清除 Cookie 不足以保护您的在线隐私。
德克萨斯 A&M 大学领导的一项新研究发现,网站正在秘密使用浏览器指纹识别(一种唯一标识网络浏览器的方法)来跨浏览器会话和网站跟踪人们。
“指纹识别一直是隐私界关注的问题,但直到现在,我们还没有确凿的证据证明它确实被用来追踪用户。”网络安全研究员、计算机科学与工程教授、德克萨斯农工大学全球网络研究所副主任尼特什·萨克塞纳博士表示。“我们的工作有助于弥补这一缺陷。”
当您访问网站时,您的浏览器会分享大量信息,例如您的屏幕分辨率、时区、设备型号等等。这些信息组合在一起,会形成一个通常是您浏览器独有的“指纹”。与用户可以删除或阻止的 Cookie 不同,指纹识别更难检测或阻止。大多数用户对此毫不知情,即使是注重隐私的浏览器也难以完全阻止它。
“可以把它想象成一个你不知道自己留下的数字签名。”论文合著者、Saxena 实验室前博士生刘曾睿解释说。“你可能看起来是匿名的,但你的设备或浏览器会暴露你的身份。”
这项研究标志着计算机科学家通过将浏览器指纹与广告的使用联系起来,理解浏览器指纹在现实世界中的使用方式的一个转折点。
“虽然之前的研究已经研究了浏览器指纹及其在不同网站上的使用情况,但我们的研究是第一个将浏览器指纹和广告行为关联起来的研究,从本质上建立了网络跟踪和指纹之间的关系。”论文合著者、约翰·霍普金斯大学计算机科学副教授兼信息安全研究所技术总监曹银芝博士说。
为了调查网站是否使用指纹数据来追踪用户,研究人员的行动远不止扫描网站是否存在指纹代码。他们开发了一个名为 FPTrace 的测量框架,该框架通过分析广告系统如何响应浏览器指纹的变化来评估基于指纹的用户追踪。这种方法基于这样的洞察:如果浏览器指纹会影响追踪,那么改变指纹应该会影响广告商竞价(根据网站访问者的个人资料实时出售广告空间)以及 HTTP 记录(服务器与浏览器之间的通信记录)。
“这种分析让我们能够透过表面看到事情。”论文合著者、萨克塞纳的博士生吉米·达尼 (Jimmy Dani) 说道。“我们不仅能够检测到指纹的存在,还能发现它是否被用来识别和锁定用户——而这很难证明。”
研究人员发现,即使用户清除或删除了 Cookie,追踪仍然会发生。结果显示,指纹更改后,出价出现显著差异,HTTP 记录和同步事件减少,这表明定位和追踪受到了影响。
此外,其中一些网站将指纹识别行为与后端竞价流程联系起来——这意味着基于指纹的配置文件正在实时使用,可能会根据用户定制响应或将标识符传递给第三方。
或许更令人担忧的是,研究人员发现,即使根据欧洲通用数据保护条例(GDPR)和加州消费者隐私法案(CCPA)等隐私法明确选择退出跟踪的用户,仍可能通过浏览器指纹在网络上被悄悄跟踪。
根据这项研究的结果,研究人员认为,当前的隐私工具和政策效果不佳。他们呼吁加强浏览器的防御能力,并加强监管机构对指纹识别实践的关注。他们希望他们的 FPTrace 框架能够帮助监管机构审核参与此类活动的网站和提供商,尤其是在未经用户同意的情况下。
这项研究是与约翰霍普金斯大学合作进行的,并在 2025 年 ACM 网络会议 (WWW) 上发表。
这项研究的资金由德克萨斯 A&M 工程实验站 (TEES) 管理,该站是德克萨斯 A&M 工程的官方研究机构。
