Что про вас знают популярные сайты?

Данные - нефть цифровой экономики. Огромные объемы информации о всех пользователях интернета собирают и анализируют, чтобы сделать сервисы лучше, рекламу эффективнее и системы безопасности надежнее. И кто знает, для чего еще.

Часть информации о себе пользователи предоставляют добровольно, в социальных сетях и профилях на сайтах. Но даже если пользователь еще ничего не успел заполнить, о нем все равно уже известно достаточно много. Спросили у разработчиков антидетект-браузера Octo Browser, из чего состоит “цифровой отпечаток”, как его используют и с помощью чего его можно скрыть.

Сейчас многие онлайн-сервисы могут накладывать на пользователей ограничения разной степени справедливости. Какие-то из них запрещают использование своих ресурсов и блокируют контент по географическому принципу, а какие-то завышают цену на основе истории посещений других сайтов. Знание - сила, и если иметь четкое представление о том, как работают эти ограничения, то можно найти способы их обходить.

Данные о том, откуда пользователь выходит в интернет, можно узнать с помощью IP-адреса. Это номер, который выдается устройству, чтобы его можно было найти в сети. Самый простой способ выяснить свой IP-адрес – выполнить поиск в Google по словам «What is my IP address?».

Чтобы выйти в интернет, устройство сначала подключается к сети локального провайдера. Он выдает IP-адреса всем абонентам и предоставляет им доступ к “большому” интернету. У провайдера есть в распоряжении много IP-адресов, которые раздаются абонентам случайным образом при каждом новом подключении. Информация о том, какие диапазоны адресов принадлежат определенным провайдерам, находится в свободном доступе. Это значит, что выяснить ваше примерное расположение по IP-адресу и зоне работы вашего интернет-провайдера не так уж и трудно. Например, такую информацию дают сайты whatismyip.com, iplocation.net и многие другие.

Вычислить адрес пользователя с точностью до дома не получится без специального программного обеспечения и доступа к закрытым данным провайдеров — это уже что-то из области работы полиции или киберпреступников. Впрочем, такая точность и не требуется большинству сайтов. Для того, чтобы настроить таргетинг по геолокации, определить попытку неавторизованного входа или установить региональные цены достаточно и примерной информации.

Для того, чтобы скрыть свой IP-адрес, обычно используют два решения: прокси и VPN. Не погружаясь в детали, это технологии, которые позволяют добавить между пользователем и интернетом сервер-посредник. Его IP-адрес будет использоваться для подмены. Разница между прокси и VPN в том, что прокси перенаправляет через себя трафик одного приложения: например, браузера. VPN, в свою очередь, перенаправляет вообще весь сетевой трафик пользователя.

Даже если IP-адрес изменен, есть другие способы узнать, где вы находитесь: например, некоторые сайты используют для этого WebRTC. Это технология для передачи мультимедийных данных между пользователями в стриминговых сервисах, таких как Discord или Google Meet. WebRTC соединяет пользователей напрямую, и настройки сети игнорируются. Поэтому некоторые сайты используют эту технологию чтобы определять местоположение пользователей даже при использовании VPN.

В браузере хранятся самые разные данные о том, с какого девайса пользователь выходит в интернет: есть записи об операционной системе, процессоре, видеокарте, разрешении экрана, системных шрифтах, настройках времени, геолокации. Все это нужно для корректного отображения сайта и удобства работы с ним. А еще для того, чтобы идентифицировать уникальных пользователей.

Браузер собирает и отдает сайтам довольно объемный набор самых разных признаков. На первый взгляд, его тяжело использовать для идентификации пользователя. Каждый отдельный признак из этого набора встречается среди пользователей довольно часто. Но если рассматривать признаки как единую картину, то из них получается цифровой отпечаток, или фингерпринт, с помощью которого можно довольно точно определить уникального посетителя. Подробнее о цифровых отпечатках, из чего они состоят и как их можно подменять, есть в блоге Octo Browser.

В первую очередь идентификация пользователей нужна для аналитики и рекламы. Цифровой отпечаток позволяет “узнавать” пользователя каждый раз, когда он заходит на сайт, даже если он не залогинился, и запоминать его предпочтения. Также цифровой отпечаток используют в системах безопасности сайтов: с его помощью можно отделить реальных пользователей от ботов, выявить использование чужих персональных данных, заметить пользователей, подменяющих свой IP-адрес.

Посмотреть информацию, которую о вас можно узнать из браузерных записей можно, например, здесь или здесь. Некоторые сайты еще более подробно отслеживают действия посетителей. Например, они записывают время, проведенное на странице, движения курсора и взаимодействия с объектами. Посмотреть, как это работает, можно здесь.

Пользователей с одинаковыми сборками “железа” и набором настроек браузера будет довольно много: например, большинство пользователей свежих Macbook Air будут пользоваться обновленным до последней версии Safari, и “железо” у них будет одинаковое. Для того, чтобы и таких пользователей тоже можно было отличить друг от друга, некоторый сайты проводят дополнительные тесты. Например, они дают браузерам фоновую задачу нарисовать простые графические элементы в 2D и 3D .

Это выглядит так: за отрисовку 2D-объектов отвечает Canvas, а за 3D - WebGL. Заходим на сайт с говорящим названием amiunique.org и смотрим, сколько еще компьютеров выполняют такие задачи точно так же, как наш:

Визуально фигуры и тексты, сгенерированные на разных компьютерах, отличаться не будут, однако технические детали покажут, что расчеты были выполнены машинами с разной комбинацией настроек, драйверов, софта и “железа”. Результаты отрисовки преобразуются в длинный код-идентификатор, который позволяет еще более точно определить уникального пользователя.

Чтобы пользователю не нужно было каждый раз заново представляться сайтам, на которых он бывает регулярно, браузеры записывают файлы cookies. В куках фиксируется история посещений, логин и пароль в зашифрованном виде, региональные настройки и настройки дизайна.

Основные куки генерируются на стороне пользователя. В этом случае в них сохраняются данные, нужные для удобства работы с одним конкретным сайтом. Например, с их помощью в корзине будут сохраняться товары, на основе просмотренных страниц будут генерироваться рекомендации, а в полях будут сохраняться адрес доставки или номер телефона.

Еще куки могут генерироваться сайтами. Они называются сторонними, или third-party. В таких куки-файлах можно записать историю посещений других сайтов. Сторонние куки используют рекламные сети: например, если вы пользуетесь Facebook и Instagram, с помощью небольшого фрагмента кода на языке JavaScript - пикселя Meta - владельцы сайтов смогут идентифицировать ваш профиль и нацелить на него рекламу в социальных сетях. Это работает примерно так: вы заходите на сайт, который использует сторонние куки. Он вносит в ваш куки-файл запись “Здесь был этот пользователь”. Если сайт был посвящен, например, котикам, рекламная сеть теперь знает о том, что вы ими интересовались, и будет предлагать соответствующую рекламу - корм для котиков, кошачью одежду или что-то еще, характерное для любителей котов.

Еще один важный нюанс про сторонние куки: некоторые сайты могут с их помощью получать ваши контактные данные. Если вы заполняете форму с электронной почтой на сайте, который использует такой вид кук, не удивляйтесь потом непрошенным е-мейлам.

Посмотреть, какие именно куки использует любой сайт, можно на одном из многочисленных куки-сканнеров. Например, тут. Сервис покажет, какие виды кук, в каком количестве и зачем собирает указанный вами сайт.

Вот, например, репорт по сайту octobrowser.net. Можете посмотреть, какие данные собирают ваши любимые новостные порталы, интернет-магазины и другие площадки. Возможно, кто-то из них знает слишком много.

По правилам все сайты обязаны спрашивать у пользователей, можно ли им использовать куки - не важно, основные или сторонние. Поэтому зачастую от передачи кук можно просто отказаться: почти на всех сайтах сейчас есть специальная форма для этого. Иногда в ней даже можно выбрать, какие именно куки вы согласны принимать, а какие нет. Если вы не бывали на сайте Bloomberg - там можно посмотреть эталонный пример максимально подробной формы кук.

Для того, чтобы пользоваться интернетом более-менее анонимно, есть несколько основных инструментов. О некоторых речь шла выше: прокси и VPN позволяют скрыть IP-адреса и, соответственно, геолокацию.

Но для более глубокой маскировки нужен еще антидетект-браузер. Он позволяет заменить все параметры подключения и создать новый уникальный цифровой отпечаток пользователя на основе реальных данных других пользователей. Такие отпечатки сложно отличить от настоящих. Например, в Octo Browser можно создать сотни несвязанных друг с другом аккаунтов, отследить которые невозможно. Пользоваться Octo Browser примерно так же просто, как обычным Chrome - он разработан на основе на том же самом ядре и по интерфейсу почти не отличается.

Данные о пользователе чаще всего используют для довольно безобидных вещей вроде настройки контекстной рекламы. Тем не менее, есть случаи, когда необходимость спрятаться все-таки есть. Например, если онлайн-сервисы накладывают слишком жесткие региональные ограничения, банят аккаунты без внятных объяснений или меняют цену отдельных пользователей по непрозрачным признакам. Ну или когда хочется найти в интернете какую-то информацию, о которой не хотелось бы распространяться: у каждого человека свои границы приватности.