Canvas指纹秘辛

您是否听说过Canvas指纹可以帮助网站追踪访客？——您大概率听说过，这也是为什么您正在阅读本文的原因。那么，让我来问您一些问题：为什么您相信这一陈述？您是否阅读过相关研究报告？或者您自己进行过某些研究？或许您之所以这样认为，是因为您瞥见过某些书本，或是从朋友那儿如是听说。 

事实上，如果有人对上千台过去25年内生产的设备上的不同操作系统和浏览器进行分析的话，那么大概率能够发现很多独特的浏览器指纹，许多学术期刊都对此进行了报道。 

但是，如果我们仅仅是对当下流行的设备和操作系统进行研究呢？毫无疑问，网站能够轻而易举地追踪到任意一台安装了Windows 95操作系统和5.0版本IE浏览器的15岁“爷爷辈”电脑。然而，这并没有回答这一问题：您的搭载Windows 10操作系统，安装了版本号为73的谷歌浏览器的Dell XPS电脑究竟具有多么独特的指纹呢？ 

我们的试验 

分析网站用来追踪用户的所有浏览器指纹可能需要耗费数个月的时间，因此我们决定将研究对象缩小至最有争议且被误解最深的一个指纹上，也就是Canvas。 

我们与当地一个的同时出售新旧电脑的经销商进行了合作。经过授权，我们可以使用上百台具有不同硬件的设备。我们选择了那些具有不同显卡和驱动的设备进行测试。其中大部分试验是在Windows 10操作系统上的最新版本谷歌浏览器上测试的。 

令人意外的是，在我们测试了100台完全不同的设备后，我们发现它们中间绝大部分具有一样的Canvas指纹。 

以下是此次研究的重点发现： 

• 2018年生产的Dell XPS电脑有着与2012年出厂的惠普电脑一样的Canvas指纹。 

• 2011-2018年间生产的MacBook Pro笔记本上的73版本的谷歌浏览器在browserleaks.com上显示一样的，独特性为100%的浏览器指纹（注意：73版本的谷歌浏览器在研究开始不久后发布）。 

• 安装Windows操作系统的平板电脑和其他笔记本电脑共享同样的Canvas签名。 

• 17台电脑在连续测试中显示同样的Canvas指纹。 

• 很多不同型号的显示适配器在与显卡集成之后会产生同样的Canvas指纹 

那么，我们的发现意味着什么？ 

我们从此次实验中得出的结论是：融入“人群”中要比我们预期简单得多。假如您的电脑搭配主流GPU（图形处理器），Windows 10操作系统和最新版本的谷歌或者火狐浏览器，即便您使用的是旧电脑，您也大可放心。同样的道理适用于苹果笔记本电脑。您并不需要进行额外的工作去掩盖您的Canvas指纹。 

至此，我们决定为Multilogin的Canvas指纹掩盖项目画上句号。同样的，AudioContext指纹掩蔽项目也被终止。最新的学术期刊表明，与Canvas相比，AudioContext仅为指纹增加了极少的特殊性。 

我们并没有停止改变WebGL图像的默认值来保护这一指纹，因为我们暂时还没有收集到足够的数据。我们并没有发现任何主流网站会使用WebGL图像指纹来识别用户身份。也许 WebGL图像指纹并不像AudioContext和Canvas指纹那么稳定。而另一个原因是进行WebGL图像渲染消耗的资源过多，甚至无法在一次会话内完成。 

然而，某些主流网络平台确实会读取WebGL元数据，用来分析用户的数字指纹。目前，我们建议将Multilogin的WebGL掩蔽设置为开启模式。在不久的将来，我们会添加分开管理WebGL图像和元数据的功能。一旦我们的后续研究验证了有关WebGL指纹的任何信息，我们将及时发布在博客内。