Przeglądarka zdradza tożsamość. Dlaczego jest to problem?
Wielu użytkowników internetu wie, że przeglądarka zdradza tożsamość, jednak niewielu zdaje sobie sprawę z tego, że nie da się tego obejść.
Z najnowszych badań zespołu z Texas A&M University, opublikowanych podczas prestiżowej konferencji ACM Web Conference 2025, wynika, że coraz więcej witryn wykorzystuje tzw. fingerprinting przeglądarki czyli technikę, która pozwala jednoznacznie zidentyfikować użytkownika na podstawie unikalnej konfiguracji jego urządzenia, bez użycia plików cookie.
Fingerprinting (czyli „odcisk cyfrowy”) polega na zbieraniu szczegółowych informacji o przeglądarce i urządzeniu użytkownika, takich jak typ systemu operacyjnego, rozdzielczość ekranu, czcionki, język systemowy, strefa czasowa, zainstalowane wtyczki czy nawet ustawienia renderowania grafiki. W teorii każda z tych informacji jest neutralna. W połączeniu tworzą unikalny profil, który można wykorzystać do śledzenia użytkownika nawet jeśli ten nigdy się nie loguje, nie ma konta i blokuje cookies.
Jak wyjaśnia prof. Nitesh Saxena, główny autor badania, do tej pory podejrzewano, że fingerprinting jest wykorzystywany do identyfikacji, ale brakowało twardych dowodów na to, że służy do rzeczywistego profilowania użytkowników i sterowania reklamami. Dzięki opracowanemu przez jego zespół narzędziu FPTrace, udało się to udowodnić.
Najbardziej niepokojące jest to, że fingerprinting działa niezależnie od tego, czy wyraziliśmy zgodę na śledzenie, czy też nie. Zespół badaczy przeanalizował interakcje między fingerprintami, a systemami reklamowymi i zauważył istotne zmiany w wycenie użytkowników (np. wartości licytacji na aukcjach reklamowych) po sztucznym zmienianiu fingerprintu.
Jeśli dana przeglądarka zostanie uznana za „anonimową” (czyli mało danych do profilowania), system reklamowy oferuje niższe stawki. Gdy jednak fingerprint jest wyraźny i rozpoznawalny. Cena za dotarcie do użytkownika rośnie. To oznacza, że reklamodawcy realnie traktują fingerprint jako narzędzie identyfikacji i profilowania użytkownika.
Narusza to nie tylko zasady etyczne, ale potencjalnie także prawo, w tym unijną RODO (GDPR) i kalifornijską CCPA, które wymagają wyraźnej zgody na śledzenie.
Zjawisko fingerprintingu nie jest nowe. Już w 2010 roku organizacja Electronic Frontier Foundation stworzyła projekt Panopticlick, który pokazał, jak łatwo jest odróżnić jednego użytkownika od milionów innych na podstawie samych ustawień przeglądarki. W 2023 roku Mozilla alarmowała, że mimo zaawansowanych opcji prywatności w Firefoksie, wiele stron wciąż potrafi obejść zabezpieczenia.
W 2024 roku raport Privacy International ujawnił, że niektóre witryny rządowe w Europie także korzystają z fingerprintingu, mimo obowiązujących regulacji.
Zespół z Texas A&M i Johns Hopkins proponuje nowe podejście do walki z tym zjawiskiem. Aktywny audyt witryn oraz narzędzi reklamowych z użyciem FPTrace. Ich propozycja to nie tylko monitoring obecności fingerprintingu, ale sprawdzenie, czy dane są wykorzystywane do personalizacji treści lub przekazywania identyfikatorów do stron trzecich.
Dodatkowo, potrzebne są silniejsze regulacje prawne i narzędzia wbudowane w przeglądarki. Brave, Firefox i Safari już podejmują działania w tym kierunku, wprowadzając tzw. „randomized fingerprinting” czyli losowe ustawienia, które utrudniają identyfikację. Google również zapowiada nową wersję Chrome z lepszymi zabezpieczeniami, ale zaufanie społeczne do tej firmy w obszarze prywatności pozostaje niskie.
Badania Saxeny i jego zespołu są ważnym ostrzeżeniem. Żyjemy w epoce, w której samo połączenie z internetem zostawia po nas więcej śladów niż kiedykolwiek wcześniej. Choć narzędzia takie jak FPTrace dają szansę na kontrolę, to ostateczna odpowiedzialność spoczywa na twórcach przeglądarek, ustawodawcach i co najważniejsze, świadomych użytkownikach.
Szymon Ślubowski
