Canvas-отпечаток — одна из самых широко используемых техник отслеживания в вебе и одна из самых хитрых. Она идентифицирует ваше устройство не по чему-то сохранённому, а по тому, как оно рисует.
Трюк: нарисовать что-то, затем считать обратно
Каждый браузер может рисовать графику и текст на «canvas» — поверхности для рисования, используемой для графиков, игр и эффектов. Canvas-отпечаток злоупотребляет этим. Отслеживающий скрипт просит ваш браузер нарисовать нечто конкретное — обычно строку текста определёнными шрифтами, иногда фигуры и цвета — на canvas, который вы никогда не видите, потому что он никогда не отображается. Затем он считывает результат обратно, пиксель за пикселем.
Почему результат различается между устройствами
Вот часть, которая заставляет это работать. Та же инструкция рисования не производит побайтово идентичное изображение на каждом устройстве. Точные пиксели зависят от вашего GPU, графических драйверов, операционной системы, установленных шрифтов и того, как каждый из них обрабатывает такие вещи, как сглаживание и субпиксельный рендеринг. Различия крошечные — невидимые для человека — но они реальны и измеримы. Скрипт сводит данные пикселей к короткому хешу, и этот хеш — ваш canvas-отпечаток.
Почему это эффективно
Canvas-отпечаток популярен у трекеров по конкретным причинам. Он ничего не хранит на вашем устройстве, поэтому нет cookie для очистки и нечего «удалять». Он стабилен — то же устройство склонно производить тот же результат снова и снова, потому что лежащие в основе оборудование и ПО меняются нечасто. И он невидим: рисунок никогда не появляется на экране, а весь процесс занимает доли секунды. Вы не можете понять, что это произошло.
Как это сочетается с другими сигналами
Сам по себе canvas-отпечаток — один сильный сигнал. Трекеры сочетают его с другими — размером экрана, часовым поясом, шрифтами, рендерингом WebGL — чтобы построить более полный отпечаток браузера. Canvas ценится, потому что опирается на графический стек, который сильно различается между устройствами и который трудно убедительно подделать.
Как от него защититься
Защиты те же, что от отпечатков в целом, применённые к этой технике. Антиотпечаточные браузеры обрабатывают canvas конкретно: некоторые добавляют крошечное количество случайного шума в считывание canvas, поэтому отпечаток меняется каждый раз и не может быть сопоставлен; другие заставляют всех своих пользователей возвращать единообразный результат. Некоторые расширения приватности блокируют или подменяют считывание canvas. Как всегда, цель не в том, чтобы не иметь вывода canvas — а в том, чтобы этот вывод не был стабильным, уникальным идентификатором.
Вывод
Canvas-отпечаток идентифицирует ваше устройство, прося браузер нарисовать скрытое изображение и измеряя крошечные различия рендеринга, которые производят ваши конкретные оборудование и ПО. Он ничего не хранит, он стабилен и он невидим — именно поэтому очистка cookie против него ничего не даёт. Настоящая защита — браузер или расширение, созданное нарушать само считывание canvas.