浏览器指纹作为追踪技术

浏览器指纹是一种基于 Web 浏览器和设备的设置与特征组合来唯一识别用户的技术。由于它不需要像 Cookie 那样在设备上存储任何数据,因此有时被称为"无状态追踪技术"。

屏幕分辨率、已安装的字体、浏览器版本,每条信息单独来看都有很多用户共享。然而,当这些信息组合在一起时,可以以惊人的准确度识别单个浏览器。EFF(电子前沿基金会)的研究表明,浏览器指纹的唯一性率达到 80-90% 以上,近期研究报告的识别准确率甚至高达 99.5%。

2025 年 2 月,Google 撤销了其广告平台上对指纹识别的禁令,使这项技术的关注度大幅提升。作为 Cookie 的替代方案,指纹识别有望变得更加普遍。

收集了哪些信息?

基本浏览器信息

  • User-Agent 字符串(浏览器类型、版本和操作系统信息)
  • 语言设置和语言优先级顺序
  • 时区
  • Do Not Track 设置
  • Cookie 启用/禁用状态
  • Client Hints(UA-CH)提供的详细浏览器和操作系统信息

屏幕和显示信息

  • 屏幕分辨率和色深
  • 设备像素比(用于检测 Retina 显示屏等)
  • 可用屏幕尺寸(排除任务栏等后的有效区域)
  • 屏幕方向(横屏/竖屏)和宽高比

硬件信息

  • 逻辑 CPU 核心数
  • 设备内存容量
  • GPU 类型(通过 WebGL 获取)
  • 触摸屏可用性和触摸点数量
  • 电池状态(通过 Battery Status API,部分浏览器已限制)

高级指纹技术

  • Canvas 指纹:从 HTML5 Canvas 元素渲染的像素数据生成唯一哈希值。GPU、驱动程序和渲染引擎的细微差异会产生设备特有的输出
  • AudioContext 指纹:利用 Web Audio API 检测音频处理中的细微差异。音频栈实现的差异会为每台设备创建唯一值
  • WebGL 指纹:从 3D 图形渲染结果中识别 GPU 特有的特征。着色器精度和渲染管线的差异可作为标识符

熵与唯一性

指纹的区分能力通过"熵"来衡量,这是一个信息论指标,以比特为单位,值越高,识别能力越强。1 比特的熵意味着可以将对象分为两组。如需深入了解这些概念,可以参考Web 追踪与隐私保护指南。

例如,屏幕分辨率为"1920×1080"的用户约占所有用户的 30%,因此仅凭这一属性的熵值相对较低。相比之下,GPU 渲染器字符串极其多样,具有很高的熵值。仅 Canvas 指纹就能产生超过 10 比特的熵,理论上可以区分 1,000 多个用户。

当多个属性组合时,熵值会累加。超过 30 比特的熵,理论上就可以在超过 10 亿用户中识别出个人。

IP 确认酱的指纹唯一性评分会直观显示每个属性的熵贡献,让你用数字了解自己的浏览器有多独特。

指纹识别的用途

广告追踪

广告网络使用指纹识别作为 Cookie 的替代方案,跨网站追踪用户行为。由于基于指纹的追踪即使在删除 Cookie 后仍然有效,因此是一种更顽固的监控形式。Google 在 2025 年允许其广告平台使用指纹识别的决定进一步扩大了这一用途。对技术细节感兴趣的读者,在线追踪技术相关书籍提供了有价值的见解。

欺诈检测

金融机构和电商网站使用指纹识别来检测未授权访问和账户盗用。当检测到来自异常指纹的访问时,可能会要求额外的身份验证。这一用途表明指纹识别可以有助于提升安全性,该技术本身并非天生恶意。

机器人检测

指纹识别还用于区分自动访问(机器人)和人类访客。机器人通常表现出独特的指纹模式,例如无头浏览器特有的属性值或不自然的 API 响应。

如何保护自己免受指纹追踪

完全防护很困难,但以下措施可以显著降低追踪风险。希望深入了解的读者可以参考浏览器安全基础相关书籍。

选择注重隐私的浏览器

Tor 浏览器的设计使所有用户共享相同的指纹,是最有效的对策。Brave 浏览器也内置了指纹属性随机化功能。Firefox 从 2025 年的 145 版本开始大幅加强了指纹防护,据报道可将可追踪用户数量减少多达 70%。

使用浏览器扩展

  • Canvas Blocker:随机化或阻止 Canvas 指纹
  • User-Agent Switcher:将 User-Agent 字符串伪装为常见值
  • Privacy Badger:自动学习并阻止追踪器
  • uBlock Origin:全面的广告和追踪器拦截,对阻止指纹脚本也很有效

检查浏览器设置

  • 在 Firefox 中,启用 privacy.resistFingerprinting 可将许多指纹属性标准化为通用值
  • 禁用 WebGL(可能影响某些网站的渲染)
  • 限制 JavaScript 执行(许多指纹技术依赖 JS)
  • 阻止第三方 Cookie

结合 VPN 使用

VPN 可以隐藏你的 IP 地址和时区信息,但无法阻止指纹识别本身。将 VPN 与指纹对策结合使用可以提供更强大的隐私保护。请注意,WebRTC 泄露即使在使用 VPN 时也可能暴露你的 IP 地址,因此需要额外的防护措施。

Do Not Track 和 Cookie 管理

启用浏览器的 Do Not Track(DNT)设置可以向网站传达你选择退出追踪的意愿。但由于 DNT 没有法律约束力,因此需要结合 Cookie 管理和追踪器拦截工具一起使用。

2025-2026 年最新趋势

指纹识别技术及其对策近年来已到达一个重要转折点。

Google 的指纹政策逆转

2019 年,Google 批评指纹识别是"颠覆用户选择的错误做法"。然而在 2024 年 12 月,该公司逆转了这一立场。自 2025 年 2 月 16 日起,使用 Google 广告平台的公司被允许使用指纹技术进行用户追踪。英国信息专员办公室(ICO)称这一决定"不负责任",从隐私角度引发了重大争议。

Privacy Sandbox 的终结

Google 于 2025 年 10 月实质性关闭了 Privacy Sandbox 项目。包括 Topics、Protected Audience 和 Attribution Reporting 在内的主要 API 被弃用,在 Chrome 中弃用第三方 Cookie 的计划也被放弃。Cookie 和指纹识别预计在可预见的未来将继续用于广告追踪。

Firefox 增强的指纹防护

Mozilla 在 Firefox 145 中引入了重大指纹对策。增强型追踪保护的新阶段增加了检测和限制未列入已知追踪器数据库的指纹脚本的能力,显著减少了可追踪用户的数量。这些保护措施最初在隐私浏览模式和 ETP 严格模式中可用,计划逐步推广到默认设置。

监管动态

在欧盟,拟议的 ePrivacy 法规于 2025 年 2 月被正式撤回。但现有的 ePrivacy 指令仍然有效,欧洲数据保护委员会(EDPB)已更新其指南以应对包括指纹识别在内的新兴追踪技术。在日本,2024 年修订的《电信事业法》加强了外部数据传输规则,推进了对包括指纹识别在内的追踪技术的监管。

今天就能开始的实用清单

为了降低通过指纹识别被追踪的风险,请按顺序完成以下事项:

  1. IP 确认酱上查看你的指纹唯一性评分,了解你的浏览器有多容易被识别
  2. 检查浏览器的隐私设置,启用第三方 Cookie 拦截
  3. 安装 Canvas Blocker 或 Privacy Badger 等扩展
  4. 检查 WebRTC 泄露,必要时采取对策
  5. 验证你访问的网站的安全头配置
  6. 确认 HTTPS/TLS 连接已正确建立
  7. 审视你的整体数字足迹,尽量减少在线暴露

总结

浏览器指纹是一种强大的追踪技术,作为 Cookie 的替代方案,Google 的政策逆转意味着其使用预计将进一步扩大。与此同时,以 Firefox 为首的浏览器端对策也在快速发展。了解你的浏览器有多独特,是保护隐私的第一步。现在就去查看你的 IP 确认酱指纹唯一性评分吧。

相关术语

浏览器指纹 一种通过浏览器的独特配置组合来识别和追踪用户的技术…… WebRTC 一种浏览器技术,支持实时点对点音频、视频和数据通信…… 浏览器隔离 一种将 Web 内容渲染与用户终端分离的安全技术…… Canvas 指纹 一种浏览器指纹技术,通过绘制不可见的图形(文字、形状等)…… CSP(内容安全策略) 一种 HTTP 响应头,提供了限制网页资源来源的强大机制……