Я В ШОКЕ ОТ ФИНГЕРПРИНТИНГА
Сегодня не будет интеллигентного разговора.
Сегодня будет проще. Я охуел.
Потому что в шоке от того, насколько сильно технология цифровых отпечатков развилась за последние годы. В то время, как браузеры по всему миру продолжают лицемерно орать, что “мы не собираем данные без вашего согласия”.
Если не верите — сначала зайдите сюда и протестируйте себя:
https://fingerprintjs.github.io/fingerprintjs/
Серьёзно.
Это демка популярного скрипта с GitHub, который почти любой может встроить себе на сайт.
Посмотрите, что он о вас собирает.
Есть тоже весьма впечатляющее:
https://browserleaks.com/
или
https://amiunique.org/fingerprint
И после этого уже трудно делать вид, что речь идёт о чём-то “слегка неприятном”. Нет. Это уже очень похоже на полный пиздец.
Браузер давно работает как стукач. Буквально. Как будто рядом с вами сидит наглый усатый тип, молча фотографирует всё, что может увидеть в вашей комнате, и скидывает это в рабочий чат своей компании.
Пока обычный человек думает, что слежка — это куки, всплывающий баннер “согласиться на отправку данных” и пара тупых рекламок, реальность ушла сильно дальше.
Сайтам уже часто не нужно знать твоё имя. Не нужно видеть твой номер. Не нужно тащить у тебя паспорт. Им достаточно собрать отпечаток твоей среды.
Один раз и все.
Что я сделал
Я не стал читать сказки про приватность. Я просто начал проверять, что сайт реально видит и насколько легко он может связать меня между сессиями.
И очень быстро мне стало мерзко.
Кейс 1. Три “разных” браузера, а рожа у них одна
Я взял три отдельных браузерных профиля в Chrome и один в Edge.
Разные гугл - аккаунты. Разные куки. Разные “личности”. Разные браузеры, мать вашу!
Даже VPN местами менял. Всё подчистил между сессиями.
Отпечаток по ключевым штукам всё равно оставался тем же:
Canvas — тот же.
WebGL — тот же.
Шрифты — те же.
Audio — тот же.
То есть вся эта красивая сказка “сейчас я открою новый профиль и стану новым человеком” — херня. Новый профиль — это не новая кожа. Это просто другой карман в том же пальто.
Сайт не обязательно знать твоё имя. Он видит, что железо, среда, рендеринг и поведение подозрительно знакомы. И этого хватает.
Кейс 2. VPN в Амстердаме, а сам ты палишься как ёлка
Потом я сделал любимый народный ритуал: врубил VPN, поставил Нидерланды и посмотрел, стал ли я красивым анонимным голландцем.
Нет.
Я стал русскоязычным человеком с IP из Нидерландов и московским цифровым акцентом.
IP — Амстердам. А таймзона — Москва. Язык браузера — ru-RU. Заголовки — тоже русские.
То есть для любой антифрод-системы это читается примерно так:
“Ага. IP натянули. Остальное забыли. Либо VPN, либо мутный тип, либо и то и другое”.
Кейс 3. WebRTC
Потом я проверил WebRTC. Это протокол для конференций, который поддерживают браузеры. И однажды кому-то понадобился твой локальный ip, а потом дыру так и не заткнули.
Там еще есть несколько параметров, которые помогают деанонимизировать сессию.
И обычный человек даже не думает в эту сторону. Он думает: “я включил VPN, значит я спрятался”.
А твой браузер в твоем компе тихо подмигивает сайту и говорит: “он врет”.
Кейс 4. Шрифты.
Отдельно меня добило то, что отпечатком становятся даже такие вещи, о которых человек вообще не думает.
Например, набор и метрики шрифтов. Не “есть ли у тебя Arial”.
А как именно всё это рендерится в системе, какие семейства стоят, какие размеры и отклонения получаются.
То есть ты живёшь себе, ставишь какие-то шрифты, работаешь, делаешь картинки, мемы, проекты — а потом оказывается, что это тоже часть твоего цифрового лица.
Кейс 5. Звук, который ты даже не слышишь
Потом я полез в Audio API. И там тоже сюрприз:
отпечаток можно собирать даже по микроскопическим особенностям обработки аудио на конкретной машине.
То есть по тому, как система и железо считают, искажают и прогоняют сигнал.
Снаружи ты этого даже не замечаешь. Никаких всплывающих окон.
Кто-то замерил параметры твоего аудио с помощью тихого шума и добавил ниточку в узелок. Еще один след.
Кейс 6. Даже если ты врёшь в мелочах, тебя палят по походке
И это самое эффективное. Можно подменить User-Agent.
Можно строить из себя другой браузер.
Можно нарисовать красивую маску.
Но дальше выясняется, что у твоего клиента, библиотеки, TLS-стека и окружения тоже есть своя подпись. И если одно говорит “я честный Chrome”, а другое — “нет, ты какая-то мутная автоматизированная херь”, тебя режут.
тебя ловят не по одной вещи. Тебя ловят по консистентности.
По тому, совпадает ли твоя маска с твоей походкой. IP с таймзоной.
Язык с географией. Браузер с железом.
Вот почему yt-dlp.exe (cкачка ютуб - роликов) перестала работать у меня дома и не важно какой VPN я включаю.
И самое дикое
Не то, что технология фингерпринтинга существует и работает.
Бесит другое:
на камеру нужно разрешение;
на микрофон нужно разрешение;
а на сбор цифрового слепка твоей среды — никакого разрешения не нужно.
Ха!
Да, во многих странах начинают внедрять законы против фингерпринтинга (США, Европа), но многие компании уходят от законов с помощью "нам это нужно не для рекламы, а для безопасности".
И это просто лютый кринж. В Европе (GDPR). Закон суровый на бумаге: персональные данные нельзя трогать без согласия или «законных интересов». Фингерпринтинг — это обработка персональных данных (да, суды и регуляторы это признают). Но компании просто пишут в политике: «для предотвращения мошенничества». GDPR Recital 47 прямо говорит — борьба с фродом это legitimate interest. Никакого явного согласия не надо. Пройди balancing test (интересы компании vs твои права) — и вперёд.
На деле balancing test — это фарс. Ad-tech гиганты (и не только) заявляют: «мы боремся с ботами». Регуляторы кивают, потому что доказать нарушение сложно — нет куки, которые можно проверить. Фингерпринтинг работает на сервере, незаметно. Европа гордится GDPR, а на практике создала идеальную ширму: «мы не нарушаем, мы защищаем пользователей».
В США — полный вайлд-вест. Федерального GDPR нет. CCPA в Калифорнии признаёт fingerprint как «personal information» (unique identifier, probabilistic), но сбор разрешён для «business purposes» — включая fraud detection и security. Никакого consent upfront. Opt-out только для продажи данных, а fingerprinting обычно не считается «продажей». Банки, рекламщики, платформы — все используют. «Это для безопасности, ребята». И точка. Никаких balancing tests, никаких штрафов за сам факт. И законы разводят руками, отступают, говоря "А ну раз надо, значит надо".
Вот это и есть главное свинство.
Веб давно научился узнавать человека не спрашивая его по-человечески.
И прикрывается это словами “безопасность”, “антифрод”, “снижение рисков”.
Иногда это правда. Мошенников так действительно ловят.
Но, давайте честно:
если технология позволяет тихо собирать устойчивый отпечаток пользователя без внятного рубильника “нет” — её будут использовать не только против мошенников. Её будут использовать против всех.
Потому что могут. И вот диво дивное.
Как спокойно современный мир принял идею, что пользователь — это не хозяин своей машины и своего браузера. А браузер - не твой помощник, а агент компаний, которые ты просматриваешь.
КАК ЖЕ БЫТЬ?
Ситуация простая и не очень весёлая.
Противодействовать фингерпринтингу можно, но по-настоящему хорошо это делать сложно. Нужны очень серьёзные технические навыки, дисциплина и понимание того, как именно сайты собирают и склеивают сигналы. Это уже не уровень “поставил галочку и спасся”.
Что реально можно сделать?
Затруднить сбор данных.
И этого уже немало. Когда сайтам и трекерам становится сложнее собирать стабильный отпечаток, они часто начинают вести себя заметно менее нагло и менее уверенно.
Но есть и неприятная правда:
если вам нужны услуги сайта, приходится в какой-то степени играть по его правилам.
Сегодня веб устроен так, что пользователь очень часто выбирает не между “свободой” и “несвободой”, а между разными уровнями контроля над собой.
И да, поэтому я давно не пользуюсь ни Chrome, ни Яндекс Браузером.
На мой взгляд, эти браузеры слишком глубоко вросли в культуру слежки, профилирования и удобного для корпораций интернета.
Какие браузеры порекомендую я, особенно для AI - сервисов?
- Brave
https://brave.com/download/
мне ближе потому, что он хотя бы пытается быть браузером за пользователя: режет трекеры, мешает фингерпринтингу, ломает часть привычных схем тихого сбора данных.
- Firefox
https://www.firefox.com/ru/
я тоже уважаю по той же причине: Mozilla всё еще придерживается правильного направления.
- LibreWolf https://librewolf.net/
При этом надо понимать риск: чем активнее браузер защищает тебя, тем выше шанс, что некоторые сайты начнут смотреть на него косо, ломаться или даже банить часть пользователей под предлогом “безопасности”.
Так что да — мир сложная штука, которую надо осмысливать... философски.
Если вы хотите встроить фингерпринты в свой бизнес
Сегодня это проще простого.
Вот три заметных игрока, поставляющие кирпичи:
Fingerprint — распознавание устройств и посетителей, device intelligence, антифрод. Есть бесплатная демка на сайте.
SEON — скоринг риска, device fingerprinting, борьба с мультиаккаунтами и мошенничеством.
Sift — fraud detection, account defense, risk-based decisioning.
Ну и бесплатная библиотека с гитхаба для всех желающих
https://github.com/fingerprintjs/fingerprintjs
Это интегрируется за один день в любой бизнес - сайт.
Интересно, что OpenAI ChatGPT отказывался как помогать устанавливать фингерпринты, так и противодействовать им. Грубо говоря, налицо еще одно лицемерное решение, говорящее о том, что цифровые отпечатки используются тогда, когда "большим людям удобно", а нормальных законов, защищающих права пользователей нет.
Короткая выноска для тех, кто хочет матчасть
Если совсем коротко, я проверял такие штуки: Canvas/WebGL, таймзону и язык при VPN, WebRTC-утечки, шрифты, Audio API и TLS fingerprint.
И общий вывод везде один и тот же: один сигнал ещё можно пережить, но когда их много и они совпадают, сайт видит не “анонимного пользователя”, а довольно устойчивую цифровую морду.