CreepJS: Tarayıcı Parmak İzi Testi Sizi Nasıl Görüyor?
Sıradan bir web sayfasını açın ve hiçbir şeye tıklamadan önce, milyonlarca tarayıcı arasından sizin tarayıcınızı zaten tespit edebilir. Giriş yapmaya, çerezlere, izin istemine gerek yok. Geçmişinizi temizleyin, gizli moda geçin, her şeyi VPN üzerinden yönlendirin, yine de sayfa sizi tanıyabilir. Bu, adresinizden değil, web tarayıcınızın ücretsiz olarak sunduğu binlerce küçük özellikten yola çıkarak çalışır. CreepJS, ne kadar savunmasız olduğunuzu kanıtlayan bir araçtır ve nasıl çalıştığını gördükten sonra, web artık o kadar anonim hissettirmez. Bu kılavuz, CreepJS'nin ne olduğunu, sizi nasıl gördüğünü, tarayıcı gizliliğinin aşınmasına karşı nasıl mücadele edileceğini ve birden fazla kripto hesabı kullanan herkesin neden önemsemesi gerektiğini açıklıyor.
Tarayıcı parmak izi alma nedir?
Tarayıcı parmak izi, etiket kullanmadan yapılan bir tanımlama yöntemidir. Cihazınıza bir çerez bırakıp daha sonra okumak yerine, bir komut dosyası sessizce tarayıcınızın bir sayfayı yükleyerek ortaya çıkardığı düzinelerce ayrıntıyı toplar ve bunları genellikle size özgü tek bir değerde birleştirir. Ekran çözünürlüğünüz, yüklü yazı tipleriniz, saat diliminiz, kullanıcı aracısı dizeniz, grafik kartınızın bir görüntüyü çizme şekli; her biri kendi başına sıradan olsa da, bir araya getirildiklerinde yalnızca bir tarayıcıyı tanımlarlar ve neredeyse hiçbir diğerini tanımlayamazlar.
Bu kombinasyon ne kadar benzersiz? Çığır açan bir EFF araştırmasında , Peter Eckersley, kendilerini test eden ziyaretçiler arasında tarayıcıların %83,6'sının benzersiz olduğunu, eklenti ayrıntıları dahil edildiğinde ise bu oranın %94,2'ye yükseldiğini ve parmak izinin yaklaşık 18,1 bit tanımlayıcı bilgi taşıdığını buldu. Daha sonra 2018'de yapılan ve iki milyon ziyaretçiyi kapsayan bir araştırmada ise gerçek dünyadaki benzersizlik oranı daha düşük, yaklaşık %33,6 olarak belirlendi; çünkü sıradan kullanıcılar yaygın kurulumlarda kümeleniyor. Gerçek bu rakamlar arasında yer alıyor ve her iki durumda da, tarayıcınız ne kadar sıra dışıysa, benzersiz parmak iziniz sizi o kadar çok ele veriyor.
Bu teknik, çoğu insanın fark ettiğinden çok daha yaygın. Princeton'ın en popüler bir milyon web sitesini taramasında , canvas parmak izi alma yönteminin bunların yaklaşık %1,6'sında çalıştığı, en popüler sitelerde ise %5'i aştığı ve daha sonraki ölçümlerin 2021 yılına kadar en popüler yüz bin sitenin yaklaşık %10'unda bulunduğunu ortaya koydu. Ayrıca, AmIUnique'in araştırmasına göre masaüstü tarayıcıların yaklaşık %90'ı benzersizken, donanımın daha homojen olduğu mobil cihazlarda bu oran yaklaşık %81 civarında. Bir şekilde, parmak izi alma yöntemi, zaten ziyaret ettiğiniz sayfaların büyük bir bölümünde sessizce varlığını sürdürüyor.
CreepJS nedir ve kim geliştirdi?
CreepJS, verilerinizi satmaya çalışan bir izleyici değil; geliştirici Abraham Juliot tarafından, gizlilik savunmalarının ne kadar zayıf olduğunu ve parmak izi alma işleminin pratikte nasıl çalıştığını göstermek için oluşturulmuş açık kaynaklı bir parmak izi alma kütüphanesi ve aynasıdır. Tarayıcınızı canlı demoya yönlendirirsiniz, testlerini çalıştırır ve size tarayıcınızın ne kadar tanımlanabilir ve ne kadar dürüst göründüğüne dair bir rapor sunar.
Proje, yaklaşık 2400 yıldızla GitHub'da izin verici bir MIT lisansı altında yer alıyor ve yirmiyi aşkın test kategorisini tek bir sayfada bir araya getiriyor. Gerçek dünyada bot engelleyici olmaktan ziyade, araştırma amaçlı bir kıyaslama aracı olarak daha iyi anlaşılabilir; gizlilik araştırmacıları ve tespit önleyici yazılım satıcılarının kendi çalışmalarını ölçmek için kullandıkları bir ölçüt. Gizlilik kurulumunuz CreepJS'ye dayanamazsa, ciddi bir ticari parmak izi alma hizmetine de dayanamaz; işte tam da bu yüzden bu araç, herkesin çalıştığı gayri resmi bir sınav haline geldi.
Ürettiği rapor, ücretsiz bir araç için alışılmadık derecede ayrıntılı. Başlıkta yer alan güven puanının yanı sıra, ölçtüğü her sinyali listeliyor, manipüle edilmiş gibi görünenleri işaretliyor ve sayfayı yeniden yüklediğinizde parmak izinizin ne kadar istikrarlı kaldığını gösteriyor. Bu nedenle geliştiriciler, bir gizlilik ayarının gerçekten bir şeyi değiştirip değiştirmediğini veya sadece öyle hissettirip hissettirmediğini öğrenmek istediklerinde ilk olarak bu araca başvuruyorlar.
CreepJS'in arka planda nasıl çalıştığı
Çoğu parmak izi kontrolü yalnızca ayarlarınızı okur. CreepJS ise daha da ileri gider, çünkü tarayıcınızın gerçekten bir şeyler yapmasını sağlar: bir resim çizer, 3D oluşturur, oluşturulan bir ses üzerinde ses parmak izi alır, zamanlayıcıları çalıştırır ve ardından makinenizin her görevi nasıl gerçekleştirdiğini inceler. Nasıl yapıldığı, ne yapıldığına göre çok daha zor taklit edilir ve CreepJS'nin ününü de buradan alır.
CreepJS'nin topladığı sinyaller
Bu araç çok çeşitli kaynaklardan bilgi çekiyor ve bu tarayıcı özelliklerinin her biri cihazınız hakkında biraz farklı bilgiler ortaya çıkarıyor. Aşağıdaki tabloda başlıca olanlar ve bunların neler ortaya çıkardığı gösterilmektedir.
| Sinyal | Ortaya koyduğu şey |
|---|---|
| Tuval | Cihazınız metin ve şekilleri işlerken oluşan minik piksel farklılıkları |
| WebGL / GPU | 3D işleme yoluyla ortaya çıkan grafik donanımınız ve sürücünüz. |
| Web Ses Kaydı | Ses işleme sisteminizin üretilen ses dalgasını nasıl işlediği |
| Yüklenen yazı tipleri | Sisteminizin desteklediği tam yazı tipi listesi |
| Ekran çözünürlüğü | Ekran boyutu, renk derinliği ve piksel oranı |
| Kullanıcı aracısı | Tarayıcı, sürüm ve işletim sistemi iddiaları |
| WebRTC | VPN üzerinden sızabilecek yerel ağ ayrıntıları. |
Bir komut dosyası, tarayıcınızın bildirdiği eklentiler de dahil olmak üzere, bunların çoğunu sıradan JavaScript ve tarayıcı API'leri aracılığıyla okur. CreepJS daha sonra, tarayıcıda yapılan değişiklikler nedeniyle genellikle ana pencerede bir yanıt, başka bir yerde ise farklı bir yanıt verildiği için, yanıtları çapraz kontrol etmek amacıyla aynı sorguları web çalışanları ve gizli çerçeveler içinde çalıştırır.
Güven puanı, entropi ve yalanlar
CreepJS, her sinyali bir hash'e, yani tüm profilinizi temsil eden kompakt bir değere dönüştürür. Bunun etrafında bir güven puanı bildirir; bu puan, ne kadar nadir olduğunuzdan ziyade tarayıcınızın ne kadar tutarlı ve beklenir göründüğüyle ilgilidir. Sade ve tutarlı bir kurulum, yaygın olsa bile iyi puan alır.
İşin püf noktası yalan tespiti. CreepJS, birisi tarayıcısıyla oynadığında ortaya çıkan küçük çelişkileri, yani "yalanları" izler; örneğin, kullanıcı aracısı macOS olduğunu iddia ederken yüklü yazı tipleri ve grafik yığını açıkça Windows olduğunu gösteriyorsa. Bir değeri taklit ederseniz, başka bir yerde bir uyumsuzluk yaratırsınız ve bu uyumsuzluk genellikle gizlemeye çalıştığınız orijinal sinyalden daha belirgindir.
CreepJS, etiketleri kontrol etmekten daha derinlere iner. Ayrıca belirli işlemlerin ne kadar sürdüğünü ölçer ve JavaScript motorunuzun matematiksel sonuçları nasıl yuvarladığını inceler, çünkü farklı motor sürümleri trigonometrik hesaplamaları ince farklılıklarla yuvarlar ve sahte bir sürüm numarası gerçek motorun hesaplama şeklini değiştiremez. Bu sessiz kontrollerin yeterince bir araya gelmesiyle, kendinden emin bir kılık değiştirme, bir kostüme benzemeye başlar.
CreepJS'in başsız tarayıcılar hakkında ortaya koyduğu şeyler
İşte bu kısım, veri kazıyıcıları ve bot geliştiricilerini tedirgin ediyor. Basit tarayıcı otomasyon araçları neredeyse anında devreye giriyor, çünkü varsayılan bir Selenium veya Playwright oturumu, navigator.webdriver bayrağının true olarak ayarlanması, HeadlessChrome kullanıcı aracısı ve gerçek bir kişinin tarayıcısının nasıl davranacağıyla örtüşmeyen sinyaller gibi bariz ipuçları taşıyor. Gizli yamalar bu ipuçlarını azaltır, ancak nadiren tamamen ortadan kaldırır.
CreepJS'ye karşı yapılan bağımsız testler, ham bir bot ile dikkatli bir bot arasındaki farkın ne kadar büyük olduğunu gösteriyor. Aşağıdaki rakamlar, her bir aracı aynı parmak izi testinden geçiren bot karşıtı tespit yazılarından alınmıştır.
| Otomasyon kurulumu | CreepJS tespiti |
|---|---|
| Vanilya Selenyum / Oyun Yazarı | ~%100 tespit edildi |
| Playwright, gizli eklenti ile birlikte. | ~%40 tespit edildi |
| Algılanmayan ChromeSürücüsü | ~%31 tespit edildi |
| Camoufox (güçlendirilmiş Firefox) | başsız puan neredeyse %0 |
Web kazıyıcı geliştiren herkes için ders çok açık: Tek bir bayrağı kapatmak yeterli değil, çünkü CreepJS tüm profilin tutarlı olup olmadığını kontrol ediyor ve CreepJS üzerinde yarı gizlenmiş bir otomasyon aracı genellikle dürüst bir araçtan daha kötü puan alıyor. Amaç, tarayıcıyı rapor edilecek hiçbir şeyi kalmayacak şekilde basitleştirmek değil, çünkü boş bir profilin kendisi şüphelidir; amaç, başsız bir oturumun gerçek bir ekrandaki gerçek bir tarayıcı gibi çalışmasını, davranmasını ve zamanlamasını sağlamaktır ki bu, tek bir ayarı false'a çevirmekten çok daha zor bir iştir.
Kripto hesaplar için CreepJS tespitini aşmak
İşte CreepJS açıklamalarında nadiren gördüğüm bir bakış açısı. Borsalar ve airdrop platformları, kumarhanelerin oyun alanını izlemesiyle aynı nedenle ziyaretçilerin parmak izlerini alıyorlar: Bir kişinin sessizce birçok hesabı yönetmesini yakalamak için ve tek bir ortak parmak izi, bir sürü "ayrı" cüzdanı tek bir makineye bağlayabilir.
Borsalar ve airdroplar neden parmak izinizi alıyor?
Buradaki riskler gerçek para. LayerZero protokolü Mayıs 2024'te airdrop dolandırıcılığına karşı yürüttüğü operasyonda, 803.093 adresi çoklu hesap üzerinden veri toplama şüphesiyle işaretledi ve sonunda başvuranların yaklaşık %59'u sistemden çıkarıldı. Cihaz ve tarayıcı parmak izi alma, platformların bu hesapları birbirine bağlamak için kullandığı en güçlü araçlardan biridir. Saniyeler içinde yeni cüzdanlar oluşturabilirsiniz, ancak gerçekten yeni bir parmak izi oluşturmak çok daha zordur.
Tarayıcı algılama önleme programları aslında ne işe yarıyor?
İşte burada, Multilogin, GoLogin, AdsPower ve Dolphin Anti-detect gibi tarayıcıları içeren anti-detect tarayıcılar devreye giriyor. Parmak izinizi gizlemek yerine, her profile kendi eksiksiz ve içsel olarak tutarlı bir profil veriyorlar, böylece her hesap aynı kişinin kılık değiştirmiş hali değil, farklı bir sıradan kişi gibi görünüyor. Talep patladı ve yalnızca AdsPower bile 2020'de yaklaşık 100.000 kullanıcıdan 2025'te yaklaşık 9 milyona ulaşacağını bildiriyor. Doğru yaptıkları şey tutarlılık, çünkü tamamen tutarlı bir profil, üç yerde zekice yamalanmış ve dördüncü bir yerde çelişkili olan bir profilden daha iyidir. Arka planda, her profil eşleşen bir değer kümesi gönderir. İnandırıcı bir kullanıcı aracısı, bir yazı tipi listesi, bir GPU dizesi, bir ekran boyutu ve bir saat dilimi, hepsi aynı hayali cihaza aittir ve daha iyi araçlar, bir alanı düzenleyip geri kalanının hala uyacağını ummak yerine bunları tek bir birim olarak döndürür. Ancak burada dürüst bir uyarıda bulunmak gerekiyor. Temiz bir parmak izi giriş gizliliğinizi korur, ancak kişisel güvenliğin ve dikkatli operasyonel güvenliğin yerini tutmaz ve birden fazla hesap kullanmak platformun şartlarını ihlal edebilir.
CreepJS güven puanınızı nasıl düşürebilirsiniz?
Somut bir yol haritası sandığınızdan daha nadirdir ve bunun ardındaki sezgisel olmayan kural, sıradan ve tutarlı görünmenin taklit edilmekten daha iyi olduğudur. İşte izlenecek mantıklı bir sıra:
1. Gerçek, yaygın bir cihaz profilinden başlayın ve bireysel değerleri kısmen taklit etme dürtüsüne karşı koyun, çünkü oluşturduğunuz her uyumsuzluk CreepJS tarafından yalan olarak işaretlenebilir.
2. Tamamen anonim kalmak için, ekranınızı letterboxing yöntemiyle sabit boyutlara bölen ve her Windows makinesinin aynı Windows'u, her Mac'in de aynı macOS'u bildirmesini sağlayan Tor Tarayıcısını kullanın; böylece kalabalığın içinde kaybolursunuz.
3. Brave'i ele alalım; bu araç, tuval ve sesli okumalara oturum başına küçük bir rastgele değişiklik ekleyerek değerlerin tek bir sabit kimlik oluşturmak yerine siteler arasında değişmesini sağlıyor.
4. Alışılmadık eklentilerden ve sıra dışı ayarlardan kaçının, çünkü her garip seçim entropinizi artırır ve sizi daha az değil, daha benzersiz kılar.
5. Çoklu hesap kullanımı için, bir sürü gizlilik eklentisi yerine tutarlı bir profile sahip, düzgün bir anti-tespit tarayıcısına güvenin, ardından canlı CreepJS demosunda yeniden test edin ve sadece manşet puanını değil, yalanların sayısını da izleyin.
Öncelikle gerçekten önemli olan hesaplarla başlayın, dürüstçe test edin ve sonucu ilk denemede mükemmel almanız gereken bir not olarak değil, geri bildirim olarak değerlendirin.
Tarayıcı parmak izi alma yöntemini atlatmanın sınırları
Parmak izi alma yöntemine karşı asla gerçekten kazanamazsınız, sadece ortama karışırsınız ve CreepJS, bu karışmanın ne kadar ince olabileceğini göstermek için var. Parmak izi alma karşıtı araçlar gelişti, ancak tespit yöntemleri de gelişti. Daha geniş eğilim de gizlilik açısından cesaret verici değil. Google, yıllarca ortadan kaldıracağına söz verdikten sonra Nisan 2025'te üçüncü taraf çerezlerini aktif tuttu ve o yılın başlarında sessizce reklamverenler için parmak izi alma yasağını kaldırdı; bu hareket İngiltere'nin veri düzenleyicisi tarafından sorumsuzluk olarak nitelendirildi. Parmak izi alma yöntemi azalmak yerine artıyor, bu nedenle gerçekçi hedef, gerçek görünmezlik değil, kalabalığın içinde kaybolan düşük entropili, tutarlı bir profil oluşturmaktır.
Parmak iziniz, CreepJS ve gizlilik
CreepJS'i bir kez kendinizde çalıştırın ve güven puanının, olması gerektiği gibi bir uyarı işareti olmasına izin verin. Amaç, sizi daha da tuhaf gösteren bir hayalet gibi görünmek değil, sıradan ve tutarlı görünmek ve aracı işe uygun hale getirmektir — anonimlik istediğinizde Tor, birçok hesabı yönetirken tutarlı bir tespit karşıtı profil. Parmak izi alma, kalıcı olmak için oynanan bir kamufle oyunudur. Bu nedenle asıl soru basittir: Kendi tarayıcınızın web'e ne söylediğini en son ne zaman kontrol ettiniz?
