近期，一篇关于苹果将会在新版系统中升级浏览器隐私保护措施，默认在所有会话中启用“先进指纹保护”功能的博文开始在互联网上流传。

从字面意思上来看，苹果自然是做了一件好事。但这也引发了我们的一些好奇，那就是“指纹保护”到底是怎么与隐私安全扯上关系的，难道苹果是要用用户的指纹来加密浏览器里的隐私信息吗？

深入了解之后我们意识到，事情的真相其实并没有那么简单，因为此“指纹”并非大家熟悉的生物学意义上的指纹。实际上，它更像是如今网站为了锁定用户身份、为了能长时间追踪用户行为，而想出来的种种令人目瞪口呆的“歪心思”。

浏览器也有指纹？这还得从一个古老技术说起

有关注过互联网隐私保护的朋友，想必都会知道“Cookie”这个诞生于1994年的古老技术。据称，当时来自网景公司的工程师Lou Montulli正在为客户开发早期的电子商务程序，为了让网站能够“记住”用户的购物车信息，因此才发明了“Cookie”。

正如它的名称（意为小饼干）所示，Cookie是一种很小的文件，原则上来说，它其实并不会记录用户的“行为”（比如不会记录购物车、网页记录等内容），而只是用于识别当前访问网站用户的“身份”。所以典型的Cookie里通常只包含用户的登录账号、密码，以及少量的偏好设置信息（比如用户设定的网站语言、主题等）。

正因如此，单纯“窥探”Cookie文件内容的行为，通常来说不会直接导致用户隐私的泄露。但随着电商行业的兴盛，Cookie技术的安全隐患开始越来越被重视起来，比如被窃取的Cookie可能会导致用户被“盗号”，进而造成极为严重的隐私和财产损失。

除此之外，由于Cookie文件与用户身份具有“绑定”特性，这就使得它越来越多地被滥用在用户行为跟踪方面。比如有的时候，刚在某个电商平台购买完某种商品的用户，可能转眼间就在其他各种平台收到了关联商品的广告推送，甚至是促销电话。这里面固然有用户隐私被平台直接出卖的可能，但也不排除是以Cookie、浏览器标识符等传统的“用户信息跟踪”技术，在背后起到了帮凶的作用。

浏览器指纹：乍看并不敏感，但组合起来却不简单

正因为“传统的”用户身份识别和跟踪技术，如今已经“臭名昭著”，所以大家现在基本上只要使用的是头部的主流浏览器，就都会享受到一系列自动开启的“隐私保护”、“防止追踪”、“无痕模式”等技术的保护。

但很显然，没有了传统的、简单的用户识别机制，并不等于那些试图跟踪、收集用户行为的网站或企业就会因此罢休。在这种情况下，他们发明了一种极其复杂，但确实又更难以防范、用来锁定用户身份的方法，这就是所谓的对“浏览器指纹”的收集和判断机制。

简单来说，“浏览器指纹”不是一个文件，它代表的其实是很多可以被通过合法方式探测到、关于用户计算机硬件及浏览器配置的信息。其中包括操作系统的版本号、屏幕的分辨率、浏览器的版本号、用户所在时区、IP地址，甚至是CPU和显卡的型号、以及计算机上总共安装了多少种字体等等。

地域、语言、时区、字体、分辨率、浏览器版本……这些东西共同构成了“指纹”

很显然，这里面的任何一组信息，其实都无法被用于准确地锁定“某个人”。比如全球可能有上千万人在使用相同版本的操作系统，可能有几十万人的CPU、显卡型号都恰好一样，可能有几百人共用着一个对外的公网IP地址。但问题就在于，一旦那些网站、广告公司，或是意图不轨的人将上述这些信息全部综合到一起后，他们就能“筛选”出其所对应的唯一用户身份，也就是屏幕面前的你。而这种通过大量合法、且公开信息“组合”来确定用户身份的技术，就是所谓“浏览器指纹”的真相了。

而且从技术上来说，“浏览器指纹”中的很多信息都是不可能被“屏蔽”的。比如浏览器版本号、屏幕分辨率、电脑上安装的字体、显卡型号这些，它们被“公开”给网站是为了能够确保网站正常显示、正常播放视频。再加上这些信息每一个单独拆出来看，确实也不算是啥“敏感信息”，所以对此类信息的收集、甄别行为，过去确实没有引起大家的重视，这也就是“浏览器指纹”技术能够成立的关键所在了。

如何防范“浏览器指纹”追踪？要比想象中更难

需要注意的是，无论从技术本身、还是诞生的目的来看，“浏览器指纹”的作用都仅仅是被用来识别和追踪用户的“唯一性”，它并不太能直接透露用户的真实身份。

这是什么概念呢？打个比方来说，你刚刚在A网站看了一篇文章，然后再访问B网站，此时如果A、B网站都有“浏览器指纹”机制，那么B网站就可能会知道“你”是刚刚在A网站看了那篇文章的那个人，并以此向你推送相关的信息。但具体“你”是谁，B网站不一定能知道。

在某个专门检测浏览器指纹的网站上，可以清楚看到自己的“指纹信息”

换句话说，从个人隐私安全危害性的角度来说，“浏览器指纹”技术的弊端可能并没有那么大。但一方面，大家总归是不喜欢自己的行为被长期“窥探”，也拥有在互联网上维持“私密性”的合法自由。另一方面来说，相比于Cookie、域名跟踪器之类可以被轻易防范的用户追踪手段，“浏览器指纹”的“流氓”程度要远比大多数人想象的高得多。

比如按照苹果方面发布的技术信息可知，他们的“先进指纹保护”功能，本质上是通过给网站发布一系列“伪造”的浏览器版本号、设备硬件信息，来减弱“浏览器指纹”所能识别出的设备独特性，同时不影响到网页浏览的功能。而且从原理来说，打开“先进指纹保护”的设备数量越多，这个功能的效果就会越强。

但可大家要知道，“浏览器指纹”所收集的用户信息，有的时候并不只有那些公开的软件版本号、硬件配置信息这么简单。比如有一种叫做“AudioContext”的机制，就会通过向设备发送一段音频内容，当设备解码并播放这段音频后，网站就会分析被处理过的音频当中的延迟、频响范围等等信息，从而形成“设备指纹”。

由于计算机的音频处理能力会受到CPU主频、内存配置、系统和驱动版本、BIOS版本、声卡硬件等多项因素的共同影响，因此细微的音频特征就可以被用于识别设备的“唯一性”。而类似这样基于硬件能力的跟踪和识别机制，显然便很难通过单纯的软件伪装来使其无效。

当然，往好的一方面来说，苹果推出“先进指纹保护”功能至少相当于在行业里开了个好头，可能会引起更多厂商和消费者对于“浏览器指纹”的重视，从而产生更多针对性的用户隐私保护技术。但到了那个时候，网站开发者和广告商会不会又研发出新的、用于窥探隐私和追踪用户的机制呢？

只能说在互联网用户隐私保护这个课题上，永远不应该放松警惕。

【本文图片来自网络】