Cách các trang web nhận diện bạn qua dấu vân tay trình duyệt

Ngay cả khi bạn xóa sạch cookie hay dùng chế độ ẩn danh, các trang web vẫn có thể đánh hơi ra bạn một cách chính xác. Chúng không cần tên tuổi, mà chỉ âm thầm thu thập những chi tiết kỹ thuật như phông chữ bạn cài, độ phân giải màn hình hay thậm chí là phiên bản phần cứng bạn đang dùng.

Những thông số này khi đứng riêng lẻ thì vô hại, nhưng khi gộp lại, chúng tạo thành một dấu vân tay trình duyệt độc nhất vô nhị. Xác suất để có một người khác sở hữu cấu hình thiết bị y hệt bạn là cực kỳ thấp, gần như bằng không.

Đây là một kỹ thuật theo dõi tinh vi, biến chính sự khác biệt trong cách bạn tùy chỉnh thiết bị thành công cụ để các hệ thống quảng cáo định danh bạn vĩnh viễn trên bản đồ số mà không cần sự cho phép.

Khoan, sao chúng được phép 'soi' thông số kỹ thuật của mình dễ vậy?

Thực ra, đây không phải là một vụ đột nhập. Khi bạn truy cập, trình duyệt sẽ chủ động "khai báo" các thông số này để trang web hiển thị nội dung tương thích nhất với thiết bị.

Hãy tưởng tượng trình duyệt là một người đưa thư quá nhiệt tình. Để thư dễ đọc, anh ta tự tiện kể cho chủ nhà biết bạn đang dùng kính loại gì hay thích cỡ chữ nào.

Hệ thống theo dõi lợi dụng sự "hiếu khách" này để thu thập dữ liệu định danh mà không cần bạn bấm nút "Đồng ý" như với cookie.

Rốt cuộc có cách nào chặn đứng việc 'khai báo' vô tội vạ này không?

Có thể, nhưng đây là con dao hai lưỡi. Nếu ẩn hết thông số, bạn sẽ trở nên cực kỳ cá biệt. Trong an ninh mạng, nỗ lực "vô hình" đôi khi lại khiến bạn nổi bật hơn hẳn trên radar của kẻ theo dõi.

Ngoài ra, nếu trình duyệt im lặng, trang web sẽ không biết cách hiển thị nội dung phù hợp, gây lỗi giao diện hoặc font chữ, khiến việc sử dụng web trở nên cực kỳ khó khăn.

Thay vì chặn, chuyên gia thường chọn cách "làm nhiễu". Chúng ta trộn thêm dữ liệu giả vào dấu vân tay, khiến kẻ theo dõi chỉ thu được một bức chân dung mờ mịt, vô giá trị.

Ủa, rồi 'làm nhiễu' kiểu đó thì mình đưa thông tin giả gì cho họ?

Thay vì để trình duyệt im lặng, chúng ta cho nó nói dối một cách có tính toán. Các công cụ bảo mật sẽ chèn thêm những sai số cực nhỏ vào các phép tính đồ họa hoặc âm thanh mà trang web yêu cầu thiết bị thực hiện.

Hãy tưởng tượng bạn đeo một chiếc mặt nạ có khả năng thay đổi đường nét li ti sau mỗi giây. Bạn vẫn là một con người với đầy đủ ngũ quan để trang web phục vụ, nhưng kẻ theo dõi không bao giờ chốt được một "bản vẽ" cố định về bạn.

Kỹ thuật này biến dấu vân tay của bạn thành một mục tiêu di động. Kẻ thu thập dữ liệu sẽ bị lạc trong một mê cung của những thông tin gần đúng nhưng hoàn toàn vô giá trị để định danh chính xác cá nhân bạn.

Nhưng tại sao việc vẽ một hình ảnh ẩn lại có thể tố cáo danh tính mình?

Trong giới bảo mật, đây là kỹ thuật Canvas Fingerprinting. Khi trình duyệt vẽ một hình ảnh ẩn, sự kết hợp giữa card đồ họa và phần mềm tạo ra những sai lệch cực nhỏ ở cấp độ pixel mà mắt thường không thấy.

Giống như 100 người cùng chép một bài thơ. Dù nội dung giống nhau, nhưng nét chữ và lực ấn bút của mỗi người là độc bản. Máy tính của bạn cũng có "nét chữ" riêng như vậy khi xử lý đồ họa.

Kẻ theo dõi thu thập "bản chép tay" vô hình này để tạo mã định danh vĩnh viễn, giúp nhận diện bạn ngay cả khi đã đổi địa chỉ IP.