CreepJS: Cách thức kiểm tra dấu vân tay trình duyệt nhìn nhận bạn
Mở một trang web thông thường và trước khi bạn nhấp chuột vào bất cứ thứ gì, nó đã có thể nhận diện trình duyệt của bạn trong số hàng triệu trình duyệt khác. Không cần đăng nhập, không cần cookie, không cần yêu cầu quyền. Xóa lịch sử, chuyển sang chế độ ẩn danh, định tuyến mọi thứ qua VPN, và trang web thường vẫn có thể nhận ra bạn. Nó hoạt động không phải dựa trên địa chỉ IP của bạn, mà dựa trên hàng ngàn đặc điểm nhỏ mà trình duyệt web của bạn cung cấp miễn phí. CreepJS là công cụ chứng minh bạn dễ bị lộ thông tin như thế nào, và một khi bạn đã chứng kiến cách nó hoạt động, bạn sẽ không còn cảm thấy web ẩn danh nữa. Hướng dẫn này giải thích CreepJS là gì, cách nó nhận diện bạn, cách chống lại sự xói mòn quyền riêng tư của trình duyệt và tại sao bất kỳ ai sử dụng nhiều hơn một tài khoản tiền điện tử nên quan tâm.
Nhận dạng dấu vân tay trình duyệt là gì?
Nhận dạng dấu vân tay trình duyệt là phương pháp nhận dạng không cần thẻ. Thay vì lưu trữ cookie trên thiết bị của bạn và đọc lại sau đó, một đoạn mã sẽ âm thầm thu thập hàng tá thông tin chi tiết mà trình duyệt của bạn tiết lộ chỉ bằng cách tải một trang, sau đó kết hợp chúng thành một giá trị duy nhất thường là duy nhất cho bạn. Độ phân giải màn hình, phông chữ đã cài đặt, múi giờ, chuỗi tác nhân người dùng , cách chính xác mà card đồ họa của bạn vẽ hình ảnh, mỗi thông tin đều bình thường khi đứng riêng lẻ, nhưng khi kết hợp lại, chúng mô tả một trình duyệt và hầu như không thể mô tả bất kỳ trình duyệt nào khác.
Sự kết hợp đó độc đáo đến mức nào? Trong một nghiên cứu mang tính bước ngoặt của EFF , Peter Eckersley đã phát hiện ra rằng 83,6% trình duyệt là độc nhất trong số những người dùng tự kiểm tra, con số này tăng lên 94,2% khi bao gồm cả thông tin chi tiết về plugin, với dấu vân tay mang khoảng 18,1 bit thông tin nhận dạng. Một nghiên cứu sau đó vào năm 2018 với hai triệu người dùng truy cập vào một trang web phổ biến cho thấy tính độc nhất trong thực tế thấp hơn, khoảng 33,6%, bởi vì người dùng thông thường thường sử dụng các thiết lập phổ biến. Sự thật nằm giữa hai con số đó, và dù sao đi nữa, trình duyệt của bạn càng khác thường thì dấu vân tay độc nhất của bạn càng dễ bị lộ.
Kỹ thuật này cũng phổ biến hơn nhiều so với hầu hết mọi người nhận ra. Một nghiên cứu của Đại học Princeton trên một triệu trang web hàng đầu cho thấy kỹ thuật nhận dạng dấu vân tay Canvas đang được sử dụng trên khoảng 1,6% trong số đó, vượt quá 5% trên các trang web phổ biến nhất, và các phép đo sau đó cho thấy con số này gần 10% trên 100.000 trang web hàng đầu vào năm 2021. Tác động của nó cũng không đồng đều, vì nghiên cứu từ AmIUnique cho thấy khoảng 90% trình duyệt máy tính để bàn là duy nhất so với khoảng 81% trên thiết bị di động, nơi phần cứng có xu hướng đồng nhất hơn. Dù bằng cách nào, việc nhận dạng dấu vân tay vẫn âm thầm tồn tại trên một phần lớn các trang web mà bạn đã truy cập.
CreepJS là gì và ai đã tạo ra nó?
CreepJS không phải là một trình theo dõi cố gắng bán dữ liệu của bạn; nó là một thư viện và bản sao mã nguồn mở về khả năng nhận dạng dấu vân tay trình duyệt, được xây dựng bởi nhà phát triển Abraham Juliot để cho thấy hầu hết các biện pháp bảo vệ quyền riêng tư thực sự yếu kém như thế nào và cách thức hoạt động của việc nhận dạng dấu vân tay trong thực tế. Bạn trỏ trình duyệt của mình đến bản demo trực tiếp, nó sẽ chạy các bài kiểm tra và trả về cho bạn một báo cáo về mức độ nhận dạng và tính trung thực của trình duyệt của bạn.
Dự án này được lưu trữ trên GitHub theo giấy phép MIT khá dễ sử dụng, với khoảng 2.400 lượt đánh dấu sao, và nó tổng hợp hơn hai mươi loại bài kiểm tra vào một trang duy nhất. Tốt nhất nên hiểu nó như một tiêu chuẩn nghiên cứu hơn là một công cụ chặn bot thực tế, thước đo mà các nhà nghiên cứu về quyền riêng tư và các nhà cung cấp phần mềm chống phát hiện sử dụng để đánh giá công việc của chính họ. Nếu thiết lập ẩn danh của bạn không thể vượt qua CreepJS, nó cũng sẽ không thể vượt qua một dịch vụ nhận dạng dấu vân tay thương mại nghiêm túc, đó chính là lý do tại sao công cụ này trở thành bài kiểm tra không chính thức mà mọi người đều ôn luyện.
Báo cáo mà công cụ này tạo ra có độ chi tiết bất thường đối với một công cụ miễn phí. Bên cạnh điểm tin cậy chính, nó liệt kê mọi tín hiệu đã đo được, đánh dấu những tín hiệu có vẻ bị thao túng và cho thấy dấu vân tay của bạn ổn định như thế nào khi bạn tải lại trang. Đó là lý do tại sao các nhà phát triển ưu tiên sử dụng nó khi muốn biết liệu một tinh chỉnh về quyền riêng tư có thực sự thay đổi điều gì hay chỉ tạo cảm giác như vậy.
Cách CreepJS hoạt động bên trong
Hầu hết các phương pháp kiểm tra dấu vân tay máy tính chỉ đơn giản là đọc cài đặt của bạn. CreepJS tiến xa hơn, bởi vì nó khiến trình duyệt của bạn thực hiện các tác vụ thực tế: vẽ hình ảnh, dựng hình 3D, chạy nhận dạng dấu vân tay âm thanh trên âm thanh được tạo ra, kích hoạt bộ đếm thời gian, và sau đó nghiên cứu cách máy tính của bạn thực hiện từng tác vụ. Cách thức thực hiện khó làm giả hơn nhiều so với kết quả, và đó là lý do CreepJS nổi tiếng.
Các tín hiệu mà CreepJS thu thập
Công cụ này thu thập thông tin từ nhiều nguồn khác nhau, và mỗi thuộc tính trình duyệt lại tiết lộ một vài thông tin hơi khác nhau về thiết bị của bạn. Bảng dưới đây hiển thị các thuộc tính chính và những thông tin mà chúng tiết lộ.
| Tín hiệu | Điều nó tiết lộ |
|---|---|
| Vải bố | Sự khác biệt nhỏ về pixel khi thiết bị của bạn hiển thị văn bản và hình dạng. |
| WebGL / GPU | Phần cứng và trình điều khiển đồ họa của bạn, được hiển thị thông qua kết xuất 3D. |
| Âm thanh trên web | Cách bộ xử lý âm thanh của bạn xử lý sóng âm được tạo ra. |
| Phông chữ đã cài đặt | Danh sách phông chữ chính xác mà hệ thống của bạn hỗ trợ |
| Độ phân giải màn hình | Kích thước màn hình, độ sâu màu và tỷ lệ pixel |
| Tác nhân người dùng | Thông tin về trình duyệt, phiên bản và hệ điều hành |
| WebRTC | Thông tin chi tiết mạng cục bộ có thể bị rò rỉ qua VPN. |
Đoạn mã này đọc hầu hết các thông tin đó thông qua JavaScript thông thường và các API của trình duyệt, bao gồm cả các plugin mà trình duyệt của bạn báo cáo. Sau đó, CreepJS chạy các đoạn mã dò tương tự bên trong các web worker và các khung ẩn để kiểm tra chéo các câu trả lời, vì một trình duyệt đã bị can thiệp thường đưa ra một câu trả lời ở cửa sổ chính và một câu trả lời khác ở nơi khác.
Điểm tin cậy, entropy và sự dối trá
CreepJS gói gọn mọi tín hiệu vào một mã băm, một giá trị nhỏ gọn đại diện cho toàn bộ hồ sơ của bạn. Dựa trên đó, nó báo cáo một điểm tin cậy, điểm này không chỉ thể hiện mức độ hiếm có của bạn mà còn cả tính nhất quán và dễ đoán của trình duyệt. Một thiết lập đơn giản, mạch lạc sẽ đạt điểm cao ngay cả khi nó phổ biến.
Điểm thông minh nằm ở khả năng phát hiện nói dối. CreepJS theo dõi các "lời nói dối", những mâu thuẫn nhỏ xuất hiện khi ai đó can thiệp vào trình duyệt của họ, chẳng hạn như tác nhân người dùng ghi là macOS trong khi bộ phông chữ và đồ họa đã cài đặt lại ghi rõ là Windows. Giả mạo một giá trị sẽ tạo ra sự không khớp ở nơi khác, và sự không khớp đó thường lớn hơn tín hiệu ban đầu mà bạn cố gắng che giấu.
Nó không chỉ đơn thuần là kiểm tra nhãn. CreepJS còn đo thời gian thực hiện một số thao tác nhất định và kiểm tra cách công cụ JavaScript làm tròn kết quả toán học, bởi vì các phiên bản công cụ khác nhau làm tròn các phép tính lượng giác theo những cách khác nhau một cách tinh tế, và một số phiên bản giả mạo không thể thay đổi cách công cụ thực sự tính toán. Tích lũy đủ các kiểm tra ngầm này lại với nhau và một sự ngụy trang đầy tự tin bắt đầu trông giống như một bộ trang phục.
CreepJS tiết lộ điều gì về trình duyệt không giao diện người dùng?
Đây là phần khiến những người thu thập dữ liệu và xây dựng bot lo lắng. Các công cụ tự động hóa trình duyệt thông thường gần như ngay lập tức bị phát hiện, bởi vì một phiên Selenium hoặc Playwright mặc định mang những dấu hiệu rõ ràng, cờ navigator.webdriver được đặt thành true, tác nhân người dùng HeadlessChrome và các tín hiệu đơn giản là không khớp với cách trình duyệt của một người thật hoạt động. Các bản vá lỗi ẩn làm giảm bớt những dấu hiệu đó, nhưng hiếm khi loại bỏ chúng hoàn toàn.
Thử nghiệm độc lập với CreepJS cho thấy khoảng cách giữa một bot thô sơ và một bot được huấn luyện kỹ càng là rất lớn. Các số liệu dưới đây đến từ các báo cáo phát hiện bot đã chạy từng công cụ qua cùng một bài kiểm tra dấu vân tay.
| Thiết lập tự động hóa | Phát hiện CreepJS |
|---|---|
| Vanilla Selenium / Nhà viết kịch | Đã phát hiện ~100% |
| Nhà soạn kịch với plugin ẩn | ~40% được phát hiện |
| Trình điều khiển Chrome không được phát hiện | ~31% được phát hiện |
| Camoufox (phiên bản Firefox được tăng cường bảo mật) | điểm số gần 0% không có đầu |
Bài học dành cho bất kỳ ai xây dựng công cụ thu thập dữ liệu web rất đơn giản. Việc tắt một cờ (flag) là không đủ, bởi vì CreepJS kiểm tra xem toàn bộ hồ sơ có hoạt động trơn tru hay không, và một công cụ tự động hóa trá hình trên CreepJS thường cho kết quả tệ hơn một công cụ trung thực. Mục tiêu không phải là loại bỏ hết dữ liệu của trình duyệt cho đến khi nó không còn gì để báo cáo, vì một hồ sơ trống rỗng tự nó đã đáng ngờ, mà là làm cho một phiên không giao diện (headless session) hiển thị, hoạt động và đo thời gian chính xác như một trình duyệt thực trên màn hình thực, điều này khó hơn nhiều so với việc chỉ đơn giản là tắt một cài đặt duy nhất.
Vượt qua cơ chế phát hiện của CreepJS đối với tài khoản tiền điện tử.
Đây là một khía cạnh mà tôi hiếm khi thấy trong các bài giải thích về CreepJS đề cập đến. Các sàn giao dịch và nền tảng airdrop thu thập dấu vân tay của người dùng vì lý do tương tự như các sòng bạc giám sát sàn chơi — để bắt quả tang một người âm thầm điều hành nhiều tài khoản, và một dấu vân tay chung duy nhất có thể liên kết toàn bộ "trang trại" ví riêng biệt về một máy duy nhất.
Tại sao các giao dịch và airdrop lại để lại dấu ấn riêng của bạn?
Vấn đề ở đây là tiền thật. Khi giao thức LayerZero tiến hành chiến dịch trấn áp gian lận airdrop vào tháng 5 năm 2024, nó đã gắn cờ 803.093 địa chỉ bị nghi ngờ là tài khoản giả mạo để khai thác tiền ảo, và cuối cùng khoảng 59% số người đăng ký đã bị loại bỏ. Nhận dạng thiết bị và trình duyệt là một trong những công cụ mạnh mẽ nhất mà các nền tảng sử dụng để liên kết các tài khoản đó với nhau. Bạn có thể tạo ví mới trong vài giây, nhưng việc tạo ra một dấu vân tay thực sự mới thì khó hơn nhiều.
Trình duyệt chống phát hiện thực sự làm gì?
Đây là lúc các trình duyệt chống phát hiện xuất hiện, nhóm bao gồm Multilogin, GoLogin, AdsPower và Dolphin Anty . Thay vì che giấu dấu vân tay của bạn, chúng cung cấp cho mỗi hồ sơ một dấu vân tay hoàn chỉnh và nhất quán nội bộ riêng biệt, do đó mỗi tài khoản trông giống như một người bình thường khác nhau chứ không phải cùng một người đang ngụy trang. Nhu cầu đã bùng nổ, và chỉ riêng AdsPower đã báo cáo mức tăng trưởng từ khoảng 100.000 người dùng vào năm 2020 lên khoảng 9 triệu người vào năm 2025. Điều mà chúng làm đúng là tính nhất quán, vì một hồ sơ hoàn toàn nhất quán sẽ tốt hơn một hồ sơ được vá khéo léo ở ba chỗ và mâu thuẫn ở chỗ thứ tư. Về mặt kỹ thuật, mỗi hồ sơ đều đi kèm với một tập hợp các giá trị được khớp. Một user agent đáng tin cậy, danh sách phông chữ, chuỗi GPU, kích thước màn hình và múi giờ đều thuộc về cùng một thiết bị được giả định, và các công cụ tốt hơn sẽ xoay chúng như một đơn vị duy nhất thay vì chỉnh sửa một trường và hy vọng phần còn lại vẫn phù hợp. Tuy nhiên, cần lưu ý một điều ở đây. Dấu vân tay sạch sẽ giúp bảo vệ quyền riêng tư khi đăng nhập, nhưng nó không thể thay thế việc tự quản lý thông tin và bảo mật hoạt động một cách cẩn trọng, và việc sử dụng nhiều tài khoản có thể vi phạm điều khoản của nền tảng.
Cách giảm điểm tin cậy của bạn trên CreepJS
Một hướng dẫn chi tiết cụ thể hiếm gặp hơn bạn nghĩ, và quy tắc trái ngược với trực giác đằng sau nó là: trông bình thường và nhất quán sẽ tốt hơn là trông giả tạo. Dưới đây là trình tự hợp lý để thực hiện:
1. Hãy bắt đầu từ một cấu hình thiết bị thực tế, phổ biến và tránh việc cố tình làm sai lệch các giá trị riêng lẻ, vì mỗi sự không khớp mà bạn tạo ra đều có thể bị CreepJS gắn cờ là thông tin sai lệch.
2. Để hoàn toàn ẩn danh, hãy sử dụng Trình duyệt Tor , trình duyệt này sẽ chia màn hình của bạn thành các kích thước cố định thông qua tính năng letterboxing và khiến mọi máy tính Windows đều báo cáo cùng một hệ điều hành Windows và mọi máy Mac đều báo cáo cùng một hệ điều hành macOS, nhờ đó bạn có thể hòa mình vào đám đông.
3. Hãy xem xét Brave, với tính năng farbling bổ sung một chút ngẫu nhiên cho mỗi phiên đọc trên canvas và audio, do đó các giá trị sẽ thay đổi giữa các trang web thay vì tạo thành một ID ổn định.
4. Tránh các tiện ích mở rộng lạ và cài đặt bất thường, vì mỗi lựa chọn kỳ quặc sẽ làm tăng độ phức tạp và khiến bạn trở nên độc đáo hơn chứ không phải ngược lại.
5. Đối với công việc quản lý nhiều tài khoản, hãy dựa vào một trình duyệt chống phát hiện phù hợp với cấu hình nhất quán thay vì một loạt các tiện ích bổ sung bảo mật, sau đó kiểm tra lại trên bản demo CreepJS trực tiếp và theo dõi số lượng lời nói dối, chứ không chỉ điểm số tiêu đề.
Hãy bắt đầu với những tài khoản thực sự quan trọng, kiểm tra một cách trung thực và coi con số đó như phản hồi chứ không phải là điểm số mà bạn phải đạt điểm tuyệt đối ngay từ lần đầu tiên.
Những hạn chế của việc vượt qua nhận dạng dấu vân tay trình duyệt
Bạn không bao giờ thực sự chiến thắng được việc nhận dạng dấu vân tay, bạn chỉ có thể hòa nhập mà thôi, và CreepJS tồn tại để cho thấy sự hòa nhập đó mỏng manh đến mức nào. Các công cụ chống nhận dạng dấu vân tay đã được cải thiện, nhưng các phương pháp phát hiện cũng vậy. Xu hướng chung cũng không mấy khả quan đối với quyền riêng tư. Google vẫn duy trì cookie bên thứ ba vào tháng 4 năm 2025 sau nhiều năm hứa hẹn sẽ loại bỏ chúng, và đầu năm đó, họ đã lặng lẽ dỡ bỏ lệnh cấm nhận dạng dấu vân tay đối với các nhà quảng cáo - một động thái mà cơ quan quản lý dữ liệu của Anh gọi là vô trách nhiệm. Nhận dạng dấu vân tay đang gia tăng chứ không hề giảm đi, vì vậy mục tiêu thực tế là một hồ sơ nhất quán, có độ nhiễu thấp, có thể hòa lẫn vào đám đông, chứ không phải là sự vô hình thực sự.
Dấu vân tay của bạn, CreepJS và quyền riêng tư
Hãy chạy CreepJS trên chính mình một lần, và để điểm tin cậy là lời cảnh tỉnh mà nó vốn dĩ phải mang lại. Mục đích không phải là trông giống như một bóng ma, điều đó chỉ khiến bạn trở nên kỳ lạ hơn, mà là trông bình thường và nhất quán, và chọn công cụ phù hợp với nhiệm vụ — Tor khi bạn muốn ẩn danh, một hồ sơ chống phát hiện nhất quán khi bạn quản lý nhiều tài khoản. Nhận dạng dấu vân tay là một trò chơi hòa nhập được chơi để tồn tại mãi mãi. Vì vậy, câu hỏi thực sự rất đơn giản: lần cuối cùng bạn kiểm tra xem trình duyệt của mình đang nói gì với web là khi nào?
