil nel maggio 2024, ha segnalato 803.093 indirizzi come sospetti di multi-account farming e, alla fine, circa il 59% di tutti i richiedenti è stato rimosso. Il fingerprinting del dispositivo e del browser è uno degli strumenti più efficaci che le piattaforme utilizzano per collegare questi account. È possibile creare nuovi wallet in pochi secondi, ma costruire un fingerprint davvero nuovo è molto più difficile.
Cosa fanno realmente i browser anti-rilevamento
È qui che entrano in gioco i browser anti-rilevamento , la categoria che include Multilogin, GoLogin, AdsPower e Dolphin Anty . Invece di nascondere la tua impronta digitale, ne creano una completa e internamente coerente per ogni profilo, in modo che ogni account appaia come quello di una persona comune diversa, piuttosto che della stessa persona travestita. La domanda è esplosa e AdsPower da solo registra una crescita da circa 100.000 utenti nel 2020 a circa 9 milioni nel 2025. Il loro punto di forza è la coerenza, poiché un profilo completamente coerente è meglio di uno abilmente modificato in tre punti e contraddittorio in un quarto. Dietro le quinte, ogni profilo invia un set di valori corrispondenti. Un user agent credibile, un elenco di font, una stringa GPU, una dimensione dello schermo e un fuso orario appartengono tutti allo stesso dispositivo immaginario e gli strumenti migliori li ruotano come un'unica unità anziché modificare un campo e sperare che gli altri siano ancora corretti. È doverosa, tuttavia, una precisazione. Un'impronta digitale pulita protegge la privacy del tuo accesso, ma non sostituisce l'autocontrollo e una gestione oculata delle tue attività online; inoltre, la gestione di molti account può violare i termini di servizio della piattaforma.
Come ridurre il punteggio di affidabilità di CreepJS
Una procedura dettagliata e concreta è più rara di quanto si pensi, e la regola controintuitiva che la sottende è che apparire ordinari e coerenti è meglio che sembrare una parodia. Ecco un ordine sensato da seguire:
1. Parti da un profilo di dispositivo reale e comune e resisti alla tentazione di falsificare parzialmente i singoli valori, perché ogni discrepanza che crei può essere segnalata da CreepJS come una menzogna.
2. Per un anonimato totale, usa il browser Tor , che suddivide lo schermo in dimensioni fisse tramite il letterboxing e fa sì che ogni computer Windows visualizzi lo stesso sistema operativo Windows e ogni Mac lo stesso sistema operativo macOS, permettendoti di mimetizzarti tra la folla.
3. Prendiamo in considerazione Brave, il cui "farbling" aggiunge una piccola variazione casuale per sessione alle letture su tela e audio, in modo che i valori cambino tra i siti invece di formare un ID stabile.
4. Evita estensioni esotiche e impostazioni insolite, poiché ogni scelta bizzarra aumenta la tua entropia e ti rende più unico, non meno.
5. Per il lavoro con più account, affidati a un browser anti-rilevamento adeguato con un profilo coerente piuttosto che a una serie di componenti aggiuntivi per la privacy, quindi esegui nuovamente il test sulla demo live di CreepJS e osserva quante bugie contano, non solo il punteggio del titolo.
Iniziate con gli account che contano davvero, testate onestamente e considerate il risultato come un feedback piuttosto che come un voto da ottenere a tutti i costi al primo tentativo.
I limiti dell'elusione del fingerprinting del browser
Non si può mai vincere veramente contro il fingerprinting, ci si può solo mimetizzare, e CreepJS esiste per dimostrare quanto sia sottile questo mimetismo. Gli strumenti anti-fingerprinting sono migliorati, ma lo sono anche i metodi di rilevamento. Anche la tendenza generale non è incoraggiante per la privacy. Google ha mantenuto attivi i cookie di terze parti nell'aprile 2025, dopo anni di promesse di eliminarli, e all'inizio dello stesso anno ha silenziosamente revocato il proprio divieto di fingerprinting per gli inserzionisti, una mossa che l'autorità britannica per la protezione dei dati ha definito irresponsabile. Il fingerprinting è in crescita, non in declino, quindi l'obiettivo realistico è un profilo coerente a bassa entropia che si confonda con la folla, non la vera invisibilità.
La tua impronta digitale, CreepJS e la privacy
Esegui CreepJS su te stesso una volta e lascia che il punteggio di affidabilità sia il campanello d'allarme che dovrebbe essere. L'obiettivo non è quello di sembrare un fantasma, il che ti renderebbe solo più strano, ma di apparire normale e coerente, e di scegliere lo strumento più adatto allo scopo: Tor quando desideri l'anonimato, un profilo anti-rilevamento coerente quando gestisci molti account. L'impronta digitale è un gioco di mimetizzazione che si gioca sul serio. Quindi la vera domanda è semplice: quando è stata l'ultima volta che hai controllato cosa sta dicendo il tuo browser al web?
