वेबसाइटें browser fingerprinting के ज़रिए उपयोगकर्ताओं को ट्रैक कर रही हैं

 (engineering.tamu.edu)
11 पॉइंट द्वारा GN⁺ 2025-06-20 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Browser fingerprinting एक ऐसा ऑनलाइन tracking तरीका है जिसे सिर्फ cookies delete करके नहीं रोका जा सकता
  • Texas University की शोध टीम ने FPTrace नामक measurement framework के ज़रिए ad bidding और HTTP logs में बदलावों के आधार पर इसके वास्तविक tracking उपयोग को साबित किया
  • जब fingerprint बदलता है, तब ad bid price में बदलाव और HTTP logs में कमी जैसी घटनाएं देखी गईं
  • GDPR, CCPA जैसी privacy laws के तहत tracking से opt out करने पर भी fingerprinting-आधारित tracking जारी रहती है
  • शोधकर्ताओं ने कहा कि मौजूदा privacy tools और policies अपर्याप्त हैं, और regulation व technical defenses को मज़बूत करने की ज़रूरत है

Websites Are Tracking You Via Browser Fingerprinting

  • सिर्फ cookies delete करने से ऑनलाइन privacy पूरी तरह सुरक्षित नहीं होती
  • Texas A&M University के नेतृत्व वाले नवीनतम शोध के अनुसार, वेबसाइटें browser fingerprinting नामक तकनीक से sessions और websites के पार उपयोगकर्ताओं को ट्रैक करती हैं
  • Browser fingerprinting उपयोगकर्ता की screen resolution, time zone, device model जैसी कई जानकारियों को जोड़कर एक unique browser identifier बनाती है
    • cookies के विपरीत, इसे उपयोगकर्ता आसानी से delete या block नहीं कर सकता
    • अधिकांश उपयोगकर्ताओं को यह भी पता नहीं होता कि इस तरह की tracking हो रही है
    • privacy-केंद्रित browsers के लिए भी इसे पूरी तरह block करना मुश्किल है

FPTrace framework से web tracking की गहन जांच

  • यह ऐसा है जैसे आप अनजाने में एक digital signature छोड़ रहे हों
  • device और browser के संयोजन भर से, भले उपयोगकर्ता anonymous हो, उसे आसानी से ट्रैक किया जा सकता है
  • शोध टीम ने वास्तविक ad systems में fingerprinting का उपयोग कैसे होता है, इसका दुनिया में पहली बार प्रत्यक्ष रूप से प्रमाण दिया
    • FPTrace नाम का एक measurement framework विकसित किया गया, जिसने browser fingerprint का ad bidding और HTTP communication पर प्रभाव विश्लेषित किया
    • fingerprint बदलने पर ad bid values, HTTP logs, और sync events में बदलाव देखकर tracking की वास्तविक स्थिति उजागर की गई

शोध परिणाम और संकेत

  • उपयोगकर्ता cookies delete या block कर दे तब भी fingerprinting के ज़रिए tracking लगातार जारी रहती है
  • fingerprinting के इस्तेमाल पर कुछ वेबसाइटें backend ad bidding process में fingerprint data को शामिल करती हैं, और इस प्रक्रिया में third-party कंपनियों को identifier जानकारी भेजे जाने की संभावना भी पाई गई
  • यूरोप के GDPR, अमेरिका के CCPA जैसी privacy laws के तहत tracking से मना करने का विकल्प चुनने पर भी fingerprinting-आधारित tracking बंद नहीं होती
  • शोधकर्ताओं ने ज़ोर देकर कहा कि मौजूदा privacy tools और policies पर्याप्त नहीं हैं, और अधिक मज़बूत technical व institutional defenses की आवश्यकता है
    • उन्हें उम्मीद है कि FPTrace framework वेबसाइटों और ad providers द्वारा बिना सहमति tracking की auditing में मदद करेगा

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-06-20
Hacker News की राय

  • मैं इस क्षेत्र में काम करने वाला व्यक्ति होने के नाते यह महसूस करता हूँ कि fingerprint वास्तव में कितने समय तक टिकता है, इस बारे में बहुत कम चर्चा होती है। वास्तव में बहुत सटीक fingerprint जानकारी की भी half-life बस कुछ दिनों की होती है, खासकर जब वह window size या software version जैसी चीज़ों पर आधारित हो। इस समय बड़े ad networks उससे ज़्यादा location data पर निर्भर हैं। इसी वजह से कई devices के बीच जुड़े हुए लगने वाले ads, या spouse/दोस्तों की रुचियों को दिखाने वाले ads, feed में अक्सर नज़र आते हैं। सिर्फ IP-based location के आधार पर भी बहुत बड़े क्षेत्र में ads फैलाए जाते हैं। यह दिलचस्प है कि FPTrace fingerprint-आधारित user tracking का विश्लेषण करने वाला measurement framework है, और उनकी ठोस research methodology क्या थी, यह जानने की जिज्ञासा होती है। मेरा मानना है कि ad networks fingerprint स्वयं की बजाय device settings के आधार पर ad cohorts बाँटने की अधिक संभावना रखते हैं। उदाहरण के लिए, जो users latest software और latest hardware इस्तेमाल करते हैं, उन्हें 'high purchase intent group' में रखा जा सकता है। timezone जैसी साधारण चीज़ें भी ad bidding के नतीजों पर बड़ा असर डालती हैं, इसलिए इस research में किन variables को कैसे control किया गया, यह बहुत महत्वपूर्ण है

    • मैंने amiunique.org पर अपनी जानकारी जाँची, और सचमुच मुझे unique बताया गया (जैसा मेरी माँ हमेशा कहती थीं!). लेकिन यह site यह नहीं बताती कि कौन-से factors बदलने पर मैं non-unique हो जाऊँगा, और 58 JavaScript properties में से 16 सबसे कम समानता वाली category में हैं। उनमें से 2 सीधे version numbers पर निर्भर हैं, और 6 screen size/resolution से जुड़ी हैं। कुल मिलाकर ऐसा लगता है कि कई ऐसी जानकारियाँ बची रहती हैं जो जल्दी नहीं बदलतीं। समय के साथ सटीक values बदल सकती हैं, लेकिन 'half-life कुछ दिनों की है' कहना इस तकनीक की वास्तविक प्रभावशीलता को कम करके आँकने जैसा लगता है

    • Windows में maximize की गई window size तब तक लगभग नहीं बदलती जब तक environment, monitor, या desktop environment update न हो। GPU hardware भी बार-बार नहीं बदलता, और WebGL या WebGPU के ज़रिए उसकी unique characteristics को आसानी से fingerprint में इस्तेमाल किया जा सकता है। Installed fonts भी अक्सर नहीं बदलते। TCP stack का fingerprint भी काफ़ी स्थिर होता है। इन कुछ factors भर से, भले ही किसी एक individual characteristic में बदलाव आ जाए, फिर भी पुराने fingerprint cluster से उसे आसानी से जोड़ा जा सकता है। इससे भी गंभीर बात यह है कि अगर cookies जैसे client-side identifiers साथ में delete न किए जाएँ, तो दो बिल्कुल अलग fingerprints के बीच भी साफ़ linkage बनाया जा सकता है

    • Hardware interrupt handling time और उसकी latency भी installed apps के संयोजन या GPU driver version जैसे बारीक factors के अनुसार unique हो सकती है। इसलिए distribution वास्तव में तभी बदलती है जब updates हों, और सभी distributions का एक साथ बदलना दुर्लभ है

    • Siteimprove Analytics सार्वजनिक रूप से दावा करता है कि उसकी cookieless tracking technology पारंपरिक cookie-based tracking से ज़्यादा सटीक है। Visitor Hash, IP और HTTP headers (browser type, version, language, user agent आदि) को hash करके बनाया जाता है, और यह व्यक्तिगत जानकारी को हटाकर cookie की 'short lifespan' समस्या को कम करने तथा unique visitor statistics की accuracy बढ़ाने के लिए बेहतर बताया जाता है। हालाँकि यह सिर्फ server-side attributes का उपयोग करता है और client-side attributes इकट्ठा नहीं करता। लेकिन intranet जैसे माहौल में, जहाँ एक ही IP/device environment से कई users आते हैं, कई users का एक ही Visitor Hash हो सकता है और visits एक में merge हो सकती हैं, इसलिए ऐसे domain types को cookieless tracking से बाहर रखने की सलाह दी जाती है

    • Browser fingerprint चुने गए data points के आधार पर बहुत मज़बूत बनाया जा सकता है, जैसे installed plugins, content language, fonts आदि। Data points को context के हिसाब से dynamically adjust करना या अलग-अलग users के लिए अलग तरह से इस्तेमाल करना संभव है। और fingerprint कुल data का सिर्फ एक हिस्सा है। इसे location data जैसी दूसरी जानकारियों के साथ जोड़ा जाए तो restrictions या evasions का बड़ा हिस्सा बेअसर हो जाता है। उदाहरण के लिए, अगर मौजूदा fingerprint से 80% मिलता-जुलता नया fingerprint उसी workplace IP से दिखे और पुराना fingerprint गायब हो जाए, तो दोनों को जोड़ना आसान है। Ad companies खुद cost efficiency और legality defense के लिए 'shotgun strategy' यानी broad targeting को पसंद करती हैं, लेकिन ads के अलावा दूसरे मकसद वाले संगठन अधिक data points के साथ कहीं ज़्यादा सटीक tracking कर सकते हैं

  • amiunique.org इस बात पर ज़ोर देता है कि browser screen resolution, timezone, device model जैसी कई तरह की जानकारी उजागर करता है, और इन्हें जोड़कर एक 'fingerprint' बनाया जा सकता है। Cookies के विपरीत, इस तरह की fingerprint जानकारी को users के लिए delete या block करना मुश्किल होता है, इसलिए इसे detect या prevent करना भी कहीं कठिन है। विडंबना यह है कि device, OS और browser security/privacy को जितना अधिक सख़्त किया जाता है, उतना ही आपका fingerprint और अधिक unique हो सकता है। FOSS ecosystem में इसका लंबा इतिहास रहा है, लेकिन यह अफ़सोस की बात है कि कोई सही मायने में open source browser mainstream नहीं बन पाया। monopoly शुरू से ही बहुत मुनाफ़ेदार रही, और मैंने व्यक्तिगत रूप से offline access के लिए web scraper बनाने का विचार भी किया था, लेकिन उसे व्यावहारिक नहीं पाया

    • "कोई ढंग का open source browser कभी उभरा ही नहीं" यह बात सही नहीं है। Firefox एक समय बेहद लोकप्रिय था और उसने बाज़ार पर लगभग पूरा कब्ज़ा भी किया था। बाद में Google ने अनुचित तरीक़ों से उसकी हिस्सेदारी छीनी, लेकिन वह बाद की बात है

    • यह हैरानी की बात है कि Firefox ने लंबे समय तक fingerprint tracking की प्रभावशीलता कम करने के लिए लगभग कोई ठोस कदम नहीं उठाया। 2025 में भी browser का इतना विस्तृत User Agent string डिफ़ॉल्ट रूप से भेजना समझ से बाहर है (Mozilla/5.0 (X11; Linux x86_64; rv:139.0) … आदि)। किसी website को यह जानने की ज़रूरत नहीं कि मैं X11 इस्तेमाल कर रहा हूँ या x86_64 Linux। डिफ़ॉल्ट रूप से Referer भी अभी तक enabled है। JavaScript के लिए मेरे system में installed fonts की सूची जानना भी संभव है। कहीं ज़्यादा granular permission controls और समझदारी भरे defaults की ज़रूरत है। संबंधित plugins मौजूद हैं, लेकिन उन्हें install और manage करना झंझट भरा है

    • Brave जैसे कुछ browsers fingerprint को randomize करके tracking से बचने की कोशिश करते हैं, लेकिन मुझे व्यक्तिगत रूप से उसकी व्यावहारिक प्रभावशीलता पर संदेह है। दूसरा तरीका यह है कि Tor जैसे widely used environment में घुल-मिलकर 'भीड़ में छिपने' की रणनीति अपनाई जाए

    • दो अलग private browser windows में भी मुझे unique user बताया गया। इसलिए यह सवाल बना रहता है कि क्या इसका मतलब यह है कि private tabs के बीच fingerprint linkage संभव नहीं है

    • मैं जानना चाहता हूँ कि "ढंग का open source browser" कहने पर Firefox को बाहर रखने का आधार क्या है

  • काश coveryourtracks.eff.org या amiunique.org से बेहतर तरह से डिज़ाइन किया गया कोई test होता जो यह मापता कि 'fingerprint tracking वास्तव में कितने लंबे समय तक उसी user को पहचान कर रखती है'। ये दोनों sites सिर्फ uniqueness जाँचती हैं, persistence नहीं। इसलिए पूरी तरह random number generator को भी fingerprint मान सकती हैं। असली fingerprint protection technologies में अक्सर random output शामिल होता है, इसलिए Tor, Safari, LibreWolf जैसे browsers, जो वास्तव में अच्छे हो सकते हैं, इन sites पर उलटे fail दिख सकते हैं

    • CreepJS ऐसी site है जो आपके fingerprint को एक नाम (signature) देती है और दोबारा आने पर जाँचती है कि वही fingerprint है या नहीं

    • सुना है fingerprint.com ऐसा 'time-over-time result test' दे सकता है। fingerprinting as a Service क्षेत्र में वह शीर्ष स्तर पर है, बस Meta और Google उससे आगे हैं

  • "fingerprint tracking वास्तव में हो रही है" — इसका अंदाज़ा लोगों को पहले से था, लेकिन ठोस सबूत के बिना यह साबित करना मुश्किल था कि 'cross-device tracking' सचमुच हो रही है। यह research study framework और large-scale experiment design प्रस्तावित करती है ताकि यह अनुभवजन्य रूप से जाँचा जा सके कि advertising क्षेत्र में वास्तव में fingerprint tracking हो रही है या नहीं। ज़्यादातर पुराने papers सिर्फ यह मापते थे कि fingerprinting scripts चल रही हैं या नहीं, लेकिन उससे यह पता नहीं चलता था कि उद्देश्य tracking था या bot/fraud prevention, authentication जैसी defensive use case। इस research ने browser fingerprints को कृत्रिम रूप से बदलते हुए ad changes को भी track किया, इसलिए वास्तविक tracking context सामने आया, जो काफ़ी दिलचस्प है (paper link)। मूल paper उपलब्ध नहीं था, इसलिए और अधिक ठोस विवरण नहीं देख सका

  • Cookies हर domain के लिए अलग से store होती हैं और एक security boundary के भीतर रहती हैं, लेकिन fingerprint domain की परवाह किए बिना compute किया जा सकता है। यह पूरी तरह संभव है कि ad servers जैसी इकाइयाँ सिर्फ fingerprint के आधार पर users को track और identify करें, और सिर्फ ऐसी fingerprint जानकारी इकट्ठा करके भी victims के बारे में जानकारी जमा की जा सकती है — यही असली समस्या है

  • "browser websites को डिफ़ॉल्ट रूप से इतनी सारी जानकारी क्यों expose करता है?" इस सवाल पर,

    • Browser खुद कई functional API sandboxes का समूह है। हर feature user convenience के लिए है, लेकिन वे अलग-अलग देखने पर मामूली लगें, फिर भी मिलकर एक unique fingerprint बना देते हैं। अगर सच में fingerprint-free environment चाहिए, तो निष्कर्ष यही है कि web का पूरा JavaScript ही हटाना पड़ेगा

    • Developers को features देने के लिए इन APIs की ज़रूरत थी, और privacy पर इनके असर पर ध्यान तब गया जब स्थिति लगभग "अपरिवर्तनीय" हो चुकी थी

    • ज़्यादातर जानकारी वास्तव में उपयोगी या आवश्यक है। कुछ हिस्सों को हटाया जा सकता है, लेकिन बाक़ी कई चीज़ें 'behavioral outcome comparison' के रूप में काम करती हैं। उदाहरण के लिए, अलग-अलग font-family के साथ text box render करने पर device के fonts के अंतर से वास्तविक size बदल जाती है — और यही ख़ुद एक fingerprint बन सकता है

    • जब browsers कुछ जानकारी, जैसे user agent OS version, कम या हटाते हैं, तो बहुत-सी अप्रत्याशित site errors सामने आती हैं। उदाहरण के लिए, जब Apple ने user agent version को सिर्फ 10 से 11 किया था, तब भी कई sites टूट गई थीं। Referer field को भी हाल के browsers में path या full value हटाकर काफ़ी सीमित किया गया है

    • मेरा मानना है कि Mozilla के वरिष्ठ नेतृत्व में privacy/security/freedom के प्रति वास्तविक प्रतिबद्धता हमेशा कम रही है। कई बार वे इसे सिर्फ 'marketing perspective' से देखते हैं, इसलिए या तो असरहीन बदलाव करते हैं, या फिर ऐसे तरीक़े चुनते हैं जो बड़े tech कंपनियों के हितों से पूरी तरह नहीं टकराते। यह अफ़सोसजनक है कि W3C में भी कोई मज़बूती से टकराने वाला व्यक्ति नहीं दिखता

  • Apps websites की तुलना में कहीं ज़्यादा गंभीर तरीके से users को track करती हैं। Websites बार-बार app install कराने की कोशिश क्यों करती हैं, इसका कारण यही है कि browser में मौजूद कई protections app environment में निष्प्रभावी हो जाती हैं। Apps login माँगती हैं, और उसके बाद सारा data तीसरे पक्षों के साथ आसानी से share किया जा सकता है

    • मेरी app इस तरह track नहीं करती। मैं email तक नहीं लेता, इसलिए नए notifications बताने का practically एकमात्र तरीका app ही है। App persistence के लिहाज़ से फ़ायदेमंद है, और website तुलनात्मक रूप से कम प्रभावी है

    • iOS में 'Ask App Not to Track' नाम का feature है। लेकिन यह सिर्फ कुछ प्रकार की tracking रोकता है, हर तरह की tracking नहीं

  • 'fingerprint tracking वास्तव में व्यापक रूप से इस्तेमाल हो रही है' — इस बात पर कुछ लोगों ने कहा कि "यह बात सिर्फ उन्हें नई लगती है जिन्होंने academic क्षेत्र के बाहर के documents नहीं देखे" या "responsible tracking vendors तो कई सालों से fingerprint tracking की बात खुलकर बताते आए हैं"

    • मूल बात यह है कि मामला academia या industry की अनभिज्ञता का नहीं, बल्कि इस बात का है कि यह study यह मात्रात्मक रूप से दिखाने में उपयोगी है कि fingerprint tracking आज वास्तव में कितनी और कितनी प्रभावी है। भले ही vendors नीति दस्तावेज़ों में इसका उल्लेख करते रहे हों, लेकिन उसके वास्तविक असर और पैमाने की insight अलग बात है। अगर इस study ने ads जैसे 'benign' वातावरण में भी tracking success rate सत्यापित किया है, तो इससे यह समझने का आधार मिलता है कि दूसरे actors के हाथ में यह कितनी प्रभावी हो सकती है

    • Academia को भी कई साल पहले से fingerprint tracking के उपयोग का पता था। पहले Flash का इस्तेमाल करके users के installed fonts की जानकारी सीधे निकालने की technique भी काफ़ी आम थी (related paper)। इसलिए यह कहना कि इस पर कोई औपचारिक चर्चा नहीं थी, सही नहीं है

    • FingerprintJS जैसा open source fingerprint tracking framework भी बहुत पहले से मौजूद है। शुरुआती दौर में इसका उपयोग spam या malicious visitors को track करने के लिए काफ़ी होता था

    • Online privacy की रक्षा ज़रूरी है, लेकिन यह भी तर्क दिया जाता है कि fingerprint tracking को रोकने वाली प्रतिरोधी तकनीकें व्यावहारिक समस्या का समाधान ठीक से नहीं करतीं, बल्कि web को और असुविधाजनक बना देती हैं। उपमा के तौर पर कहा जाए तो, नियम हों तब भी malicious actors fingerprint tracking जारी रखेंगे, और नुकसान सिर्फ सामान्य sites को functionality restrictions के रूप में होगा

    • Academic research industry policies या disclosures की बजाय, ठोस, मापने योग्य और मुश्किल से नकारे जा सकने वाले empirical evidence को अधिक महत्व देती है

  • EFF के fingerprint page पर जब भी जाता हूँ, मुझे हर बार unique fingerprint बताया जाता है। एक घंटे बाद फिर जाऊँ तो भी वही रहता है। अच्छा होता अगर यह site fingerprint का hash value भी देती, ताकि महीनों बाद भी तुलना की जा सके। अगर मेरा fingerprint सच में हर बार बदलता रहता हो, तो एक तरह से यह राहत की बात होगी क्योंकि तब fingerprint tracking कहीं ज़्यादा मुश्किल हो जाएगी

  • मुझे इस बात पर संदेह होता है कि इतनी मेहनत और तकनीक ad targeting पर खर्च की जाती है। मैं तो मूलतः सभी ads block कर देता हूँ, इसलिए यह सारी fingerprint tracking की कोशिशें व्यर्थ लगती हैं