CreepJS: Як вас бачить тест відбитків пальців браузера
Відкрийте одну звичайну веб-сторінку, і ще до того, як ви щось клацнете, вона вже може вибрати ваш браузер з мільйонів інших. Без входу в систему, без файлів cookie, без запиту на дозвіл. Очистіть історію, перейдіть у режим інкогніто, направте все через VPN, і сторінка часто все одно може вас розпізнати. Це працює не за вашою адресою, а за тисячами крихітних особливостей, які ваш веб-браузер надає безкоштовно. CreepJS – це інструмент, який доводить, наскільки ви вразливі, і як тільки ви побачите, як він працює, Інтернет перестане здаватися таким анонімним. У цьому посібнику пояснюється, що таке CreepJS, як він вас бачить, як протидіяти руйнуванню конфіденційності браузера та чому це має хвилювати будь-кого, хто керує кількома крипто-акаунтами.
Що таке відбиток браузера?
Відбиток браузера – це ідентифікація без тегу. Замість того, щоб залишати cookie на вашому пристрої та зчитувати його пізніше, скрипт непомітно збирає десятки деталей, які ваш браузер показує, просто завантажуючи сторінку, а потім об’єднує їх в одне значення, яке часто є унікальним для вас. Роздільна здатність вашого екрана, встановлені шрифти, ваш часовий пояс, рядок вашого користувацького агента , точний спосіб малювання зображення вашою відеокартою – кожен з них сам по собі буденний, але разом вони описують один браузер і майже жодного іншого.
Наскільки унікальне це поєднання? У знаковому дослідженні EFF Пітер Екерслі виявив, що 83,6% браузерів були унікальними серед відвідувачів, які протестували себе самі, і цей показник зріс до 94,2% після включення деталей плагінів, причому відбиток пальця містив близько 18,1 біта ідентифікаційної інформації. Пізніше дослідження 2018 року, проведене серед двох мільйонів відвідувачів основного сайту, показало нижчий рівень унікальності в реальному світі, близько 33,6%, оскільки звичайні користувачі групуються на поширених налаштуваннях. Істина знаходиться між цими цифрами, і в будь-якому випадку, чим незвичайніший ваш браузер, тим більше вас видає ваш унікальний відбиток пальця.
Цей метод також набагато поширеніший, ніж більшість людей усвідомлює. Дослідження Принстонського університету , проведене серед мільйона найпопулярніших веб-сайтів, виявило, що canvas-фінгерпринт працює приблизно на 1,6% з них, що перевищує 5% найпопулярніших сайтів, а пізніші вимірювання показали, що до 2021 року він наближається до 10% від ста тисяч найпопулярніших. Він також діє нерівномірно, оскільки дослідження AmIUnique показало, що приблизно 90% браузерів на комп’ютерах були унікальними, тоді як на мобільних пристроях цей показник становив близько 81%, де апаратне забезпечення, як правило, більш однорідне. Так чи інакше, фінгерпринт непомітно поширюється на значну частину сторінок, які ви вже відвідуєте.
Що таке CreepJS і хто його створив?
CreepJS — це не трекер, який намагається продати ваші дані; це бібліотека та дзеркало з відкритим кодом для зчитування відбитків пальців, створена розробником Abraham Juliot, щоб показати, наскільки насправді слабкими є більшість засобів захисту конфіденційності та як зчитування відбитків пальців працює на практиці. Ви вказуєте браузер на живу демонстрацію, вона проводить тести та надає вам звіт про те, наскільки ідентифікованим та чесним виглядає ваш браузер.
Проєкт розміщено на GitHub за ліцензією MIT, яка має приблизно 2400 зірок, і об’єднує понад двадцять категорій тестів на одній сторінці. Його найкраще розглядати як дослідницький бенчмарк, а не як реальний блокувальник ботів, мірило, яке дослідники конфіденційності та постачальники антидетекторів використовують для оцінки власної роботи. Якщо ваша прихована система не витримає CreepJS, вона також не витримає серйозного комерційного сервісу зняття відбитків пальців, саме тому цей інструмент став неофіційним іспитом, до якого всі готуються.
Звіт, який він створює, надзвичайно детальний для безкоштовного інструменту. Поряд із показником довіри до заголовка, він перераховує кожен виміряний сигнал, позначає ті, що виглядають підробленими, і показує, наскільки стабільним залишається ваш відбиток пальця після перезавантаження сторінки. Саме тому розробники спочатку звертаються до нього, коли хочуть знати, чи змінила зміна конфіденційності щось, чи просто відчули, що так.
Як CreepJS працює "під капотом"
Більшість перевірок на відбитки пальців просто зчитують ваші налаштування. CreepJS йде далі, оскільки він змушує ваш браузер фактично виконувати певні дії: малювати зображення, рендерити 3D, запускати аудіо-відбитки пальців на згенерованому звуці, запускати таймери, а потім вивчає, як ваша машина виконує кожне завдання. «Як» набагато важче підробити, ніж «що», і саме на цьому CreepJS заслужив свою репутацію.
Сигнали, які збирає CreepJS
Інструмент отримує інформацію з широкого кола джерел, і кожен із цих атрибутів браузера розкриває щось дещо відмінне про ваш пристрій. У таблиці нижче наведено основні з них та їхню інформацію.
| Сигнал | Що це розкриває |
|---|---|
| Полотно | Крихітні відмінності в пікселях під час відображення тексту та фігур пристроєм |
| WebGL / графічний процесор | Ваше графічне обладнання та драйвер, представлені за допомогою 3D-рендерингу |
| Веб-аудіо | Як ваш аудіостек обробляє згенеровану звукову хвилю |
| Встановлені шрифти | Точний список шрифтів, який містить ваша система |
| Роздільна здатність екрана | Розмір дисплея, глибина кольору та співвідношення пікселів |
| Агент користувача | Заяви щодо браузера, версії та операційної системи |
| WebRTC | Дані локальної мережі, які можуть просочуватися через VPN |
Скрипт зчитує більшість із них через звичайний JavaScript та API браузера, включаючи плагіни, про які повідомляє ваш браузер. Потім CreepJS запускає ті ж самі зонди всередині веб-воркерів та прихованих фреймів для перехресної перевірки відповідей, оскільки браузер, який був підроблений, часто видає одну відповідь у головному вікні та іншу відповідь деінде.
Рівень довіри, ентропія та брехня
CreepJS зводить кожен сигнал до хешу – компактного значення, яке замінює весь ваш профіль. На основі цього він повідомляє рейтинг довіри, який менше залежить від того, наскільки рідкісним ви є, і більше від того, наскільки послідовним та очікуваним виглядає ваш браузер. Проста, злагоджена конфігурація отримує хороші результати, навіть якщо вона поширена.
Найрозумніша частина — це виявлення брехні. CreepJS відстежує «брехню» — невеликі суперечності, що виникають, коли хтось втручається в браузер, наприклад, агент користувача стверджує, що це macOS, тоді як встановлені шрифти та графічний стек чітко вказують на Windows. Підробка одного значення — і ви створите невідповідність деінде, і ця невідповідність часто голосніша за початковий сигнал, який ви намагалися приховати.
Це глибше, ніж просто перевірка міток. CreepJS також підраховує час виконання певних операцій та перевіряє, як ваш JavaScript-движок округляє математичні результати, оскільки різні версії движка округляють тригонометричні обчислення дещо по-різному, а підроблений номер версії не може змінити те, як справжній движок фактично виконує обчислення. Об’єднайте достатню кількість цих тихих перевірок, і впевнена маскування почне виглядати як костюм.
Що CreepJS розкриває про браузери без графічного інтерфейсу
Саме це нервує скреперів та розробників ботів. Звичайні інструменти автоматизації браузера активуються майже миттєво, оскільки сеанс Selenium або Playwright за замовчуванням містить очевидні тели, прапорець navigator.webdriver, встановлений на true, агент користувача HeadlessChrome та сигнали, які просто не вирівнюються так, як це було б у браузері реальної людини. Патчі для приховування приглушують ці тели, але рідко вимикають їх.
Незалежне тестування CreepJS показує, наскільки велика різниця між «чистим» ботом та обережним. Наведені нижче цифри взяті з описів виявлення антиботів, в яких кожен інструмент пройшов однаковий тест на відбитки пальців.
| Налаштування автоматизації | Виявлення CreepJS |
|---|---|
| Ванільний Селен / Драматург | Виявлено ~100% |
| Драматург із плагіном-прихованою копією | Виявлено ~40% |
| Невиявлений драйвер Chrome | Виявлено ~31% |
| Камуфокс (посилений Firefox) | майже 0% безголового балу |
Урок для кожного, хто створює веб-скрейпер, очевидний. Вимкнення одного прапорця недостатньо, оскільки CreepJS перевіряє, чи весь профіль працює цілісним, а напівзамаскований інструмент автоматизації на CreepJS часто отримує гірші результати, ніж чесний. Мета полягає не в тому, щоб розібрати браузер доти, доки йому не буде про що повідомляти, оскільки порожній профіль сам по собі підозрілий, а в тому, щоб безголовий сеанс відображався, поводився та затримував час точно так само, як справжній браузер на реальному екрані, що набагато складніше, ніж змінити одне налаштування на «false».
Подолання виявлення CreepJS для крипто-акаунтів
Ось під яким кутом я рідко бачу пояснювальну обкладинку CreepJS. Біржі та платформи airdrop знімають відбитки пальців відвідувачів з тієї ж причини, що й казино, що спостерігають за ігровим залом — щоб спіймати одну людину, яка непомітно керує багатьма обліковими записами, а один спільний відбиток пальця може пов'язати цілу ферму «окремих» гаманців з одним автоматом.
Чому обміни та аірдропи знімають ваші відбитки пальців
Ставки тут реальні. Коли протокол LayerZero провів свою кампанію проти сибіл у травні 2024 року, він позначив 803 093 адреси як підозрювані у фармінгу кількох облікових записів, і до кінця приблизно 59% усіх заявок було видалено. Відбитки пристроїв та браузерів є одним із найпотужніших інструментів, які платформи використовують для зв'язування цих облікових записів. Ви можете створити нові гаманці за лічені секунди, але створити справді новий відбиток набагато складніше.
Що насправді роблять браузери з антидетектором
Саме тут і з'являються браузери з функцією anti-detect , категорія, до якої входять Multilogin, GoLogin, AdsPower та Dolphin Anty . Замість того, щоб приховувати ваш відбиток пальця, вони надають кожному профілю власний повний та внутрішньо узгоджений профіль, тому кожен обліковий запис виглядає як інша звичайна людина, а не як та сама людина під маскуванням. Попит різко зріс, і тільки AdsPower повідомляє про зростання з приблизно 100 000 користувачів у 2020 році до приблизно 9 мільйонів у 2025 році. Що вони роблять правильно, так це узгодженість, оскільки повністю узгоджений профіль перевершує той, який хитро виправлений у трьох місцях та суперечливий у четвертому. Під капотом кожен профіль постачає узгоджений набір значень. Правдоподібний агент користувача, список шрифтів, рядок графічного процесора, розмір екрана та часовий пояс належать до одного уявного пристрою, а кращі інструменти обертають їх як єдине ціле, замість того, щоб редагувати одне поле та сподіватися, що решта все ще підходить. Однак тут є одне чесне застереження. Чистий відбиток пальця захищає конфіденційність вашого входу, він не замінює самоконтролю та тверезого ведення операційної безпеки, а ведення багатьох облікових записів може порушувати умови платформи.
Як знизити рейтинг довіри CreepJS
Конкретне покрокове керівництво трапляється рідше, ніж ви думаєте, і за ним стоїть нелогічне правило: звичайний та послідовний вигляд краще, ніж підроблений. Ось розумний порядок дій:
1. Почніть з реального, поширеного профілю пристрою та не піддавайтеся спокусі напівфабрикувати окремі значення, оскільки кожну створену вами невідповідність CreepJS може позначити як брехню.
2. Для повної анонімності використовуйте браузер Tor , який об'єднує ваш екран у фіксовані розміри за допомогою letterboxing та змушує кожну машину з Windows повідомляти ту саму Windows, а кожен Mac — ту саму macOS, щоб ви зливалися з натовпом.
3. Розглянемо Brave, чий фарблінг додає невеликий випадковий поворот для кожного сеансу до показників полотна та аудіо, тому значення змінюються між сайтами, а не формують один стабільний ідентифікатор.
4. Уникайте екзотичних розширень та незвичайних налаштувань, оскільки кожен дивний вибір підвищує вашу ентропію та робить вас більш унікальним, а не менш.
5. Для роботи з кількома обліковими записами спирайтеся на належний браузер із захистом від виявлення та чітким профілем, а не на купу доповнень для забезпечення конфіденційності, а потім повторно протестуйте CreepJS у реальному часі та перевірте, чи враховується брехня, а не лише рейтинг заголовків.
Почніть з облікових записів, які дійсно мають значення, чесно тестуйте та ставтеся до цифри як до зворотного зв'язку, а не до оцінки, яку ви повинні отримати з першої спроби.
Межі обходу зчитування відбитків пальців браузера
Ви ніколи по-справжньому не перемагаєте проти зчитування відбитків пальців, ви лише зливаєтеся з натовпом, і CreepJS існує для того, щоб показати, наскільки тонким може бути це злиття. Інструменти боротьби з відбитками пальців покращилися, але також покращилися методи виявлення. Загальна тенденція також не є обнадійливою для конфіденційності. Google зберіг сторонні файли cookie у квітні 2025 року після багатьох років обіцянок їх знищити, а раніше того ж року він непомітно скасував власну заборону на зчитування відбитків пальців для рекламодавців — крок, який регулятор даних Великої Британії назвав безвідповідальним. Зчитування відбитків пальців зростає, а не зникає, тому реалістичною метою є низькоентропійний, когерентний профіль, який зникає в натовпі, а не справжня невидимість.
Ваш відбиток пальця, CreepJS та конфіденційність
Запустіть CreepJS на собі один раз, і нехай рейтинг довіри стане тим сигналом тривоги, яким він і має бути. Мета полягає не в тому, щоб виглядати як привид, який тільки робить вас дивнішим, а в тому, щоб виглядати звичайно та послідовно, і щоб інструмент відповідав його завданню — Tor, коли вам потрібна анонімність, узгоджений профіль антидетектора, коли ви керуєте багатьма обліковими записами. Відбитки пальців — це гра, в яку постійно грають. Тож справжнє питання просте: коли ви востаннє перевіряли, що ваш власний браузер повідомляє Інтернету?
