اختبار بصمة Canvas: كيف تحدد المواقع متصفحك بدون ملفات تعريف الارتباط

يشرح هذا المقال ما هو اختبار بصمة Canvas، وكيف تحدد المواقع متصفحك بدون ملفات تعريف الارتباط، ولماذا أدوات إخفاء الهوية مثل VPN ليست كافية، والخطوات العملية التي يمكنك اتخاذها للتحقق من هذا النوع من التتبع وتقليله.

يشير مصطلح بصمة المتصفح (يُسمى أيضًا البصمة الرقمية) إلى مجموعة فريدة أو شبه فريدة من نقاط البيانات التي يمكن لموقع ويب جمعها من متصفحك وجهازك. بدلاً من تخزين ملف تعريف ارتباط على جهازك، يجمع المتتبعون العديد من أجزاء المعلومات الصغيرة لإنشاء ملف تعريف يمكنه على الأرجح تمييزك عن الزوار الآخرين.

تشمل المكونات الشائعة لبصمة المتصفح:

• وكيل مستخدم المتصفح (الاسم والإصدار)
• الإضافات المثبتة وأنواع MIME
• دقة الشاشة وعمق اللون
• إعدادات المنطقة الزمنية واللغة
• رؤوس HTTP وميزات TCP/IP
• خطوط النظام وتفاصيل عرض الخطوط
• معلومات الأجهزة و GPU
• مخرجات عرض Canvas (بصمة Canvas)

عند جمعها معًا، يمكن أن تكون هذه السمات محددة للهوية بشكل مفاجئ. أظهرت الأبحاث التي أجرتها مجموعات الخصوصية أن البصمة المجمعة بشكل صحيح يمكنها تحديد نسبة كبيرة جدًا من المتصفحات على الويب بشكل فريد.

البصمة الرقمية هي المفهوم الأوسع الذي يشمل بصمة المتصفح ولكنه يغطي أيضًا المعرّفات المنشأة من استخدام التطبيقات وخصائص الجهاز والإشارات السلوكية. تُستخدم البصمات الرقمية من قبل المعلنين وشركات التحليلات لتتبع المستخدمين عبر المواقع والخدمات.

على عكس ملفات تعريف الارتباط التي تُخزن ويمكن حذفها أو حظرها، تُنشأ البصمات من ملاحظات سلبية لكيفية تقديم جهازك ومتصفحك لأنفسهما. هذا يعني أن منع البصمة يتطلب تغيير كيفية إبلاغ متصفحك أو عرضه للمعلومات.

تم تقديم Canvas API كجزء من HTML5، وتتيح للمواقع رسم الرسومات ومعالجتها مباشرة في المتصفح. Canvas مخصص للاستخدامات المشروعة — الألعاب والرسوم البيانية والرسومات الديناميكية — لكن يمكن استغلاله أيضًا للبصمة.

تعمل بصمة Canvas عن طريق مطالبة المتصفح برسم رسم محدد — غالبًا نص بخطوط وأحجام وألوان وتحويلات معينة — في عنصر canvas مخفي. ثم يقرأ الموقع مخرجات البكسل باستخدام طرق toDataURL() أو getImageData() في canvas. نظرًا لأن الأنظمة المختلفة تعرض البكسلات بشكل مختلف قليلاً، تحتوي بيانات الصورة الناتجة على اختلافات دقيقة. عند تجزئة تلك البكسلات، تعمل التجزئة كبصمة Canvas.

لماذا تختلف العروض؟ تنشأ اختلافات صغيرة من:

• مكتبات عرض خطوط نظام التشغيل وعرض البكسل الفرعي
• الخطوط المثبتة واستبدال الخطوط
• أجهزة الرسومات (GPU) والتعريفات
• محركات رسومات المتصفح وإعدادات مكافحة التعرج
• ملفات تعريف الألوان المتاحة ومعايرة العرض

تتحد هذه المتغيرات لإنتاج توقيع مستقر وغالبًا فريد لمجموعة الجهاز والمتصفح. نظرًا لأن عرض Canvas يعتمد على العديد من العوامل على مستوى النظام التي لا يغيرها المستخدم عادةً، فإن بصمات Canvas تسمح عمومًا بتحديد المستخدم حتى بعد حذف ملفات تعريف الارتباط.

تضمّن المواقع والمتتبعون من الأطراف الثالثة نصوصًا تجري تلقائيًا اختبار بصمة Canvas عند تحميل الصفحة. العملية الأساسية هي:

1. ينشئ النص عنصر canvas خارج الشاشة (مخفي).
2. يرسم النص رسمًا أو نصًا محددًا مسبقًا بأنماط وتحويلات دقيقة.
3. يقرأ النص بيانات البكسل من canvas ويحسب تجزئة (مثل SHA-256).
4. تُرسل التجزئة الناتجة إلى الخادم وتُخزن مع بيانات التتبع الأخرى.

بمرور الوقت، إذا ظهرت نفس التجزئة عبر الزيارات أو المواقع المختلفة، يربط المتتبعون تلك الجلسات معًا. نظرًا لأن بصمة Canvas لا تُخزن على جهازك كملف تعريف ارتباط، فإنها تستمر حتى تتغير خصائص العرض الأساسية.

غالبًا ما تُدمج بصمات Canvas مع تقنيات بصمة أخرى (الخطوط، سياق الصوت، WebGL، الإضافات المثبتة) لإنشاء معرّف قوي. كلما زادت السمات المجمعة، زاد احتمال تحديد الزائر بشكل فريد.

يفترض العديد من المستخدمين أن إخفاء عنوان IP باستخدام VPN أو تغيير عنوان IP سيستعيد إخفاء الهوية. بينما تحمي VPN طبقة الشبكة، فإنها لا تغير كيفية عرض متصفحك للرسومات والخطوط أو ميزات مستوى النظام الأخرى.

الأسباب الرئيسية لعدم منع VPN لبصمة Canvas:

• تعتمد بصمات Canvas على الأجهزة والبرامج المحلية، وليس معرّفات الشبكة.
• تغير VPN فقط عنوان IP المصدر وربما الموقع الجغرافي الظاهر؛ لا تغير الخطوط أو تعريفات GPU أو محركات عرض المتصفح.
• إذا رأى المتتبع نفس بصمة Canvas قبل وبعد تبديل عناوين IP، فلا يزال بإمكانه ربط حركة المرور بنفس المستخدم.

باختصار، تتجاوز بصمة Canvas الحماية التي تقدمها الخدمات القائمة على IP. بالنسبة للعديد من المتتبعين، IP هو مجرد إشارة واحدة من بين العديد؛ توفر بصمات Canvas معرّفًا مستقرًا عبر الجلسات يبقى صالحًا عبر اتصالات VPN وتغييرات عنوان IP وملفات تعريف الارتباط الممسوحة.

يساعدك إجراء اختبار بصمة Canvas على رؤية ما يمكن للمتتبعين رؤيته. إليك دليلاً عمليًا لاستخدام هذا الاختبار.

خطوة بخطوة: تشغيل اختبار بصمة Canvas

1. افتح صفحة اختبار بصمة Canvas.
تجري الصفحة فحصًا للمتصفح يوضح كيف تعرض واجهة HTML5 Canvas API صورة مخفية على نظامك.

2. شغّل اختبار بصمة Canvas.
عند تحميل الصفحة، يرسم النص صورة canvas باستخدام أشكال ونصوص. تؤثر الاختلافات الصغيرة في متصفحك و GPU ونظام التشغيل وتعريفات الرسومات على كيفية عرض هذه الصورة.

3. اعرض بصمة Canvas المولّدة.
تحلل الأداة البكسلات المعروضة وتولّد معرّفًا فريدًا (تجزئة). تمثل هذه القيمة بصمة Canvas الخاصة بك، والتي يمكن لأنظمة التتبع استخدامها للتعرف على متصفحك.

4. كرر الاختبار للتحقق من الاستقرار.
أعد تحميل الصفحة أو شغّل الاختبار مرة أخرى. إذا لم يتغير تكوين نظامك، يجب أن تبقى بصمة Canvas متسقة. النتائج المستقرة تعني أن البصمة يمكن أن تعمل كمعرّف دائم.

5. قارن بيئات مختلفة.
شغّل نفس الاختبار في متصفح آخر أو ملف تعريف متصفح أو ملف تعريف متصفح مضاد للكشف. الاختلافات في البصمة تشير إلى أن بيئة العرض قد تغيرت.

تفسير النتائج

بصمة مستقرة: إذا بقيت التجزئة متطابقة عبر الجلسات، فإن جهازك يحمل توقيع Canvas متسق قد تستخدمه المواقع لتتبع متصفحك.

بصمات مختلفة عبر المتصفحات: قد تنتج متصفحات أو ملفات تعريف مختلفة نتائج Canvas مختلفة، مما يقلل فرصة ربط الجلسات معًا.

البصمة مع إشارات أخرى: نادرًا ما تُستخدم بيانات Canvas وحدها. عادةً ما تجمعها أنظمة التتبع مع سمات بصمة أخرى مثل WebGL والخطوط والمنطقة الزمنية ورؤوس HTTP لبناء بصمة رقمية أكثر موثوقية.

تستخدم الشركات بصمات Canvas لأغراض متنوعة:

• الإعلان: إعادة تحديد المستخدمين لاستهداف الإعلانات عبر الجلسات والمواقع.
• كشف الهجمات: التعرف على الأجهزة المستخدمة في إجراءات خطيرة محتملة حتى عند مسح ملفات تعريف الارتباط.
• التحليلات: تحسين دقة القياس عبر الزيارات دون الاعتماد على ملفات تعريف الارتباط.
• تخصيص المحتوى: تقديم محتوى متسق أو وصول للحساب عبر الجلسات.

نظرًا لأن بصمة Canvas غير مرئية لمعظم المستخدمين ولا تعتمد على حالة مخزنة من جانب العميل، فهي أداة جذابة للأطراف التي تحتاج إلى معرّفات دائمة. خفاؤها هو أيضًا السبب في أن العديد من المدافعين عن الخصوصية يثيرون مخاوف.

إيقاف بصمة Canvas تمامًا أمر صعب دون تغيير كيفية عرض متصفحك للرسومات. ومع ذلك، يمكنك تقليل تعرضك بشكل كبير باستخدام عدة خطوات عملية وخيارات متصفح.

1. استخدم المتصفحات المضادة للكشف

تهدف المتصفحات المضادة للكشف إلى تقليل البصمة من خلال توحيد أو عشوائية سمات البصمة. قد:

• تحظر الوصول المباشر لبيانات بكسل Canvas عن طريق طلب الإذن أو إرجاع قيمة عامة.
• توحّد مخرجات العرض بحيث يبدو العديد من المستخدمين متشابهين للمتتبعين.
• توفر ملفات تعريف معزولة متعددة حيث يقدم كل ملف تعريف بصمة متسقة لكن مختلفة.

تشمل الأمثلة الفروع المحسنة للخصوصية أو المتصفحات المتخصصة المبنية لإخفاء الهوية. ملاحظة: تختلف أدوات "مكافحة الكشف" بشكل كبير في الجودة، لذا اختر حلولاً موثوقة ومراجعة جيدًا.

2. اضبط إعدادات وأذونات متصفحك

توفر بعض المتصفحات الرئيسية عناصر تحكم أو إضافات تحظر أو تطلب الإذن عندما يحاول موقع قراءة بيانات Canvas:

• فعّل إعدادات الخصوصية التي تحظر المتتبعين من الأطراف الثالثة والبصمة.
• ثبّت إضافات مثل مدافعي الخصوصية وحاظرات النصوص (مثل uBlock Origin) أو إضافات مكافحة البصمة.

لاحظ أن حظر استدعاءات Canvas API أو تعديل مخرجاتها يمكن أن يعطل ميزات الموقع المشروعة (تطبيقات الويب، أدوات الرسم عبر الإنترنت). وازن بين الراحة والخصوصية عند الحظر بقوة.

3. استخدم ملفات تعريف المتصفح أو متصفحات منفصلة

عزل هوياتك عبر مهام مختلفة (الخدمات المصرفية، التواصل الاجتماعي، التسوق، العمل) يقلل فرصة ربط المتتبعين لنشاطك. سيكون لكل ملف تعريف أو متصفح بصمة مختلفة، مما يجعل التتبع عبر السياقات أصعب.

4. قلل الخطوط والإضافات المثبتة

نظرًا لأن عرض الخطوط يؤثر على مخرجات Canvas، فإن تقليل عدد خطوط النظام المثبتة أو استخدام بيئات خطوط معزولة في المتصفح يمكن أن يقلل التفرد. تجنب تثبيت حزم خطوط غير ضرورية وفكر في استخدام ملفات تعريف على مستوى نظام التشغيل إن توفرت.

5. حافظ على تحديث البرامج والتعريفات بعناية

قد يغير تحديث المتصفح وتعريفات GPU قيم البصمة، مما يمكن أن يساعد (بكسر معرّف دائم) أو يضر (بإنشاء معرّف مستقر جديد). إذا قمت بالتحديث، فكر في إعادة تشغيل اختبار بصمة Canvas لمعرفة كيف تغيرت بصمتك.

6. اختبر بصماتك بانتظام

شغّل اختبار بصمة Canvas بشكل دوري لمعرفة مدى استقرار بصمتك وما إذا كانت التغييرات التي تجريها على الإعدادات أو البرامج تؤثر على تفردك. يتيح لك الاختبار المنتظم التحقق مما إذا كانت إجراءات الخصوصية فعالة.

القضاء التام على البصمة قد يكون غير عملي. قد تؤدي إجراءات مكافحة البصمة القوية إلى:

• تعطيل وظائف الموقع التي تعتمد على Canvas أو WebGL أو سياق الصوت.
• جعلك تبرز من خلال تقديم بصمات غير شائعة للغاية.
• تتطلب مقايضات في الأداء أو الراحة.

الخصوصية الفعالة غالبًا ما تتعلق بتراكم الدفاعات وفهم المقايضات بدلاً من البحث عن حل سحري واحد.

استخدم قائمة المراجعة هذه لتقليل بصمة Canvas وتحسين الخصوصية العامة:

• شغّل اختبار بصمة Canvas لقياس تعرضك الحالي.
• استخدم متصفحًا مضادًا للكشف أو إضافة مكافحة بصمة تطلب الوصول إلى Canvas.
• قسّم الأنشطة عبر الإنترنت إلى ملفات تعريف متصفح أو متصفحات منفصلة.
• احظر نصوص ومتتبعي الأطراف الثالثة باستخدام إضافات موثوقة.
• فكر في متصفح مضاد للكشف إذا كنت بحاجة إلى مستوى أعلى من الحماية لحالات استخدام محددة (البحث، الاختبار، التصفح الحساس).
• أعد اختبار البصمات بعد تغيير إعدادات المتصفح أو تحديث التعريفات أو تثبيت خطوط جديدة.

يكشف اختبار بصمة Canvas كيف يمكن لصورة صغيرة مخفية أن تعمل كإشارة تتبع قوية. يمكّن HTML5 Canvas المواقع من إنتاج توقيع رسومي يعكس متصفحك ونظام التشغيل و GPU والخطوط ومكدس العرض. نظرًا لأن بصمات Canvas تعتمد على خصائص العرض المحلية، فإنها تستمر عبر مسح ملفات تعريف الارتباط واتصالات VPN وتغييرات IP، مما يجعل بصمة Canvas طريقة فعالة لتحديد المتصفحات بدون ملفات تعريف الارتباط.

لحسن الحظ، يمكن للوعي والدفاعات العملية تقليل التعرض. استخدم المتصفحات المضادة للكشف أو أدوات مكافحة الكشف عند الاقتضاء، واضبط أذونات المتصفح والإضافات لحظر أو طلب الوصول إلى Canvas، وقسّم الأنشطة عبر الملفات التعريفية، وشغّل اختبارات بصمة Canvas بانتظام لمراقبة إخفاء هويتك. من خلال الجمع بين هذه الخطوات، يمكنك جعل الأمر أكثر صعوبة على المتتبعين لبناء بصمة رقمية دائمة لسلوك تصفحك.

أجرِ اختبار بصمة Canvas اليوم لمعرفة السمات التي يمكن للأطراف الثالثة ملاحظتها واتخذ خطوات ملموسة من قائمة المراجعة أعلاه لحماية خصوصيتك.