Невидимый идентификатор: как сайты отличают вас от других

Иногда происходит странное. Открываешь сайт в режиме инкогнито, без авторизации, с очищенной историей, а рекомендации, реклама или даже защита аккаунта ведут себя так, будто тебя уже знают. Секрет в том, что им не всегда нужны куки — у браузера есть свой отпечаток. Сегодня разбираемся, что такое browser fingerprint, зачем его собирают, насколько это вообще страшно и что можно сделать на практике, чтобы системе было сложнее вас опознать.

Что такое отпечаток браузера

Отпечаток браузера (browser fingerprint) — это совокупность технических характеристик вашего браузера и устройства, из которых можно сложить почти уникальный профиль. Сайт запускает скрипт, собирает десятки параметров и по их комбинации отличает вас браузер от миллионов других.
Принцип простой: каждый отдельный параметр довольно безобиден, но вместе они образуют яркий цифровой профиль. У двух пользователей может быть одинаковый тип браузера, но разные шрифты и разрешение экрана; у кого‑то совпадает ОС, но отличаются часовой пояс и поддерживаемые API — в итоге получится очень специфический набор.

Какие данные собирают сайты

Типичный скрипт фингерпринтинга может оценивать ваш браузер (User‑Agent, версия, движок, включён ли JavaScript), операционку (платформа, архитектура, иногда — список доступных шрифтов), язык интерфейса и список предпочитаемых языков, экран (разрешение, плотность пикселей, глубина цвета), часовой пояс и формат времени/даты. Дополнят ваш цифровой отпечаток список доступных API (Canvas, WebGL, WebAudio и т.п.), поведение рендеринга, а также список нестандартных настроек (блокировка куки, включённый Do Not Track, необычные конфигурации).
Все это нельзя расценивать как чувствительные персональные данные — это не имя, не email, не IP-адрес. Но задача здесь не в содержимом, а в уникальности: чем более нетипичен ваш набор параметров, тем проще вас узнать в толпе.

Почему это работает даже без куки

Если куки это ярлык, который сайт кладёт в ваш браузер, то отпечаток — это конструкция, которую сайт каждый раз собирает с нуля. Вы можете регулярно очищать историю и куки, использовать режим инкогнито или менять IP с помощью VPN или прокси, но ваш браузер и железо в целом остаются теми же: те же шрифты, тот же размер окна, тот же часовой пояс. Скрипт просто снова измеряет параметры и сравнивает полученный профиль с тем, что уже видел. Если всё совпадает, сайт делает вывод: “скорее всего, это тот же самый пользователь”.

Зачем это вообще нужно

Стоит понимать: фингерпринтинг — это не слежка ради слежки. У него есть вполне разумные применения.
Банки, платёжные сервисы и маркетплейсы используют отпечаток, чтобы ловить мошенников, мультиаккаунты, подозрительные устройства. Онлайн‑сервисы могут ограничивать активность не только по IP, но и по устройству, чтобы избежать накрутки голосов и создания ботов. Аналитики также используют фингерпринт, чтобы понимать возвращаемость аудитории, даже если пользователь отказался от куки.
Обратная сторона медали — рекламный трекинг, где отпечаток используется как стабильный идентификатор для отслеживания ваших действий на разных сайтах и устройствах. Из него формируется достаточно подробный профиль поведения для таргетинга.
В итоге, пользователи ожидают, что чистка истории и режим инкогнито ограничивают отслеживание, а фингерпринтинг частично ломает эти ожидания: отследить вас всё равно можно, пусть и с меньшей точностью.

Это опасно?

Нет. Фингерпринтинг сам по себе не раскрывает вашу личность. Он скорее даёт цифровой псевдоним. Чтобы превратить псевдоним в реального человека, нужна дополнительная информация — логины, платежи, поведение, привязки к аккаунтам. Если смотреть прагматично, фингерпринтинг — это ещё один слой трекинга, который повышает устойчивость слежки. О нем стоит знать, чтобы не переоценивать возможности ваших текущих настроек (Do Not Track, удаление куки и подобное).

Что можно сделать

Полностью обезличить себя не получится, но можно уменьшить уникальность своего профиля или же добиться того, чтобы ваш отпечаток менялся или “шумел”. Независимо от того, какой браузер вы предпочитаете, используйте хороший блокировщик контента. Например, uBlock Origin или его аналог. Не забивайте браузер редкими шрифтами и плагинами, избегайте необычных разрешений экрана или частых ручных твиков, которые делают ваш профиль сильно отличающимся от массы. Просмотрите экспериментальные функции, отключите ненужные. Проверьте, какие сайты получают доступ к камере, микрофону, геолокации, датчикам движения, сократите этот список до минимально необходимого.
Включите строгую или персонализированную защиту от отслеживания (в зависимости от того, какой браузер вы используете, название раздела может незначительно отличаться).

Если вы используете Firefox, обратите внимание еще на несколько полезных опций. Здесь можно отметить пункт “Сообщать веб-сайтам, чтобы они не продавали и не разглашали мои данные”. В экспериментальных функциях включить «Resist Fingerprinting» — эта опция пытается унифицировать большинство параметров, чтобы профиль оставался максимально безликим. Но помните, некоторые сайты могут ломаться или выглядеть странно. Чтобы активировать опцию, в адресной строке открываем about:config и находим переключатель privacy.resistFingerprinting. Переводим его в положение “true”.

Ограничить Canvas можно при помощи соответствующего расширения, а WebGL отключается через about:config. Стоит помнить, что последний часто используют для создания 3D‑моделей, Web‑игр и некоторых визуализаций. Чтобы не отказываться от WebGL полностью, его можно включать только на отдельных ресурсах через расширение NoScript.
В Chrome для отключения Canvas используем расширение Canvas Blocker - Fingerprint Protect, а WebGL отключаем через экспериментальные функции. Для этого на странице chrome://flags/ находим функцию Disable WebGL и переводим ее в положение Enabled. Не забудьте перезапустить браузер для сохранения изменений. Для максимального контроля используем разрешение ScriptSafe или его аналоги.

Как видим, полностью убрать отпечаток браузера невозможно, но сделать его менее узнаваемым может любой пользователь, даже не имеющий специальных технических знаний. Если тема вам интересна, заглядывайте в наш Telegram-канал, там мы регулярно рассказываем, как сделать веб-серфинг безопаснее.