BrowserLeaks: Kiểm tra dấu vân tay trình duyệt và quyền riêng tư của bạn
VPN chỉ che giấu địa chỉ IP của bạn. Về cơ bản, đó là tất cả những gì nó làm. Trình duyệt bạn đang dùng để đọc bài viết này vẫn lưu trữ rất nhiều thông tin khác trên mọi trang web bạn truy cập: kích thước màn hình, card đồ họa, phông chữ cụ thể được cài đặt trên máy tính, cách bộ xử lý hiển thị hình ảnh ẩn. Khi kết hợp lại, những thông tin này tạo thành dấu vân tay của trình duyệt , cho phép theo dõi bạn trên nhiều trang web khác nhau ngay cả khi địa chỉ IP của bạn liên tục thay đổi.
BrowserLeaks là công cụ kiểm tra trình duyệt miễn phí cho bạn thấy chính xác những gì bạn đang để lộ. Nó thực hiện hơn hai mươi bài kiểm tra riêng biệt, không yêu cầu tài khoản và không lưu trữ bất cứ thứ gì. Hướng dẫn này sẽ giải thích ý nghĩa của từng bài kiểm tra, cách đọc kết quả mà không hoảng sợ và cách khắc phục các lỗ hổng. Ngoài ra còn có một điều mà hầu hết người dùng tiền điện tử bỏ qua: "giải pháp" mà mọi người khuyên dùng, trong ít nhất một trường hợp được ghi nhận, lại chính là thứ đã làm cạn kiệt ví của họ.
BrowserLeaks là gì và tại sao nó lại quan trọng?
BrowserLeaks không phải là sản phẩm bảo mật. Nó không che giấu bất cứ điều gì, không chặn bất cứ thứ gì, và cũng không bán cho bạn gói đăng ký. Nó là một công cụ chẩn đoán, một bản sao cho phù hợp với thiết lập của chính bạn. Bạn mở browserleaks.com, nhấp chuột qua một loạt các trang kiểm tra, và trang web sẽ báo cáo lại dữ liệu thô mà trình duyệt web của bạn vừa cung cấp.
Cách trình bày đó rất quan trọng vì những gì BrowserLeaks cố tình bỏ qua: điểm số. Không có đạt hay không đạt, không có dấu tích xanh, không có "điểm đánh giá quyền riêng tư của bạn là 87 trên 100". Một số người cảm thấy khó chịu vì điều đó. Tôi nghĩ đó là sự lựa chọn trung thực. Một con số duy nhất sẽ làm phẳng một bức tranh phức tạp thành một phán quyết, và bức tranh ở đây thực sự rất phức tạp. Công cụ này hiển thị cho bạn địa chỉ IP thực, kết quả WebRTC, mã băm canvas, trình phân giải DNS và để bạn tự diễn giải.
Trang web này đã hoạt động theo cùng một mô hình trong nhiều năm: miễn phí, dựa trên trình duyệt, không cần cài đặt, kết quả hiển thị theo thời gian thực. Có thể hiểu nó như một chỉ mục của các trang kiểm tra độc lập hơn là một bảng điều khiển duy nhất. Mỗi trang cô lập một điểm rò rỉ thông tin cụ thể để bạn có thể thấy điều gì đang làm ảnh hưởng đến bạn. Đối với bất kỳ ai muốn hiểu rõ thiết lập của mình thay vì tin vào lời quảng cáo, tính minh bạch đó chính là điều làm cho nó hữu ích cho việc kiểm tra quyền riêng tư một cách trung thực.
Cách thức hoạt động thực tế của việc nhận dạng dấu vân tay trình duyệt
Dấu vân tay không phải là cookie. Cookie là các tập tin mà một trang web lưu trữ trên máy tính của bạn và bạn có thể xóa chúng. Dấu vân tay được tạo ra từ những thông tin mà trình duyệt của bạn tự động tiết lộ khi được yêu cầu, và không có gì để xóa vì không có gì được lưu trữ. Đó là lý do tại sao dấu vân tay vẫn tồn tại ngay cả khi sử dụng chế độ ẩn danh, xóa bộ nhớ cache và kết nối VPN mới.
Quá trình hình thành dấu vân tay
Không có tín hiệu đơn lẻ nào có thể xác định danh tính của bạn. Độ phân giải màn hình của bạn được hàng triệu người sử dụng chung. Phiên bản trình duyệt, múi giờ và ngôn ngữ của bạn cũng vậy. Mấu chốt nằm ở sự kết hợp. Một trang web đọc thông tin về hiển thị trên canvas, chuỗi kết xuất WebGL, phông chữ đã cài đặt, user-agent, độ phân giải màn hình và hàng tá thuộc tính nhỏ khác, tất cả thông qua các API JavaScript thông thường, sau đó băm chúng thành một mã định danh duy nhất. Mỗi tín hiệu yếu riêng lẻ đều vô dụng. Nhưng khi kết hợp lại, chúng thường tạo nên một mã định danh duy nhất.
Vì sao nó vẫn hoạt động tốt ngay cả khi sử dụng VPN và chế độ ẩn danh?
VPN chỉ thay đổi một thuộc tính: địa chỉ IP. Dấu vân tay được tạo ra từ thiết bị và trình duyệt, chứ không phải từ mạng. Chuyển sang cửa sổ riêng tư và cùng một phần cứng vẫn hiển thị cùng một hình ảnh, báo cáo cùng một GPU, liệt kê cùng một phông chữ. Địa chỉ IP đã thay đổi; mọi thứ khác vẫn giữ nguyên. Đó là sai lầm mà mọi người thường mắc phải khi cho rằng VPN đồng nghĩa với sự ẩn danh.
Nó thực sự phổ biến đến mức nào?
Dữ liệu ở đây cũ hơn bạn tưởng và tệ hơn bạn hy vọng. Thí nghiệm Panopticlick của EFF đã kiểm tra khoảng 500.000 trình duyệt và phát hiện ra rằng 84% mang dấu vân tay độc nhất; khi bật Flash hoặc Java, con số này tăng lên trên 94%. Kể từ đó, việc sử dụng dấu vân tay chỉ ngày càng lan rộng. Một nghiên cứu đo lường năm 2025 từ UC San Diego cho thấy kỹ thuật sử dụng dấu vân tay canvas được triển khai trên 12,7% trong số 20.000 trang web hàng đầu. Và một nghiên cứu năm 2025 được trình bày tại Hội nghị Web ACM, có tên FPTrace , cho thấy việc thay đổi dấu vân tay đã cắt giảm chuỗi theo dõi từ 36.446 xuống còn 6.345 — giảm 83% — chứng minh kỹ thuật này được tích hợp trực tiếp vào việc nhắm mục tiêu quảng cáo theo thời gian thực, và nó vẫn hoạt động ngay cả sau khi người dùng chọn không tham gia theo GDPR. Chạy BrowserLeaks trên thiết lập của riêng bạn là một trong những cách nhanh nhất để xem bạn hiện đang phát ra những tín hiệu nào.
Các bài kiểm tra chính của BrowserLeaks, từng bài một.
Đây là phần bạn đang tìm kiếm. BrowserLeaks nhóm các bài kiểm tra của mình thành các trang riêng biệt, và mỗi bài kiểm tra nhận dạng dấu vân tay sẽ cô lập một tín hiệu. Dưới đây là những gì các bài kiểm tra chính phát hiện và vấn đề thực sự trông như thế nào trên màn hình.
| Bài kiểm tra | Điều nó phơi bày | Dấu hiệu của cờ đỏ trông như thế nào? |
|---|---|---|
| Địa chỉ IP | Địa chỉ IP công cộng, quốc gia, thành phố, nhà cung cấp dịch vụ Internet (ISP), số ASN | Quốc gia bạn đang sinh sống hiển thị trong khi VPN lại hiển thị quốc gia khác. |
| WebRTC | Địa chỉ IP thực thông qua STUN, ngay cả khi đang ở sau VPN. | Địa chỉ IP thứ hai trùng khớp với vị trí thực của bạn. |
| Canvas / WebGL | GPU, trình điều khiển, băm kết xuất | Một xếp hạng "độc nhất vô nhị" mà hầu như không ai chia sẻ. |
| DNS | Máy chủ nào phân giải tên miền của bạn? | Sử dụng trình phân giải của nhà cung cấp dịch vụ Internet (ISP) thay vì của VPN. |
| Phông chữ / tiêu đề / TLS | Phông chữ hệ thống, tác nhân người dùng, bộ mã hóa | Một danh sách phông chữ giúp bạn chỉ sử dụng duy nhất một máy tính. |
Địa chỉ IP và vị trí địa lý
Trang đơn giản nhất, và là trang đầu tiên bạn nên kiểm tra. Nó hiển thị địa chỉ IP công cộng của bạn cùng với vị trí và nhà cung cấp dịch vụ Internet (ISP) được liên kết. Hãy chạy trang này khi đang bật VPN. Nếu quốc gia, thành phố hoặc ISP vẫn trỏ về nhà, thì VPN của bạn không định tuyến như bạn nghĩ.
Kiểm tra rò rỉ WebRTC
WebRTC là tính năng trình duyệt hỗ trợ cuộc gọi video, và đây là lỗ hổng bảo mật nổi tiếng nhất trên trang web này. Để thiết lập kết nối, trình duyệt sẽ hỏi máy chủ STUN "địa chỉ IP thực của tôi là gì?" và câu trả lời đó có thể làm lộ địa chỉ IP thực của bạn ngay cả khi VPN đang hoạt động. Bạn có thể đang sử dụng VPN nhưng vẫn bị lộ thông tin. Nếu kiểm tra rò rỉ WebRTC cho thấy địa chỉ IP trùng khớp với vị trí thực của bạn, thì đó là lỗ hổng cần khắc phục đầu tiên.
Canvas, WebGL và dấu ấn âm thanh
Đây hoàn toàn là kỹ thuật nhận dạng dấu vân tay, không phải rò rỉ mạng. Bài kiểm tra nhận dạng dấu vân tay trên canvas yêu cầu trình duyệt của bạn vẽ một hình ảnh ẩn và mã hóa kết quả; những khác biệt nhỏ trong GPU, trình điều khiển và hệ điều hành của bạn làm cho mã hóa đó trở nên độc đáo. WebGL cũng làm điều tương tự với việc kết xuất 3D và tiết lộ tên card đồ họa của bạn. Bài kiểm tra âm thanh phân tích cách phần cứng của bạn xử lý âm thanh. Không bài kiểm tra nào trong số này tiết lộ địa chỉ IP của bạn, nhưng chúng kết hợp lại tạo nên dấu hiệu nhận dạng theo dõi bạn giữa các trang web.
Kiểm tra rò rỉ DNS
Ngay cả khi sử dụng VPN hoạt động, trình duyệt của bạn vẫn có thể gửi yêu cầu tra cứu tên miền đến máy chủ của nhà cung cấp dịch vụ internet thay vì thông qua đường hầm VPN. Điều đó có nghĩa là nhà cung cấp dịch vụ internet của bạn, và bất kỳ ai theo dõi nó, vẫn có thể thấy tên của mọi trang web bạn truy cập. Những rò rỉ DNS này rất dễ bị bỏ sót. Công cụ kiểm tra rò rỉ DNS sẽ liệt kê các máy chủ DNS đã trả lời truy vấn của bạn. Nếu bạn thấy nhà cung cấp dịch vụ internet của mình ở đó, lưu lượng truy cập đang thoát khỏi đường hầm VPN.
Phông chữ, tiêu đề, gợi ý cho máy khách và TLS
Các bài kiểm tra ít xâm nhập hơn giúp hoàn thiện bức tranh. Trang phông chữ liệt kê chính xác các kiểu chữ được cài đặt trên hệ thống của bạn, đây là một dấu hiệu nhận dạng khá mạnh. Tiêu đề HTTP và Gợi ý máy khách tiết lộ tác nhân người dùng, ngôn ngữ và lớp thiết bị của bạn. Trang SSL/TLS đọc các bộ mã hóa và quá trình bắt tay của kết nối (chữ ký JA3 và JA4), có thể xác định dấu vân tay của bạn ở lớp mạng bất kể trình duyệt của bạn tự nhận là gì.
Cách đọc kết quả cài đặt quyền riêng tư của trình duyệt
Đây là quy tắc khiến hầu hết mọi người phải đảo ngược trực giác khi lần đầu mở BrowserLeaks: dấu vân tay độc nhất đã là xấu, nhưng dấu vân tay không nhất quán thì còn tệ hơn. Các phần mềm theo dõi và hệ thống chống gian lận không chỉ tìm kiếm các giá trị hiếm. Chúng tìm kiếm các tổ hợp không có ý nghĩa khi kết hợp với nhau.
Vì BrowserLeaks không đưa ra kết quả đạt hay không đạt, bạn cần phải biết mình đang quét cái gì. Dấu hiệu cảnh báo rõ ràng nhất là sự không khớp. Múi giờ được đặt là New York trong khi địa chỉ IP của bạn lại ở Frankfurt. Ngôn ngữ trình duyệt là tiếng Việt trên một địa chỉ IP được định vị tại Brazil. Chuỗi GPU hiển thị "VMware", "VirtualBox" hoặc "Microsoft Basic Render Driver", cho thấy bạn đang sử dụng máy ảo. Một địa chỉ IP thực hiển thị dưới WebRTC trong khi VPN của bạn khẳng định bạn đang ở nơi khác. Cả địa chỉ IP công cộng và địa phương cùng hiển thị một lúc.
Bất kỳ dấu hiệu nào trong số đó đều cho trang web biết rằng câu chuyện của bạn không nhất quán, và một danh tính không nhất quán thường gây nghi ngờ hơn một danh tính bình thường. Vì vậy, khi bạn đọc kết quả cài đặt quyền riêng tư của trình duyệt, đừng cố gắng đạt điểm tuyệt đối không tồn tại. Hãy kiểm tra xem các thông tin có khớp với nhau hay không, sau đó đếm xem bạn đang cung cấp bao nhiêu điểm dữ liệu ngay từ đầu.
Khắc phục rò rỉ trình duyệt bằng VPN, Proxy hoặc Tor
Có một thứ tự ưu tiên các giải pháp, và phiên bản trung thực không giống như hầu hết các "hướng dẫn tối ưu" nói với bạn, bởi vì hầu hết chúng đều đang bán một thứ gì đó. Hãy chạy các bài kiểm tra BrowserLeaks trước để bạn biết mình đang thực sự đối mặt với những lỗ hổng bảo mật nào trước khi sử dụng bất kỳ công cụ nào. Đây là sự so sánh thẳng thắn.
| Tiếp cận | Giúp ích cho | Hạn chế |
|---|---|---|
| VPN chống rò rỉ | Địa chỉ IP, định vị địa lý | Không có tác dụng gì đối với canvas, font chữ, WebGL. |
| Vô hiệu hóa WebRTC | Vụ rò rỉ địa chỉ IP thật | Việc thiếu API WebRTC tự nó đã là điều bất thường. |
| Người đại diện cư trú | Một địa chỉ IP trông bình thường | Lỗi thiết lập dẫn đến việc rò rỉ DNS và WebRTC. |
| Trình duyệt Tor | IP và dấu vân tay kết hợp | Chậm; một số trang web chặn nó. |
VPN, máy chủ proxy và vấn đề WebRTC
Sử dụng VPN hoặc proxy là bước đầu tiên hiển nhiên, mặc dù nó chỉ giải quyết được một phần vấn đề. VPN có tính năng bảo vệ chống rò rỉ tích hợp sẽ khắc phục các trang về địa chỉ IP và vị trí địa lý. Vô hiệu hóa WebRTC trong cài đặt trình duyệt sẽ đóng lỗ hổng rò rỉ địa chỉ IP thực. Định tuyến qua proxy dân cư làm cho địa chỉ của bạn trông giống như một kết nối gia đình thông thường chứ không phải là trung tâm dữ liệu, đó là lý do tại sao các nhà cung cấp proxy quảng cáo rầm rộ cho những người sử dụng nhiều tài khoản. Nhưng proxy chỉ hữu ích nếu nó truyền tải mọi thứ (bao gồm cả DNS) qua cùng một đường hầm. Một proxy chỉ xử lý HTTP, hoặc một tiện ích mở rộng bỏ qua nó, sẽ mở lại chính xác những lỗ hổng mà bạn đang cố gắng đóng.
Vì sao việc giả mạo thường phản tác dụng
Đây là điểm mà tiếp thị và nghiên cứu bắt đầu khác nhau. Việc giả mạo ngẫu nhiên canvas, phông chữ hoặc user-agent của bạn tạo cảm giác như đang bảo vệ, nhưng thường khiến bạn dễ bị nhận dạng hơn chứ không phải ít hơn, bởi vì một trình duyệt báo cáo dấu vân tay ngẫu nhiên mới mỗi lần truy cập bản thân nó đã là một kiểu mẫu hiếm gặp và đáng ngờ. Một nghiên cứu tại Hội nghị Web ACM năm 2025 đã thử nghiệm 18 tiện ích mở rộng chống nhận dạng dấu vân tay phổ biến và đã đánh bại cả 18; chỉ có Trình duyệt Tor là chống lại được. Một phân tích riêng biệt vào tháng 10 năm 2025 cho thấy Chrome dễ bị rò rỉ IP WebRTC nhất, trong khi Tor không rò rỉ bất cứ thứ gì trên mọi nền tảng được thử nghiệm.
Điều gì thực sự làm giảm dấu vân tay của bạn?
Các phương pháp hiệu quả lại làm ngược lại với việc giả mạo: chúng khiến bạn trông giống như mọi người khác. Trình duyệt Tor được thiết kế để tạo ra dấu vân tay gần như giống hệt nhau cho mọi người dùng, vì vậy bạn sẽ hòa mình vào đám đông. Firefox và Brave được tăng cường bảo mật giúp giảm thiểu những gì bị lộ ngay từ đầu; Brave đã đạt 101 triệu người dùng hoạt động hàng tháng vào tháng 9 năm 2025, mặc dù con số này vẫn còn rất nhỏ so với khoảng 68% thị phần toàn cầu của Chrome. Giảm số lượng tiện ích mở rộng cũng giúp ích, vì mỗi tiện ích đều thêm vào những điểm bất thường dễ bị phát hiện. Tor có khoảng 2,5 triệu người dùng hàng ngày - con số nhỏ, nhưng đây là công cụ duy nhất luôn vượt qua các bài kiểm tra mà mọi thứ khác đều không thể phát hiện được.
Mã hóa, Trình duyệt chống phát hiện và Quyền riêng tư của bạn
Người dùng tiền điện tử có lý do chính đáng hơn hầu hết mọi người để quan tâm, và đó là khía cạnh mà các trang đánh giá thường bỏ qua. Nếu bạn quản lý nhiều ví hoặc tài khoản sàn giao dịch, dấu vân tay trình duyệt chung cộng với địa chỉ IP chung có thể âm thầm liên kết chúng lại với nhau. Các công ty phân tích chuỗi khối đã nhóm các hành vi trên chuỗi; kết hợp điều đó với dấu vân tay thiết bị nhất quán và sự phân tách giữa các địa chỉ "ẩn danh" của bạn bắt đầu tan biến. Những người trong tình huống này tìm đến các trình duyệt chống phát hiện , các công cụ tạo ra các hồ sơ trình duyệt riêng biệt, mỗi hồ sơ có dấu vân tay và proxy riêng, sau đó kiểm tra các hồ sơ đó với BrowserLeaks để xác nhận việc che giấu vẫn hiệu quả.
Điều đó là hợp lý. Điều không hợp lý là tin tưởng mù quáng vào trình duyệt chống phát hiện, bởi vì công cụ được bán ra để khắc phục sự cố lại có lịch sử được ghi nhận là chính nó gây ra mối đe dọa. Vào tháng 1 năm 2025, công ty bảo mật SlowMist đã phân tích một cuộc tấn công chuỗi cung ứng vào một nhà cung cấp trình duyệt nhận dạng vân tay, trong đó khoảng 4,1 triệu đô la đã bị rút ruột từ khoảng 30.000 người dùng tiền điện tử trong vòng 72 giờ. Một sự cố trước đó vào năm 2023 đã ảnh hưởng đến hơn 3.000 địa chỉ ví với số tiền hơn 410.000 đô la. Phần mềm hứa hẹn tính ẩn danh đã phát tán các khóa ra ngoài bằng cửa sau.
Điều này không có nghĩa là bạn nên tránh sử dụng các công cụ này. Nhưng trình duyệt chống phát hiện là phần mềm có quyền truy cập đầy đủ vào các phiên hoạt động của bạn, và nó cần được kiểm tra kỹ lưỡng như bất kỳ ví điện tử nào. Hãy cách ly nó, xác minh nhà cung cấp và đừng bao giờ cho rằng việc vượt qua bài kiểm tra BrowserLeaks có nghĩa là tiền của bạn an toàn. Quyền riêng tư và bảo mật không phải là cùng một vấn đề, và một công cụ có thể vượt qua tốt vấn đề này nhưng lại thất bại ở vấn đề kia.
Hãy chạy BrowserLeaks thường xuyên, chứ không chỉ một lần.
Quyền riêng tư không phải là một thiết lập bạn chỉ cần bật một lần. Mỗi khi bạn thay đổi máy chủ VPN, thêm tiện ích mở rộng, cập nhật trình duyệt hoặc tạo hồ sơ mới, dấu vân tay của bạn sẽ thay đổi và một lỗ hổng bảo mật mới có thể xuất hiện. Điểm mạnh của BrowserLeaks là việc kiểm tra hoàn toàn miễn phí.
Vì vậy, thói quen thực tế rất đơn giản: chạy BrowserLeaks sau mỗi lần thay đổi. Mục tiêu không phải là trở nên vô hình, điều này hầu như không thể, mà là để đảm bảo câu chuyện của bạn nhất quán và bạn đang cung cấp càng ít thông tin càng tốt. Trình duyệt của bạn đang nói gì về bạn ngay bây giờ, và liệu nó có chịu được sự xem xét kỹ lưỡng lần thứ hai?
