CreepJS: Jak test odcisku palca przeglądarki Cię widzi
Otwórz jedną zwykłą stronę internetową, a zanim cokolwiek klikniesz, rozpozna ona Twoją przeglądarkę w tłumie milionów. Bez logowania, bez plików cookie, bez pytania o zgodę. Wyczyść historię, przełącz się na tryb incognito, przekieruj wszystko przez VPN, a strona często nadal będzie Cię rozpoznawać. Działa nie z Twojego adresu, ale z tysięcy drobnych szczegółów, które Twoja przeglądarka udostępnia za darmo. CreepJS to narzędzie, które pokazuje, jak bardzo jesteś narażony na ataki, a gdy już je zobaczysz, sieć przestaje być anonimowa. Ten poradnik wyjaśnia, czym jest CreepJS, jak Cię widzi, jak przeciwdziałać erozji prywatności w przeglądarce i dlaczego każdy, kto posiada więcej niż jedno konto kryptowalutowe, powinien się tym przejmować.
Czym jest odcisk palca przeglądarki?
Odcisk palca przeglądarki to identyfikacja bez znacznika. Zamiast umieszczać plik cookie na urządzeniu i odczytywać go później, skrypt dyskretnie zbiera dziesiątki szczegółów ujawnianych przez przeglądarkę podczas ładowania strony, a następnie łączy je w jedną wartość, często unikalną dla użytkownika. Rozdzielczość ekranu, zainstalowane czcionki, strefa czasowa, ciąg znaków agenta użytkownika , dokładny sposób, w jaki karta graficzna rysuje obraz – każdy z tych elementów jest banalny sam w sobie, ale razem opisują jedną przeglądarkę i prawie żadną inną.
Jak unikalna jest ta kombinacja? W przełomowym badaniu EFF , Peter Eckersley odkrył, że 83,6% przeglądarek było unikatowych wśród użytkowników, którzy testowali je sami, a odsetek ten wzrósł do 94,2% po uwzględnieniu szczegółów wtyczki, a odcisk palca zawierał około 18,1 bitów informacji identyfikujących. Późniejsze badanie z 2018 roku, przeprowadzone na dwóch milionach użytkowników popularnej witryny, wykazało, że rzeczywista unikalność jest niższa, około 33,6%, ponieważ zwykli użytkownicy korzystają z typowych konfiguracji. Prawda leży gdzieś pomiędzy tymi liczbami i tak czy inaczej, im bardziej nietypowa jest Twoja przeglądarka, tym bardziej zdradza Cię Twój unikatowy odcisk palca.
Technika ta jest również znacznie bardziej powszechna, niż większość ludzi zdaje sobie sprawę. Przeszukanie miliona najpopularniejszych stron internetowych przez Princeton wykazało, że odciski palców canvas działają na około 1,6% z nich, wyprzedzając 5% najpopularniejszych witryn, a późniejsze pomiary wskazują, że do 2021 roku będą one sięgać blisko 10% spośród stu tysięcy najpopularniejszych. Działa to jednak nierównomiernie, ponieważ badania AmIUnique wykazały, że około 90% przeglądarek na komputerach stacjonarnych było unikatowych, w porównaniu z około 81% na urządzeniach mobilnych, gdzie sprzęt jest zazwyczaj bardziej jednolity. Tak czy inaczej, odciski palców dyskretnie krążą po dużej części stron, które już odwiedzasz.
Czym jest CreepJS i kto go stworzył?
CreepJS to nie tracker próbujący sprzedać Twoje dane; to biblioteka open source do tworzenia odcisków palców i lustro, stworzone przez programistę Abrahama Juliota, aby pokazać, jak kruche są w rzeczywistości większość zabezpieczeń prywatności i jak odciski palców działają w praktyce. Wystarczy, że włączysz w przeglądarce wersję demonstracyjną na żywo, a ona uruchomi testy i zwróci Ci raport o tym, jak łatwo zidentyfikować i jak uczciwie wygląda Twoja przeglądarka.
Projekt jest dostępny na GitHubie na licencji MIT, z około 2400 gwiazdkami i zawiera ponad dwadzieścia kategorii testów na jednej stronie. Najlepiej rozumieć go jako benchmark badawczy, a nie jako rzeczywisty bloker botów – punkt odniesienia, którego badacze prywatności i dostawcy rozwiązań antywirusowych używają do oceny własnej pracy. Jeśli Twoja konfiguracja stealth nie przetrwa CreepJS, nie przetrwa również poważnej komercyjnej usługi odcisków palców, co właśnie dlatego to narzędzie stało się nieoficjalnym egzaminem, do którego wszyscy się przygotowują.
Raport, który generuje, jest niezwykle szczegółowy jak na darmowe narzędzie. Oprócz głównego wyniku zaufania, wymienia wszystkie zmierzone sygnały, oznacza te, które wyglądają na zmanipulowane, i pokazuje, jak stabilny pozostaje Twój odcisk palca po odświeżeniu strony. Dlatego programiści sięgają po niego w pierwszej kolejności, gdy chcą sprawdzić, czy poprawka dotycząca prywatności faktycznie coś zmieniła, czy tylko im się tak wydawało.
Jak CreepJS działa pod maską
Większość kontroli odcisków palców po prostu odczytuje ustawienia. CreepJS idzie o krok dalej, ponieważ sprawia, że przeglądarka faktycznie wykonuje pewne czynności: rysuje obraz, renderuje 3D, uruchamia odciski palców na generowanym dźwięku, uruchamia timery, a następnie analizuje, jak komputer wykonuje każde zadanie. „Jak” jest o wiele trudniej sfałszować niż „co” i to właśnie w tym CreepJS zyskał swoją reputację.
Sygnały zbierane przez CreepJS
Narzędzie korzysta z szerokiej gamy źródeł, a każdy z tych atrybutów przeglądarki ujawnia nieco inne informacje o Twoim urządzeniu. Poniższa tabela przedstawia najważniejsze z nich i ich zawartość.
| Sygnał | Co to ujawnia |
|---|---|
| Płótno | Niewielkie różnice w pikselach, gdy urządzenie renderuje tekst i kształty |
| WebGL / GPU | Sprzęt graficzny i sterownik widoczne dzięki renderowaniu 3D |
| Audio internetowe | W jaki sposób Twój stos audio przetwarza wygenerowaną falę dźwiękową |
| Zainstalowane czcionki | Dokładna lista czcionek przechowywana w systemie |
| Rozdzielczość ekranu | Rozmiar wyświetlacza, głębia kolorów i stosunek pikseli |
| Agent użytkownika | Roszczenia dotyczące przeglądarki, wersji i systemu operacyjnego |
| WebRTC | Szczegóły sieci lokalnej, które mogą wyciekać poza sieć VPN |
Skrypt odczytuje większość z nich za pomocą zwykłego JavaScriptu i interfejsów API przeglądarki, w tym wtyczek zgłaszanych przez przeglądarkę. Następnie CreepJS uruchamia te same sondy wewnątrz procesów roboczych sieci i ukrytych ramek, aby zweryfikować odpowiedzi, ponieważ przeglądarka, która została zmodyfikowana, często podaje jedną odpowiedź w oknie głównym, a inną gdzie indziej.
Wynik zaufania, entropia i kłamstwa
CreepJS składa każdy sygnał w hash, kompaktową wartość, która reprezentuje cały Twój profil. Dodatkowo raportuje wynik zaufania, który mniej odzwierciedla Twoją rzadkość, a bardziej spójność i oczekiwany wygląd Twojej przeglądarki. Prosta, spójna konfiguracja dobrze wypada, nawet jeśli jest powszechna.
Najważniejszą zaletą jest wykrywanie kłamstw. CreepJS wykrywa „kłamstwa”, czyli drobne sprzeczności pojawiające się, gdy ktoś manipuluje przeglądarką, na przykład gdy agent użytkownika twierdzi, że jest to macOS, podczas gdy zainstalowane czcionki i grafika wyraźnie wskazują na Windows. Sfałszowanie jednej wartości powoduje powstanie niezgodności gdzie indziej, a ta niezgodność często jest głośniejsza niż oryginalny sygnał, który próbowałeś ukryć.
To sięga głębiej niż sprawdzanie etykiet. CreepJS mierzy również czas trwania poszczególnych operacji i sprawdza, jak silnik JavaScript zaokrągla wyniki matematyczne, ponieważ różne wersje silnika zaokrąglają obliczenia trygonometryczne w subtelnie różny sposób, a sfałszowany numer wersji nie może zmienić sposobu, w jaki prawdziwy silnik oblicza. Wystarczy połączyć wystarczająco dużo tych cichych kontroli, a pewne przebranie zacznie przypominać kostium.
Co CreepJS ujawnia na temat przeglądarek bezgłowych
To właśnie ta część denerwuje scraperów i twórców botów. Proste narzędzia do automatyzacji przeglądarek włączają się niemal natychmiast, ponieważ domyślna sesja Selenium lub Playwright niesie ze sobą oczywiste sygnały, takie jak flaga navigator.webdriver ustawiona na true, agent użytkownika HeadlessChrome i sygnały, które po prostu nie pokrywają się z sygnałami w przeglądarce użytkownika. Ukryte poprawki przyciemniają te sygnały, ale rzadko je wyłączają.
Niezależne testy z wykorzystaniem CreepJS pokazują, jak duża jest różnica między surowym botem a ostrożnym. Poniższe dane pochodzą z opisów wykrywania botów, w których każde narzędzie przeszło ten sam test odcisku palca.
| Konfiguracja automatyzacji | Wykrywanie CreepJS |
|---|---|
| Waniliowy selen / dramatopisarz | ~100% wykryto |
| Dramaturg z wtyczką stealth | ~40% wykryto |
| Niewykryty sterownik Chrome | ~31% wykryto |
| Camoufox (zahartowany Firefox) | wynik bliski 0% bezgłowy |
Lekcja dla każdego, kto tworzy web scraper, jest prosta. Wyłączenie jednej flagi nie wystarczy, ponieważ CreepJS sprawdza, czy cały profil jest spójny, a częściowo zamaskowane narzędzie automatyzacji w CreepJS często wypada gorzej niż uczciwe. Celem nie jest rozebranie przeglądarki do poziomu, w którym nie ma nic do raportowania, ponieważ pusty profil sam w sobie jest podejrzany, ale sprawienie, aby sesja bezgłowa renderowała się, zachowywała i mierzyła czas dokładnie tak, jak prawdziwa przeglądarka na prawdziwym ekranie, co jest znacznie trudniejsze niż ustawienie jednego ustawienia na false.
Pokonywanie wykrycia CreepJS dla kont kryptowalutowych
Oto punkt widzenia, który rzadko pojawia się w wyjaśnieniach CreepJS. Giełdy i platformy airdropów pobierają odciski palców odwiedzających z tego samego powodu, dla którego kasyna obserwują salę – aby przyłapać jedną osobę po cichu zarządzającą wieloma kontami, a jeden wspólny odcisk palca może połączyć całą farmę „oddzielnych” portfeli z jedną maszyną.
Dlaczego giełdy i zrzuty danych pozwalają na identyfikację użytkownika
Stawką są tu prawdziwe pieniądze. Kiedy protokół LayerZero w maju 2024 roku rozpoczął walkę z systemem Airdrop Sybil , oznaczył 803 093 adresy jako podejrzane o multi-account farming, a do końca około 59% wszystkich aplikantów zostało usuniętych. Odcisk palca urządzenia i przeglądarki to jedno z najskuteczniejszych narzędzi, z których korzystają platformy do łączenia tych kont. Nowe portfele można utworzyć w kilka sekund, ale stworzenie prawdziwego, nowego odcisku palca jest znacznie trudniejsze.
Co właściwie robią przeglądarki z funkcją antywirusową
Tutaj pojawiają się przeglądarki anty-wykrywające , kategoria obejmująca Multilogin, GoLogin, AdsPower i Dolphin Anty . Zamiast ukrywać Twój odcisk palca, nadają każdemu profilowi własny, kompletny i wewnętrznie spójny, dzięki czemu każde konto wygląda jak inna zwykła osoba, a nie ta sama osoba w przebraniu. Popyt eksplodował, a sam AdsPower odnotowuje wzrost z około 100 000 użytkowników w 2020 r. do około 9 milionów w 2025 r. To, co robią dobrze, to spójność, ponieważ profil, który jest w pełni spójny, pokonuje ten, który jest sprytnie poprawiony w trzech miejscach i sprzeczny w czwartym. Pod maską każdy profil dostarcza dopasowany zestaw wartości. Wiarygodny agent użytkownika, lista czcionek, ciąg GPU, rozmiar ekranu i strefa czasowa należą do tego samego wyobrażonego urządzenia, a lepsze narzędzia obracają je jako pojedynczą jednostkę, zamiast edytować jedno pole i mieć nadzieję, że reszta nadal pasuje. Należy jednak poczynić tu jedno uczciwe zastrzeżenie. Czysty odcisk palca chroni prywatność Twojego logowania, nie zastępuje jednak osobistej opieki i trzeźwego nadzoru nad bezpieczeństwem operacji, a prowadzenie wielu kont może stanowić naruszenie warunków platformy.
Jak obniżyć swój wynik zaufania CreepJS
Konkretny opis przejścia jest rzadszy, niż mogłoby się wydawać, a sprzeczna z intuicją zasada, która za nim stoi, brzmi: przeciętny i spójny wygląd przebija pozory parodii. Oto rozsądna kolejność:
1. Zacznij od prawdziwego, powszechnego profilu urządzenia i powstrzymaj się od podrabiania poszczególnych wartości, ponieważ każda niezgodność, którą stworzysz, to coś, co CreepJS może oznaczyć jako kłamstwo.
2. Aby zachować całkowitą anonimowość, użyj przeglądarki Tor Browser , która dzieli Twój ekran na stałe rozmiary, wykorzystując czarne pasy, i sprawia, że każdy komputer z systemem Windows wyświetla ten sam system Windows, a każdy komputer Mac wyświetla ten sam system macOS, dzięki czemu możesz wtopić się w tłum.
3. Rozważmy Brave, którego farbling dodaje niewielki, losowy element na sesję do odczytów na płótnie i w nagraniach audio, dzięki czemu wartości zmieniają się między witrynami zamiast tworzyć jeden, stabilny identyfikator.
4. Unikaj egzotycznych rozszerzeń i nietypowych ustawień, ponieważ każdy dziwny wybór podnosi twoją entropię i sprawia, że stajesz się bardziej wyjątkowy, a nie mniej.
5. W przypadku pracy z wieloma kontami, zamiast mnóstwa dodatków zapewniających prywatność, skorzystaj z odpowiedniej przeglądarki z funkcją antywirusową i spójnym profilem, a następnie przetestuj ją ponownie na żywo w wersji demonstracyjnej CreepJS i zobacz, czy liczą się kłamstwa, a nie tylko wynik w nagłówku.
Zacznij od kont, które naprawdę mają znaczenie, przeprowadź uczciwy test i potraktuj otrzymane wyniki jako informację zwrotną, a nie ocenę, którą musisz zdać celująco za pierwszym razem.
Ograniczenia omijania odcisku palca przeglądarki
Nigdy tak naprawdę nie wygrasz z odciskami palców, jedynie wtapiasz się w tłum, a CreepJS istnieje po to, by pokazać, jak cienka może być ta powierzchowność. Narzędzia zapobiegające odciskom palców uległy poprawie, ale metody wykrywania również. Szerszy trend również nie napawa optymizmem w kwestii prywatności. Google utrzymało przy życiu pliki cookie stron trzecich w kwietniu 2025 roku, po latach obietnic ich wyeliminowania, a na początku tego samego roku po cichu zniosło własny zakaz odcisków palców dla reklamodawców – posunięcie, które brytyjski regulator danych uznał za nieodpowiedzialne. Odciski palców rosną, a nie zanikają, więc realistycznym celem jest niskoentropijny, spójny profil, który zniknie w tłumie, a nie prawdziwa niewidzialność.
Twój odcisk palca, CreepJS i prywatność
Uruchom CreepJS raz na sobie, a wynik zaufania będzie sygnałem ostrzegawczym, jakim powinien być. Celem nie jest sprawianie wrażenia ducha, co tylko czyni cię obcym, ale bycie zwyczajnym i spójnym, a także dopasowanie narzędzia do zadania – Tor, gdy zależy ci na anonimowości, spójny profil antywykrywczy, gdy zarządzasz wieloma kontami. Fingerprinting to gra w ukrycie, w którą gra się na zawsze. Tak więc prawdziwe pytanie jest proste: kiedy ostatnio sprawdzałeś, co twoja przeglądarka przekazuje sieci?
