CreepJS: как браузерный тест на определение типа браузера вас распознает
Откройте обычную веб-страницу, и прежде чем вы что-либо нажмете, она уже сможет распознать ваш браузер среди миллионов других. Никакой авторизации, никаких cookie, никаких запросов на разрешение. Очистите историю, переключитесь в режим инкогнито, используйте VPN, и страница часто все равно сможет вас распознать. Она работает не по вашему адресу, а по тысячам мельчайших особенностей, которые ваш веб-браузер предоставляет бесплатно. CreepJS — это инструмент, который доказывает, насколько вы уязвимы, и как только вы увидите, как он работает, интернет перестанет казаться таким уж анонимным. В этом руководстве объясняется, что такое CreepJS, как он вас видит, как противостоять нарушению конфиденциальности браузера и почему это важно для всех, кто использует более одного криптовалютного аккаунта.
Что такое идентификация браузера по отпечатку (browser fingerprinting)?
Идентификация по отпечатку браузера — это идентификация без метки. Вместо того чтобы размещать cookie-файл на вашем устройстве и считывать его позже, скрипт незаметно собирает десятки деталей, которые ваш браузер раскрывает просто при загрузке страницы, а затем объединяет их в одно значение, которое часто является уникальным для вас. Разрешение экрана, установленные шрифты, часовой пояс, строка пользовательского агента , точный способ отрисовки изображения вашей видеокартой — каждая из этих деталей сама по себе обыденна, но вместе они описывают один браузер и почти ни один другой.
Насколько уникальна эта комбинация? В знаменательном исследовании EFF Питер Экерсли обнаружил, что 83,6% браузеров были уникальными среди посетителей, которые тестировали их самостоятельно, и этот показатель вырос до 94,2% после включения данных о плагинах, при этом «отпечаток» содержал около 18,1 бит идентифицирующей информации. Более позднее исследование 2018 года, охватившее два миллиона посетителей популярного сайта, показало более низкий уровень уникальности в реальном мире — около 33,6%, поскольку обычные пользователи используют стандартные конфигурации. Истина находится между этими цифрами, и в любом случае, чем необычнее ваш браузер, тем больше ваш уникальный «отпечаток» вас выдаст.
Эта технология гораздо более распространена, чем многие думают. Исследование Принстонского университета , охватившее миллион самых популярных веб-сайтов, показало, что дактилоскопия с использованием Canvas применяется примерно на 1,6% из них, превысив 5% на самых популярных сайтах, а более поздние измерения показали, что к 2021 году она приблизилась к 10% из ста тысяч самых популярных сайтов. Однако, её применение неравномерно, поскольку исследование AmIUnique показало, что примерно 90% браузеров на настольных компьютерах имеют уникальные идентификаторы, тогда как на мобильных устройствах этот показатель составляет около 81%, где аппаратное обеспечение, как правило, более однородно. Так или иначе, дактилоскопия незаметно присутствует на значительной части страниц, которые вы уже посещаете.
Что такое CreepJS и кто его создал?
CreepJS — это не трекер, пытающийся продать ваши данные; это библиотека и зеркало с открытым исходным кодом для снятия отпечатков браузера, созданные разработчиком Абрахамом Джулиотом, чтобы показать, насколько слабы большинство средств защиты конфиденциальности и как работает снятие отпечатков на практике. Вы наводите свой браузер на демонстрационную версию, она запускает свои тесты и возвращает вам отчет о том, насколько идентифицируемым и честным выглядит ваш браузер.
Проект размещен на GitHub под разрешительной лицензией MIT и имеет около 2400 звезд, объединяя более двадцати категорий тестов на одной странице. Его лучше рассматривать как исследовательский эталон, а не как реальный блокировщик ботов, критерий, который используют исследователи конфиденциальности и поставщики средств защиты от обнаружения ботов для оценки своей работы. Если ваша система скрытного доступа не выдержит CreepJS, она не выдержит и серьезного коммерческого сервиса по снятию отпечатков пальцев, именно поэтому этот инструмент стал неофициальным экзаменом, к которому все готовятся.
Для бесплатного инструмента отчет, который он выдает, необычайно подробный. Помимо основного показателя доверия, в нем перечислены все измеренные сигналы, отмечены те, которые выглядят сфальсифицированными, и показано, насколько стабилен ваш «отпечаток пальца» при перезагрузке страницы. Именно поэтому разработчики в первую очередь обращаются к нему, когда хотят узнать, действительно ли изменение настроек конфиденциальности что-то изменило или это просто показалось.
Как работает CreepJS изнутри
Большинство проверок на основе аудиоотпечатков просто считывают ваши настройки. CreepJS идет дальше, заставляя ваш браузер фактически выполнять определенные действия: рисовать изображение, рендерить 3D-модель, проводить аудиоотпечаток сгенерированного звука, запускать таймеры, а затем анализировать, как ваша машина выполняет каждую задачу. Подделать «как» гораздо сложнее, чем «что», и именно в этом CreepJS заслуживает своей репутации.
Сигналы, которые собирает CreepJS
Этот инструмент собирает данные из самых разных источников, и каждый из этих атрибутов браузера раскрывает немного отличающуюся информацию о вашем устройстве. В таблице ниже показаны основные из них и то, что они раскрывают.
| Сигнал | Что это раскрывает |
|---|---|
| Холст | Незначительные различия в пикселях при отображении текста и фигур вашим устройством. |
| WebGL / GPU | Ваше графическое оборудование и драйверы, доступные через 3D-рендеринг. |
| Веб-аудио | Как ваша аудиосистема обрабатывает сгенерированную звуковую волну |
| Установленные шрифты | Точный список шрифтов, имеющихся в вашей системе. |
| Разрешение экрана | Размер дисплея, глубина цвета и соотношение пикселей. |
| Агент пользователя | Заявления о браузере, версии и операционной системе |
| WebRTC | Информация о локальной сети, которая может просочиться через VPN. |
Скрипт считывает большинство этих данных через обычный JavaScript и API браузера, включая плагины, о которых сообщает ваш браузер. Затем CreepJS запускает те же самые проверки внутри веб-воркеров и скрытых фреймов для перекрестной проверки ответов, поскольку браузер, подвергшийся модификации, часто выдает один ответ в главном окне и другой ответ в другом месте.
Показатель доверия, энтропия и ложь
CreepJS сворачивает каждый сигнал в хеш — компактное значение, которое представляет собой весь ваш профиль. На основе этого он выдает оценку доверия, которая меньше зависит от вашей редкости и больше от того, насколько последовательно и предсказуемо выглядит ваш браузер. Простая и понятная конфигурация получает высокую оценку, даже если она распространена.
Главная хитрость заключается в обнаружении «лжи». CreepJS отслеживает «ложь» — небольшие противоречия, которые появляются, когда кто-то вмешивается в настройки браузера, например, когда пользовательский агент указывает на macOS, а установленные шрифты и графический стек явно указывают на Windows. Подмена одного значения создает несоответствие в другом месте, и это несоответствие часто оказывается более заметным, чем исходный сигнал, который вы пытались скрыть.
Проверка выходит за рамки простого анализа меток. CreepJS также измеряет время выполнения определенных операций и проверяет, как ваш JavaScript-движок округляет результаты математических вычислений, поскольку разные версии движка округляют тригонометрические вычисления несколько по-разному, и поддельный номер версии не может изменить фактический способ вычислений реального движка. Если собрать достаточное количество таких скрытых проверок, уверенная маскировка начнет выглядеть как костюм.
Что CreepJS раскрывает о безголовых браузерах
Именно это заставляет нервничать создателей скрейперов и ботов. Обычные инструменты автоматизации браузера срабатывают практически мгновенно, потому что сессия Selenium или Playwright по умолчанию содержит очевидные сигналы: флаг navigator.webdriver, установленный в true, пользовательский агент HeadlessChrome и сигналы, которые просто не совпадают с тем, как бы выглядел браузер реального человека. Скрытые патчи приглушают эти сигналы, но редко отключают их полностью.
Независимое тестирование CreepJS показывает, насколько велика разница между необработанным ботом и ботом, использующим его тщательно. Приведенные ниже данные взяты из обзоров средств защиты от ботов, в которых каждый инструмент проходил один и тот же тест на определение ботов.
| Настройка автоматизации | Обнаружение CreepJS |
|---|---|
| Ванильный Селен / Драматург | Обнаружено ~100% |
| Драматург с плагином для скрытого использования | Обнаружено около 40% |
| Необнаруженный ChromeDriver | обнаружено ~31% |
| Camoufox (усиленная версия Firefox) | почти 0% безголовый рейтинг |
Урок для любого, кто создает веб-скрейпер, предельно ясен. Отключения одного флага недостаточно, потому что CreepJS проверяет, целостность всего профиля, и наполовину замаскированный инструмент автоматизации на CreepJS часто показывает худшие результаты, чем честный. Цель состоит не в том, чтобы полностью очистить браузер от лишних данных, поскольку пустой профиль сам по себе вызывает подозрения, а в том, чтобы заставить безголовую сессию отображаться, вести себя и измерять время точно так же, как настоящий браузер на реальном экране, что гораздо сложнее, чем просто перевести одну настройку в значение false.
Как обойти обнаружение CreepJS для криптовалютных аккаунтов
Вот ракурс, который я редко вижу в объяснениях CreepJS. Биржи и платформы для аирдропов отпечатывают отпечатки пальцев посетителей по той же причине, по которой казино следят за игровым залом — чтобы поймать одного человека, незаметно управляющего множеством аккаунтов, и один общий отпечаток может связать целую ферму «отдельных» кошельков с одним автоматом.
Почему биржи и аирдропы отслеживают ваши данные?
Здесь на кону реальные деньги. Когда протокол LayerZero в мае 2024 года проводил проверку на предмет использования Sybil в рамках аирдропов , он выявил 803 093 адреса как подозрительные на использование нескольких учетных записей для фарминга, и к концу примерно 59% всех заявок были отклонены. Идентификация по отпечаткам устройств и браузеров — один из самых мощных инструментов, используемых платформами для связи этих учетных записей. Можно создать новые кошельки за секунды, но создать действительно новый отпечаток гораздо сложнее.
Что на самом деле делают браузеры, блокирующие обнаружение угроз?
Вот тут-то и пригодятся браузеры, скрывающие вашу учетную запись , — к этой категории относятся Multilogin, GoLogin, AdsPower и Dolphin Anti . Вместо того чтобы скрывать ваш отпечаток, они создают для каждого профиля свой собственный, полный и внутренне согласованный профиль, так что каждая учетная запись выглядит как учетная запись другого обычного человека, а не одного и того же человека в маскировке. Спрос резко вырос, и только AdsPower сообщает о росте числа пользователей с примерно 100 000 в 2020 году до примерно 9 миллионов в 2025 году. Главное их преимущество — согласованность, поскольку полностью согласованный профиль лучше, чем тот, который хитроумно изменен в трех местах и противоречив в четвертом. Внутри каждый профиль содержит согласованный набор значений. Правдоподобный пользовательский агент, список шрифтов, строка GPU, размер экрана и часовой пояс — все это принадлежит одному и тому же воображаемому устройству, и лучшие инструменты меняют их как единое целое, а не редактируют одно поле и надеются, что остальные все еще подойдут. Однако здесь следует сделать одно честное замечание. Чистый отпечаток пальца защищает вашу конфиденциальность при входе в систему, но он не заменяет самоконтроль и трезвую операционную безопасность, а использование множества учетных записей может нарушать условия платформы.
Как снизить рейтинг доверия CreepJS
Конкретные пошаговые инструкции встречаются реже, чем вы думаете, и парадоксальное правило, лежащее в их основе, заключается в том, что обычный и последовательный вид лучше, чем подделка. Вот разумный порядок действий:
1. Начните с реального, распространенного профиля устройства и сопротивляйтесь желанию частично подделать отдельные значения, потому что каждое созданное вами несоответствие CreepJS может пометить как ложь.
2. Для полной анонимности используйте браузер Tor , который уменьшает размер экрана до фиксированных значений с помощью черных полос по краям и заставляет все компьютеры с Windows сообщать об одной и той же операционной системе Windows, а все компьютеры Mac — об одной и той же macOS, так что вы сольетесь с толпой.
3. Рассмотрим Brave, чья функция «фарблинг» добавляет небольшой элемент случайности для каждой сессии к показаниям холста и аудиозаписям, так что значения меняются между сайтами, вместо того чтобы формировать один стабильный идентификатор.
4. Избегайте экзотических дополнений и необычных настроек, поскольку каждый странный выбор увеличивает вашу энтропию и делает вас более уникальным, а не менее.
5. Для работы с несколькими учетными записями используйте браузер с надежной защитой от обнаружения и согласованным профилем, а не кучу расширений для обеспечения конфиденциальности, затем повторно протестируйте на работающей демоверсии CreepJS и посмотрите, сколько лжи будет учтено, а не только показатель заголовка.
Начните с действительно важных аккаунтов, проводите честное тестирование и рассматривайте полученные результаты как обратную связь, а не как оценку, которую нужно получить с первого раза.
Ограничения возможностей обхода идентификации браузера по отпечатку.
По-настоящему победить дактилоскопию невозможно, вы лишь сливаетесь с толпой, и CreepJS существует для того, чтобы показать, насколько тонким может быть это слияние. Инструменты защиты от дактилоскопии улучшились, но улучшились и методы обнаружения. Общая тенденция также не внушает оптимизма в отношении конфиденциальности. Google сохранил сторонние файлы cookie в апреле 2025 года после многолетних обещаний их отменить, а ранее в том же году тихо снял собственный запрет на дактилоскопию для рекламодателей — шаг, который британский регулятор данных назвал безответственным. Дактилоскопия растет, а не исчезает, поэтому реалистичная цель — это низкоэнтропийный, согласованный профиль, который сливается с толпой, а не истинная невидимость.
Ваш отпечаток пальца, CreepJS и конфиденциальность
Запустите CreepJS на себе один раз, и пусть показатель доверия станет для вас тем самым тревожным сигналом, каким он и должен быть. Цель не в том, чтобы выглядеть как призрак, что только делает вас страннее, а в том, чтобы выглядеть обычным и последовательным, и подобрать инструмент под задачу — Tor, когда вам нужна анонимность, или согласованный профиль защиты от обнаружения, когда вы управляете множеством учетных записей. Идентификация по отпечаткам пальцев — это игра на выживание. Поэтому главный вопрос прост: когда вы в последний раз проверяли, что ваш собственный браузер сообщает веб-пространству?
