冷门但关键的真相,我把“每日大赛今日”的链路追完了:你点一下,它能记住你的设备指纹
前言 一次随手点击的链路调查,把一个看似普通的活动页,拆解成了多层追踪与识别的机制。表面上是“每日大赛今日”这样亲切的标题,背后却能在用户设备上留下持久的信息——不仅仅是 cookie 那么简单,而是一套能“记住”设备指纹的组合技。下面把我复盘的过程、发现的技术细节与可操作的自查与应对方法,直接呈上。
我怎么做的(简述方法)
- 在本地浏览器打开活动页面,使用开发者工具(Network / Application / Storage / Console)观察所有请求、重定向与本地存储项。
- 将每一步请求的响应、参数和脚本进行比对,定位到负责采集信息的 JS 文件与第三方域名。
- 在不同浏览器/相同浏览器不同配置下重复访问,验证哪些信息是稳定关联到同一设备的“指纹”。
- 检查 Service Worker、IndexedDB、localStorage、ETag、第三方脚本等可能的持久化手段。
链路与关键节点(我看到的典型流程)
- 点击 -> 首次重定向:页面跳转带有追踪参数(如 utm、sid、device_id 等),这些参数会附带到后续请求。
- 加载第三方追踪脚本:一段外部 JS 被注入,开始收集浏览器能力信息并发送到追踪域名。
- 本地持久化:脚本写入 cookie 与 localStorage,同时在 IndexedDB 或 service worker 缓存中写入冗余标识,形成“多重备份”。
- 指纹采集与上传:脚本获取一组属性(详见下文)计算哈希值,上传到服务器,与服务器已存档的记录进行匹配,从而把这次访问与之前的访问关联起来。
- 后续识别:即便清空 cookie,只要浏览器环境中的其他特征没有变化,服务器仍可根据指纹哈希或 IndexedDB 中的标识把访问者认出来。
技术细节:他们都在采集什么
- 标准 HTTP 头与 UA:浏览器类型、版本、操作系统信息、Accept、语言等。
- 屏幕与显示信息:分辨率、色深、devicePixelRatio、屏幕方向。
- Canvas / WebGL 指纹:绘图 API 与 WebGL 渲染结果会因 GPU、驱动、字体、渲染方式不同而产生稳定差异。
- 字体与测量:通过测量文本宽度判断系统字体集合。
- 音频指纹:AudioContext 渲染差异用于生成指纹(并非所有网站都用)。
- 时间与时区、语言、平台、插件列表(老旧浏览器仍可见)。
- Navigator 与硬件细节:hardwareConcurrency、deviceMemory、touchSupport 等。
- 网络特征:WebRTC 可泄露局域网 IP(部分脚本会尝试获取)。
- 本地存储与缓存:cookies、localStorage、sessionStorage、IndexedDB、service worker 缓存、ETag 等被用于长期标识或“恢复”已删除的标识。
为什么不是“只靠 Cookie” 这些脚本使用所谓的“持久化与混合指纹”策略:cookie 是第一道便捷手段,但用户清除 cookie 后,脚本会在 IndexedDB 或 service worker 里寻找或重写标识,或者干脆利用设备指纹的稳定性(Canvas+WebGL+字体等)来重新识别同一设备。因此单靠清除 cookie,防护效果有限。
怎么自行检测(简单可操作)
- 打开浏览器开发者工具:Application/Storage 中查看是否有可疑的 localStorage、IndexedDB 条目或 service worker 注册。
- Network 面板中查看有哪些外部域名在加载脚本或接收 POST 请求。
- 使用在线指纹检测工具(如 Panopticlick、amiunique.org 等)检测你的浏览器指纹可被识别到的程度。
- 观察在不同浏览器或隐私模式下,访问相同页面是否仍被“认出”。
能做什么来降低被“记住”的概率(可选组合)
- 更换或配置浏览器:使用带强指纹防护的浏览器(例如配置严格隐私设置的 Firefox 或 Brave),开启反指纹功能。
- 限制或阻止第三方脚本:安装 uBlock Origin、Privacy Badger 等,屏蔽可疑域名与第三方脚本。
- 阻断 Canvas/WebGL/Audio 指纹:可以使用 CanvasBlocker、Trace 等扩展,但部分站点功能可能受影响。
- 使用不同浏览器/浏览器配置容器:比如 Firefox 多账户容器或不同用户资料来隔离网站数据。
- 清理并封锁持久化存储:在 DevTools 中清除 site data,或设置浏览器在退出时自动清除。
- 考虑 Tor Browser(针对强保护需求),但兼容性与性能需要权衡。
结语 “每日大赛今日”这类看起来无害的活动页面,往往并不是单次体验的那种“即时交互”——它们可能在设备上留下可被稳健识别的痕迹。对普通用户来说,不需要陷入偏执,但对隐私敏感或希望减少长期关联的人,了解这些机制并采取适当手段,可以显著降低被“记住”的可能性。最后一个建议:下次看到类似的促销/活动链接时,若无必要尽量不要在常用或存有敏感信息的浏览器里直接点击或登录。
