اثرانگشت‌گیری مرورگر چیست

اثرانگشت مرورگر یک شناسه با آنتروپی بالا است که از ویژگی‌هایی ساخته شده که مرورگر به هر JavaScript در حال اجرا نمایش می‌دهد. تکنیک‌های پایه به چندین خانواده تقسیم می‌شوند که هر کدام آنتروپی را به اثرانگشت ترکیبی اضافه می‌کنند.

اثرانگشت‌گیری canvas

عنصر canvas در HTML5 گرافیک را به روش‌های کمی متفاوت بسته به GPU، درایور، سیستم‌عامل و زیرسیستم فونت اساسی رندر می‌کند. رسم یک رشته ثابت با یک فونت خاص، سپس هش کردن داده‌های پیکسل حاصل، شناسه‌ای تولید می‌کند که در دستگاه‌ها متفاوت است اما در طول جلسات روی همان دستگاه پایدار است. اثرانگشت‌گیری canvas مثال کانونی و پرذکرترین تکنیک در اقدامات اجرایی است.

اثرانگشت‌گیری صوتی

API AudioContext سیگنال‌های صوتی را از طریق همان نوع پایپلاین سخت‌افزاری و نرم‌افزاری مانند گرافیک پردازش می‌کند و خروجی حاصل به گونه‌ای متفاوت است که آنتروپی ایجاد می‌کند. اجرای یک نوسان‌ساز شناخته‌شده از طریق یک کمپرسور و هش کردن نتیجه، شناسه پایدار هر دستگاه را تولید می‌کند.

شمارش فونت

سیستم‌عامل‌ها و پروفایل‌های کاربری مختلف مجموعه‌های متفاوتی از فونت‌های نصب‌شده دارند. بررسی وجود یا عدم وجود فونت‌ها — با اندازه‌گیری معیارهای متن برای لیستی از فونت‌های کاندید — شناسه‌ای تولید می‌کند که به ویژه برای کاربرانی که مجموعه فونت خود را سفارشی کرده‌اند متمایز است.

اثرانگشت‌گیری WebGL

WebGL قابلیت‌ها و رفتار رندرینگ GPU را نمایش می‌دهد. ترکیب رشته فروشنده، رشته رندرر و رندرینگ یک صحنه ثابت، شناسه آنتروپی بالای دیگری تولید می‌کند.

متادیتای شبکه و دستگاه

فراتر از تکنیک‌های بررسی فعال، اثرانگشت‌ها معمولاً متادیتای غیرفعال را ترکیب می‌کنند: رشته User-Agent، ترجیحات زبان، منطقه زمانی، وضوح صفحه، عمق رنگ، حافظه موجود، پردازنده‌های موجود، وضعیت باتری و اثرانگشت TLS در لایه اتصال. هر مورد به تنهایی آنتروپی اضافه می‌کند و به صورت ضربی با دیگران ترکیب می‌شود.

ناظران چگونه با اثرانگشت‌گیری برخورد می‌کنند

تحلیل حقوقی در خطوط کلی ساده است اما در عمل سخت‌تر است. اثرانگشت‌گیری که کاربر را شناسایی می‌کند تحت تعریف GDPR داده شخصی تولید می‌کند و خواندن یا دسترسی به اطلاعات از قبل ذخیره‌شده روی یک دستگاه تحت Article 5(3) از Directive ePrivacy قرار می‌گیرد — همان حکمی که کوکی‌ها را اداره می‌کند. هم Article 5(3) و هم GDPR رضایت قبلی را برای ردیابی غیرضروری نیاز دارند. جایی که قانون فراتر از کوکی‌ها می‌رود این است که ePrivacy 5(3) "ذخیره اطلاعات، یا دسترسی به اطلاعات از قبل ذخیره‌شده، در تجهیزات پایانه مشترک یا کاربر" را پوشش می‌دهد — زبانی به اندازه کافی گسترده برای پوشش بررسی وضعیت دستگاهی که اثرانگشت‌گیری به آن وابسته است.

EDPB این خوانش را در راهنماهای ۲۰۲۳ خود درباره کاربرد Article 5(3) برای ردیابی غیرکوکی تأیید کرد و CNIL تهاجمی‌ترین مجری بوده است: تعدادی جریمه در ۲۰۲۴ کتابخانه‌های اثرانگشت‌گیری که قبل از رضایت عمل می‌کردند را به عنوان نقض اصلی ذکر کردند. بیانیه ۲۰۲۴ UK ICO درباره ردیابی حتی مستقیم‌تر است در چارچوب‌بندی canvas، صوتی و اثرانگشت‌های مشابه به عنوان نیازمند رضایت opt-in برابر با کوکی‌ها.

منطقه خاکستری: جلوگیری از کلاهبرداری در مقابل ردیابی

مورد استفاده بحث‌برانگیزترین اثرانگشت‌گیری، جلوگیری از کلاهبرداری است. تشخیص ربات، دفاع در برابر تصرف حساب و غربالگری کلاهبرداری پرداخت همگی بر اثرانگشت‌گیری دستگاه به عنوان یک سیگنال اصلی متکی هستند. ناظران تصدیق کرده‌اند که برخی از این پردازش‌ها می‌توانند تحت منفعت مشروع به جای رضایت توجیه شوند — اما میزان بالا و دامنه باریک است. موضع CNIL که توسط DPAهای دیگر تکرار شده، این است که:

• جلوگیری از کلاهبرداری کاملاً ضروری در دارایی‌های first-party ممکن است تحت منفعت مشروع پیش برود، با مستندسازی مناسب در ارزیابی منفعت مشروع (LIA).
• استفاده رفتاری یا تبلیغاتی از همان اثرانگشت نیاز به رضایت دارد و نمی‌تواند بر پایه جلوگیری از کلاهبرداری سوار شود.
• اشتراک‌گذاری اثرانگشت با اشخاص ثالث برای هر منظوری معمولاً خارج از دامنه منفعت مشروع قرار می‌گیرد و نیاز به رضایت دارد.
• ذخیره‌سازی پایدار اثرانگشت فراتر از بررسی فوری کلاهبرداری به طور کلی نیاز به رضایت یا موضع منفعت مشروع بسیار محدود دارد.

مفهوم عملی این است که یک ناشر که هم اثرانگشت‌گیری جلوگیری از کلاهبرداری و هم اثرانگشت‌گیری ad-tech را اجرا می‌کند نمی‌تواند به پایه کلاهبرداری برای پوشش هر دو متکی باشد. دو جریان باید از نظر معماری جداگانه باشند، با جریان ad-tech که پشت رضایت محدود شده و جریان جلوگیری از کلاهبرداری که به هدف مستندشده خود محدود است.

چگونه اثرانگشت‌گیری را در یک CMP مدیریت کنیم

الگوی یکپارچه‌سازی برای اثرانگشت‌گیری مشابه سایر تکنیک‌های ردیابی است اما با مراقبت اضافی زیرا عدم وجود ذخیره‌سازی واضح، مرز رضایت را آسان‌تر از دست می‌دهد.

۱. سطح اثرانگشت‌گیری را فهرست کنید

سایت را برای هر اسکریپتی که canvas toDataURL()، پردازش مبتنی بر AudioContext، بررسی فونت از طریق اندازه‌گیری text-metric یا سؤالات رندرر WebGL را فراخوانی می‌کند، بررسی کنید. این فراخوانی‌ها اغلب در کتابخانه‌های شخص ثالث — SDK های ad-tech، فروشندگان ضدکلاهبرداری، ابزارهای تست A/B — مدفون هستند و بلافاصله قابل مشاهده نیستند.

۲. هر استفاده از اثرانگشت‌گیری را دسته‌بندی کنید

برای هر کتابخانه‌ای که اثرانگشت‌گیری می‌کند، مستند کنید که آیا (الف) برای عملکرد سایت کاملاً ضروری است، (ب) اقدام جلوگیری از کلاهبرداری تحت منفعت مشروع است، یا (ج) برای ردیابی، تحلیل یا تبلیغات است. دسته‌های (الف) و (ب) ممکن است بدون رضایت صریح تحت پایه‌های مستندشده پیش بروند؛ دسته (ج) نیاز به opt-in دارد.

۳. اثرانگشت‌گیری با هدف ردیابی را محدود کنید

برای کتابخانه‌هایی که تحت دسته (ج) قرار می‌گیرند، CMP باید آنها را دقیقاً مانند کوکی‌های بازاریابی در نظر بگیرد: اسکریپت در DOM است اما تا زمانی که بازدیدکننده دسته بازاریابی را بپذیرد غیرفعال است. بیشتر CMPهای مدرن از قبل از این را از طریق الگوی استاندارد type="text/plain" + category-attribute پشتیبانی می‌کنند.

۴. پایه منفعت مشروع را برای اثرانگشت‌گیری جلوگیری از کلاهبرداری مستند کنید

جایی که اثرانگشت‌گیری تحت منفعت مشروع پیش می‌رود، LIA باید خاص، جاری و منعکس‌کننده دامنه پردازش واقعی باشد. "جلوگیری از کلاهبرداری" عمومی کافی نیست — LIA باید مشخص کند چه داده‌هایی پردازش می‌شوند، چه مدت نگهداری می‌شوند، چه حفاظت‌هایی اعمال می‌شود و انتظارات واقعی کاربر چیست.

۵. opt-out معناداری برای جریان‌های منفعت مشروع فراهم کنید

حتی جایی که اثرانگشت‌گیری جلوگیری از کلاهبرداری بدون رضایت پیش می‌رود، Article 21 GDPR حق اعتراض به پردازش منفعت مشروع را به کاربر می‌دهد. CMP باید این حق را نمایش دهد و پیاده‌سازی فنی باید واقعاً اثرانگشت‌گیری را هنگام اعمال این حق متوقف کند — نه فقط اعتراض را ثبت کند در حالی که به اثرانگشت‌گیری ادامه می‌دهد.

چک‌لیست ممیزی

شش سؤال مشخص برای پاسخ دادن به هر سایتی که به طور بالقوه سطوح اثرانگشت‌گیری را نمایش می‌دهد.

۱. کامل بودن فهرست

آیا تیم امنیتی لیست فعلی از هر کتابخانه‌ای که بررسی canvas، صوتی، فونت، WebGL یا متادیتای دستگاه انجام می‌دهد تهیه کرده است؟ اگر پاسخ "مطمئن نیستیم" باشد، ممیزی نمی‌تواند ادامه یابد.

۲. طبقه‌بندی پایه

برای هر کتابخانه، آیا پایه قانونی مستندشده‌ای وجود دارد (رضایت، منفعت مشروع با LIA، ضرورت قراردادی)؟ پایه‌های مستندنشده طبق پاسخگویی عملاً غایب هستند.

۳. محدودسازی رضایت

آیا کتابخانه‌های اثرانگشت‌گیری با هدف ردیابی پشت دسته رضایت بازاریابی محدود شده‌اند، با اسکریپت ناتوان از اجرا قبل از پذیرش؟

۴. تازگی LIA

آیا ارزیابی‌های منفعت مشروع در ۱۲ ماه گذشته تاریخ‌گذاری شده‌اند و دامنه پردازش واقعی فعلی را منعکس می‌کنند نه توضیحات قدیمی؟

۵. اجرای opt-out

وقتی کاربر Article 21 را اعمال می‌کند، آیا سیستم واقعاً اثرانگشت‌گیری منفعت مشروع را متوقف می‌کند یا فقط اعتراض را ثبت می‌کند؟

۶. پاکسازی بین فروشندگان

اگر اثرانگشت با شخص ثالث (یک شبکه تبلیغاتی، ارائه‌دهنده انتساب، فروشنده هویت) به اشتراک گذاشته شود، آیا آن اشتراک‌گذاری توسط رضایت جداگانه پوشش داده شده و در اطلاعیه حریم خصوصی افشا شده است؟

جایگاه اثرانگشت‌گیری در آینده ردیابی

فروشندگان مرورگر به طور فعال در حال کار برای کاهش آنتروپی موجود برای کتابخانه‌های اثرانگشت‌گیری هستند. ITP Apple، حفاظت داخلی Firefox و پیشنهادات Google Privacy Sandbox همگی سطح زیربنایی را کاهش می‌دهند. هیچ یک از این مداخلات مسئله نظارتی را حذف نمی‌کنند، با این حال — حتی یک اثرانگشت با آنتروپی کاهش‌یافته هنوز زمانی که در شناسایی کاربر موفق می‌شود داده شخصی است و کاهش نرخ موفقیت تحلیل حقوقی را وقتی کار می‌کند تغییر نمی‌دهد. برای ناشران، فرض ایمن‌تر این است که اثرانگشت‌گیری برای ۲۴ ماه آینده به یک تکنیک واقعی و مرتبط با ممیزی تبدیل خواهد شد، ناظران همچنان آن را معادل کوکی‌ها برای اهداف رضایت می‌بینند و پاسخ عملیاتی درست این است که با اثرانگشت‌گیری مانند هر سطح ردیابی دیگری برخورد کنید: فهرست‌شده، دسته‌بندی‌شده بر اساس هدف، محدود‌شده توسط رضایت در جایی که لازم است و کاملاً مستندشده در جایی که تحت پایه دیگری پیش می‌رود.