Mozilla 已在 Firefox 145 版本中推出新一轮浏览器指纹识别防护升级,目标是降低网站通过设备特征组合识别用户的能力。
浏览器指纹(Browser Fingerprinting)是一种无需 Cookie 即可追踪用户的技术。它通过收集设备的多种静态与动态属性——如屏幕分辨率、时区、语言设置、安装字体、GPU 型号、触摸点支持数量、任务栏高度等——生成一个独特的“数字指纹”。即使在隐私模式或清除 Cookie 后,该指纹仍可被用于跨会话识别。
与传统 Cookie 不同,指纹识别通常在用户不知情的情况下进行,且难以通过常规隐私设置完全阻断。
Firefox 长期通过 增强追踪保护(Enhanced Tracking Protection, ETP) 和 Total Cookie Protection 等机制对抗追踪。此次更新则聚焦于指纹识别中最常被滥用的信息维度,并限制浏览器向网站暴露的原始数据量。
新防护机制:限制高熵信息暴露
Firefox 145 的改进包括:
- 屏蔽设备硬件细节:如 CPU 核心数、显卡型号、触摸屏支持的最大同时触点数
- 模糊系统界面信息:如任务栏或 Dock 栏的精确尺寸、是否启用暗色模式(部分场景)
- 统一时区与语言报告:对非必要场景,返回更宽泛的时区值,而非精确偏移
- 限制字体枚举:阻止网站列出系统中所有已安装字体,仅返回常用字体列表
这些信息本身对普通网页功能无害——例如,日历应用需要时区,游戏需要 GPU 信息——但当多个低熵值(如字体、语言、分辨率)组合时,可形成高唯一性标识。
Mozilla 基于全球真实浏览器数据的分析发现,约 45% 的用户此前可通过指纹识别被唯一识别。在部署新策略后,该比例预计降至约 25%,接近全球用户基数的平均水平。
平衡:保护与功能的取舍
反指纹识别并非“越严格越好”。过度限制可能导致网站功能异常。
例如:
- 会议软件依赖准确时区进行日程同步
- 在线银行需识别设备类型以评估风险
- 游戏平台需获取 GPU 信息以优化渲染
Firefox 的策略是针对性限制:仅阻止那些被追踪者广泛用于指纹构建,但对正常功能影响极小的信息点。其目标不是“完全消除指纹”,而是让指纹变得不唯一、不可靠、无价值。
Mozilla 表示,其方法基于对真实世界指纹采集脚本的逆向分析,优先防御已被滥用的高熵组合,而非一刀切地屏蔽所有信息。
用户建议
- 推荐升级至 Firefox 145 或更高版本,以启用最新防护
- 可在
about:preferences#privacy中查看“增强追踪保护”设置,确保开启“严格”模式 - 对于开发者:建议避免收集非必要的设备属性,以减少对用户隐私的影响
评论