Web siteleri kullanıcıları tarayıcı parmak iziyle takip ediyor

 (engineering.tamu.edu)
11 puan yazan GN⁺ 2025-06-20 | 1 yorum | WhatsApp'ta paylaş
  • Tarayıcı parmak izi, yalnızca çerezleri silerek engellenemeyen bir çevrimiçi takip yöntemidir
  • Texas Üniversitesi araştırma ekibi, FPTrace adlı ölçüm çerçevesiyle reklam teklifleri ve HTTP kayıtlarındaki değişimler üzerinden bunun gerçek takip amaçlı kullanımını kanıtladı
  • Fingerprint (parmak izi) değiştiğinde reklam teklif fiyatlarında değişim ve HTTP kayıtlarında azalma görüldü
  • GDPR, CCPA gibi gizlilik yasaları kapsamında takibi reddetseniz bile parmak izi tabanlı takip devam ediyor
  • Araştırmacılar, mevcut gizlilik araçları ve politikalarının yetersiz olduğunu belirterek daha güçlü düzenleme ve teknik savunma gerekliliğini vurguluyor

Websites Are Tracking You Via Browser Fingerprinting

  • Yalnızca çerezleri silmek, çevrimiçi gizliliği tam olarak korumaya yetmez
  • Texas A&M University öncülüğündeki yeni bir araştırmaya göre web siteleri, tarayıcı parmak izi adı verilen yöntemle kullanıcıları oturumlar ve siteler arasında takip ediyor
  • Tarayıcı parmak izi, kullanıcının ekran çözünürlüğü, saat dilimi, cihaz modeli gibi çeşitli bilgilerini birleştirerek benzersiz bir tarayıcı kimliği oluşturur
    • Çerezlerin aksine kullanıcıların bunu kolayca silmesi veya engellemesi mümkün değildir
    • Kullanıcıların çoğu, böyle bir takibin yapıldığının farkında bile değildir
    • Gizlilik odaklı tarayıcılar bile bunu tamamen engellemekte zorlanır

FPTrace çerçevesiyle web takibinin ayrıntılı incelenmesi

  • Bu, "farkında olmadan bıraktığınız bir dijital imza" gibidir
  • Cihaz ve tarayıcı kombinasyonu tek başına, kullanıcı anonim olsa bile kolay takip edilmesini sağlayabilir
  • Araştırma ekibi, parmak izinin gerçek reklam sistemlerinde nasıl kullanıldığını dünyada ilk kez ampirik olarak ortaya koydu
    • FPTrace adlı bir ölçüm çerçevesi geliştirerek tarayıcı parmak izinin reklam teklifleri ve HTTP iletişimi üzerindeki etkisini analiz etti
    • Parmak izi değiştiğinde reklam teklif değerleri, HTTP kayıtları ve senkronizasyon olaylarının da değiştiğini gözlemleyerek takip pratiklerini açığa çıkardı

Araştırma sonuçları ve çıkarımlar

  • Kullanıcı çerezleri silse veya engellese bile parmak izi üzerinden takip sürüyor
  • Bazı web siteleri, parmak izi kullanıldığında bunu arka uç reklam teklif sürecine yansıtıyor; bu süreçte kimlik bilgilerinin üçüncü taraflara aktarılma ihtimali de doğrulandı
  • Avrupa'daki GDPR, ABD'deki CCPA gibi gizlilik yasaları kapsamında takibi reddetmeyi seçseniz bile parmak izi tabanlı takip durmuyor
  • Araştırmacılar, mevcut gizlilik araçları ve politikalarının yeterli olmadığını vurgulayarak daha güçlü teknik ve kurumsal savunmalara ihtiyaç olduğunu savunuyor
    • FPTrace çerçevesinin, web siteleri ve reklam sağlayıcılarının rıza dışı takip yapıp yapmadığını denetlemeye yardımcı olması umuluyor

İlgili okumalar

1 yorum

 
GN⁺ 2025-06-20
Hacker News yorumu

  • Bu alanda çalışan biri olarak, parmak izinin gerçekte ne kadar uzun süre kalıcı olduğuna dair pek konuşulmadığını düşünüyorum. Hatta çok hassas parmak izi bilgileri bile pratikte yalnızca birkaç günlük bir yarı ömre sahip oluyor; özellikle pencere boyutu veya yazılım sürümü gibi şeylerden türetildiğinde bu daha da belirgin. Günümüzde büyük reklam ağları ise daha çok konum verisine dayanıyor. Bu yüzden birden fazla cihaz arasında bağlantı varmış gibi görünmesi ya da eşinizin veya arkadaşlarınızın ilgi alanlarını yansıtan reklamların akışınızda belirmesi sık görülüyor. Yalnızca IP tabanlı konumla bile çok geniş bir alana reklam yayılabiliyor. FPTrace adlı ölçüm çerçevesinin parmak izi tabanlı kullanıcı takibini analiz etmeye yönelik bir araç olması ilginç; somut araştırma yöntemlerini merak ediyorum. Reklam ağlarının, parmak izinin kendisinden çok cihaz ayarlarına göre reklam grupları ayırma olasılığının daha yüksek olduğunu düşünüyorum. Örneğin güncel yazılım ve yeni donanım kullanan kullanıcılar, "satın alma niyeti yüksek" bir gruba alınabilir. Saat dilimi gibi basit unsurlar bile reklam ihalesi sonuçlarını ciddi biçimde etkileyebildiğinden, bu araştırmada hangi değişkenlerin nasıl kontrol edildiği çok önemli

    • Bilgilerimi amiunique.org üzerinde kontrol ettiğimde gerçekten benzersiz olduğum sonucunu aldım (annemin de dediği gibi!). Ancak bu site, hangi unsurları değiştirirsem benzersiz olmaktan çıkacağımı söylemiyor; 58 JavaScript özelliğinin 16'sı en düşük benzerlik kategorisinde. Bunların 2'si doğrudan sürüm numaralarına, 6'sı ise ekran boyutu/çözünürlükle ilgili. Sonuçta hızlı değişmeyen epey bilgi kaldığı izlenimini veriyor. Zamanla tam değerler değişebilir ama "yarı ömrü birkaç gün" ifadesi bu tekniğin gerçek etkisini olduğundan az gösteriyor gibi geliyor

    • Windows'ta pencere tam ekran yapıldığında, ortam değişimi, monitör değişimi veya masaüstü ortamı güncellemesi olmadıkça pencere boyutu neredeyse hiç değişmez. GPU donanımı da sık değişen bir şey değildir ve WebGL ya da WebGPU kullanılarak kendine özgü özellikleri kolayca parmak izine dahil edilebilir. Yüklü fontlar da sık değişmez. TCP yığınının parmak izi de oldukça stabildir. Bu tür yalnızca birkaç unsurla bile, tekil özelliklerden biri değişse bile önceki parmak izi kümesiyle bağlantı kurmak kolaydır. Daha da kötüsü, çerez gibi istemci tarafı tanımlayıcılar aynı anda silinmezse, tamamen farklı iki parmak izi arasında bile açık bağlantı kurulabilir

    • Donanım kesmelerinin işlenme süresi ve gecikmesi de, kurulu uygulama kombinasyonu veya GPU sürücüsü sürümü gibi ayrıntılara göre kendine özgü değerler üretebilir. Bu yüzden dağılımın değişmesi için gerçekten güncelleme yapılması gerekir ve tüm dağılımların aynı anda değişmesi nadirdir

    • Siteimprove Analytics, kendi cookieless takip teknolojisinin geleneksel çerez tabanlı takibe göre daha doğru olduğunu açıkça savunuyor. Visitor Hash, kişisel veriler hariç tutularak IP ve HTTP başlıklarının (tarayıcı türü, sürüm, dil, user agent vb.) hash'lenmesiyle üretildiğinden, klasik çerezlerin "kısa ömür" sorununu çözdüğünü ve benzersiz ziyaretçi istatistiklerinde daha yüksek doğruluk sağladığını öne sürüyor. Ancak yalnızca server-side nitelikler kullanıyor; istemci tarafı nitelikler toplanmıyor. İntranet gibi aynı IP/cihaz ortamından çok sayıda kullanıcının geldiği durumlarda, birden fazla kullanıcı aynı Visitor Hash'e sahip olup ziyaretler tek bir ziyaret gibi birleşebilir; bu yüzden bu tür alan adlarının cookieless takipten çıkarılması öneriliyor

    • Tarayıcı parmak izi, hangi veri noktalarının seçildiğine bağlı olarak son derece dayanıklı hale getirilebilir; örneğin yüklü eklentiler, içerik dili, fontlar vb. Veri noktalarını duruma göre dinamik biçimde ayarlamak veya kullanıcıya göre farklı kullanmak mümkün. Ayrıca parmak izi, toplam verinin yalnızca bir kısmı. Konum verisi gibi başka bilgilerle birleştirildiğinde sınırlamalar ve kaçınma yöntemleri büyük ölçüde etkisiz kalır. Mesela mevcut parmak izine %80 benzeyen yeni bir parmak izi aynı işyeri IP'sinden eklenir ve eski parmak izi ortadan kaybolursa, ikisi arasında ilişki kurmak kolaylaşır. Reklam şirketleri maliyet verimliliği ve hukuki savunulabilirlik nedeniyle "shotgun strategy"yi, yani geniş kapsamlı hedeflemeyi tercih eder; ancak reklam dışı amaçlarla çalışan kuruluşlar çok daha fazla veri noktasına sahip oldukları için çok daha hassas takip yapabilir

  • amiunique.org tarayıcının ekran çözünürlüğü, saat dilimi, cihaz modeli gibi çeşitli bilgileri açığa vurduğunu ve bunların birleştirilerek bir "parmak izi" oluşturulabildiğini vurguluyor. Çerezlerden farklı olarak bu parmak izi bilgilerini kullanıcının silmesi veya engellemesi zor olduğundan, tespit etmek veya önlemek çok daha güç. İronik biçimde, cihaz ve OS ile tarayıcı güvenliği/gizliliğini güçlendirmeye ne kadar takıntılı olursanız parmak iziniz de o kadar benzersiz hale geliyor. FOSS ekosisteminde bunun uzun bir geçmişi var ama gerçekten düzgün bir açık kaynak tarayıcının ana akım olamaması üzücü. Tekeller başlangıçta fazla kârlıydı ve ben de çevrimdışı erişim için bir web scraper tasarlamayı düşünmüştüm ama pratik görünmüyor

    • "Gerçekten düzgün bir açık kaynak tarayıcı hiç yükselmedi" demek doğru değil. Firefox bir zamanlar inanılmaz popülerdi ve pazarı neredeyse tamamen kontrol ettiği bir dönem oldu. Sonradan Google bunu haksız uygulamalarla aşındırdı ama o ayrı mesele

    • Firefox'un uzun süre boyunca parmak izi takibinin etkisini azaltmak için neredeyse hiçbir anlamlı adım atmamış olması şaşırtıcı. 2025'te bile tarayıcının varsayılan olarak aşırı ayrıntılı bir User Agent string göndermesi anlaşılır değil (Mozilla/5.0 (X11; Linux x86_64; rv:139.0) … gibi). Bir web sitesinin benim X11 kullandığımı ya da x86_64 Linux'ta olduğumu bilmesine hiç gerek yok. Varsayılan olarak Referer da hâlâ açık. JavaScript'in sistemimde yüklü fontların listesini öğrenebilmesi de mümkün. Çok daha ayrıntılı izin kontrolü ve mantıklı varsayılanlar lazım. Bunun için eklentiler var ama kurup işletmek zahmetli

    • Brave gibi parmak izini rastgeleleştirerek takibi önlemeye çalışan tarayıcılar da var ama ben bunun pratikte ne kadar etkili olduğundan emin değilim. Bir başka yol da Tor gibi çok kişinin kullandığı bir ortama karışıp "kalabalığa gizlenme" stratejisini seçmek

    • İki farklı özel tarayıcı penceresinde de benzersiz kullanıcı olduğum sonucu çıktı. Bu da özel sekmeler arasında parmak izi eşleştirmesi yapılamadığı anlamına mı geliyor, merak ediyorum

    • "Gerçekten düzgün bir açık kaynak tarayıcı" tanımında Firefox neden dışarıda kalıyor, onu da merak ediyorum

  • "Parmak izi takibi gerçek kullanıcıyı ne kadar uzun süre aynı kişi olarak gösterebiliyor" sorusunu ölçen bir testin coveryourtracks.eff.org veya amiunique.org'dan daha iyi tasarlanmış olmasını isterdim. Bu iki site de yalnızca benzersizliği test ediyor, kalıcılığı ölçmüyor. Bu yüzden tamamen rastgele sayı üreteci bile parmak izi olarak kabul edilebilir. Oysa gerçek parmak izi koruma teknikleri çoğu zaman rastgele çıktı içerir; bu nedenle Tor, Safari, LibreWolf gibi aslında iyi korunan tarayıcılar bu sitelerde başarısız görünebilir

    • CreepJS kendi parmak izinize bir ad (imza) verip daha sonra tekrar geldiğinizde aynı parmak izi olup olmadığını kontrol etmenizi sağlayan bir site

    • fingerprint.com'un bu tür "zaman içinde sonuç testi" sunabildiğini duydum. fingerprinting as a Service alanında en üst seviyede; yalnızca Meta ve Google onun önünde olabilir

  • "Parmak izi takibinin gerçekten yapıldığı" aslında çoğu kişinin zaten sezdiği bir şeydi ama somut kanıt olmadan "cihazlar arası takip" gerçekten yapılıyor mu, bunu göstermek zordu. Bu çalışma, araştırma için bir çerçeve ve büyük ölçekli deney tasarımı önererek reklam alanında gerçekten parmak izi takibi yapılıp yapılmadığını ampirik olarak doğrulamaya çalışıyor. Önceki makalelerin çoğu yalnızca parmak iziyle ilgili script'lerin çalışıp çalışmadığını ölçüyordu; bu da bunların takip amacıyla mı, yoksa bot/sahtekârlık önleme veya kimlik doğrulama gibi savunmacı amaçlarla mı kullanıldığını göstermiyordu. Bu araştırmanın, tarayıcı parmak izini yapay biçimde değiştirirken reklamlardaki değişimi de takip ederek gerçek takip bağlamını ortaya koyması ilginç (makale bağlantısı). Makalenin tam metnine erişemediğim için daha ayrıntılı içerik göremedim

  • Çerezler belirli alan adları için ayrı ayrı saklanır ve bir güvenlik sınırı içindedir; ama parmak izi alan adına bakılmaksızın hesaplanabilir. Reklam sunucularının yalnızca parmak iziyle kullanıcıyı takip edip tanıyabildiği bir durum rahatlıkla hayal edilebilir ve yalnızca bu parmak izi bilgilerini toplamak bile mağdur hakkında veri biriktirmek için yeterli olabilir; sorun da bu

  • "Tarayıcı neden varsayılan olarak web sitelerine bu kadar çok bilgi sızdırıyor?" sorusuna karşılık,

    • Tarayıcı dediğimiz şey, çeşitli işlevlerden oluşan bir API sandbox'ıdır. Bu işlevlerin her biri kullanıcı rahatlığı için var ama tek başına önemsiz görünen bu parçalar birleşince benzersiz bir parmak izi ortaya çıkıyor. Gerçekten parmak izsiz bir ortam istiyorsanız, son kertede web'deki tüm JavaScript'i kaldırmanız gerekir

    • Geliştiriciler işlev sunmak için bu API'leri istedi ve gizlilik etkileri ancak durum artık "geri döndürülemez" hale geldikten sonra dikkat çekti

    • Bilgilerin çoğu aslında faydalı veya gerekli. Bir kısmını çıkarmak mümkün ama geri kalanı "davranış sonucunu karşılaştırmalı analiz etme" yöntemiyle elde ediliyor; örneğin bir metin kutusunu farklı font-family değerleriyle render ederseniz, cihazdaki font farkları nedeniyle gerçek boyut değişir ve bu da parmak izi olarak kullanılabilir

    • Tarayıcılar bazı bilgileri azaltıp kaldırdığında, örneğin user agent içindeki OS sürümü gibi, beklenmedik site hataları patlıyor. Apple user agent sürümünü yalnızca 10'dan 11'e çevirdiğinde bile birçok site bozulmuştu. Referer alanı ise son yıllarda tarayıcılar tarafından yolun veya tamamının gönderilmemesi gibi biçimlerde ciddi şekilde kısıtlandı

    • Mozilla'nın üst yönetiminin gizlilik/güvenlik/özgürlük konusunda hiçbir zaman yeterince güçlü bir irade göstermediğini düşünüyorum. Bazen konuya yalnızca "pazarlama perspektifinden" yaklaşıp etkisiz değişiklikler yapıyor ya da büyük teknoloji şirketlerinin çıkarlarıyla tamamen çatışmayan yöntemlerde ısrar ediyorlar. W3C içinde bile sert şekilde karşı çıkan figürlerin olmaması üzücü

  • Uygulamalar, web sitelerinden çok daha ağır kullanıcı takibi yapıyor. Sitelerin neden sürekli uygulama yükletmeye çalıştığı da bu: tarayıcıda bulunan birçok koruma uygulama ortamında etkisiz kalıyor. Uygulama sizden giriş yapmanızı istiyor ve sonrasında tüm verileri üçüncü taraflarla serbestçe paylaşabiliyor

    • Benim uygulamam böyle bir takip yapmıyor. E-posta bile almıyorum; bu yüzden yeni bildirimleri duyurmanın tek yolu olarak uygulamayı kullanıyorum. Uygulama kalıcılık açısından avantajlı, web sitesi ise nispeten daha az etkili

    • iOS'ta "Ask App Not to Track" diye bir özellik var. Ama yalnızca bazı takip türlerini engelliyor; tüm takibi durdurmuyor

  • "Parmak izi takibi gerçekten yaygın olarak kullanılıyor" gerçeği hakkında, "akademi dışındaki belgeleri okumamış kişiler" ya da "sorumlu takip sağlayıcılarının zaten yıllardır parmak izi takibini açıkça belirttiği" söyleniyor

    • Esas noktanın akademi veya sektörün cehaleti değil, bu tür araştırmaların "bugün parmak izi takibi gerçekte ne ölçüde ve ne kadar etkili yapılıyor" sorusuna nicel bir kanıt sunması olduğu görüşü var. Sağlayıcılar bunu politika metinlerinde zaten açıklamış olsa bile, gerçek etki ve ölçek konusunda içgörü ayrı bir mesele. Eğer bu çalışma reklam gibi "zararsız" ortamlarda bile takip başarı oranını doğruladıysa, başka aktörlerin bunu yaptığında ne kadar etkili olabileceğini anlamak için de temel sağlar

    • Akademi de aslında yıllar önce parmak izi takibinin kullanımının farkındaydı. Eskiden Flash kullanılarak kullanıcının kurulu font bilgilerini doğrudan çekip çıkaran yöntemler de yaygındı (ilgili makale). Bu yüzden bu resmî anlatının gerçeği tam yansıtmadığı söyleniyor

    • FingerprintJS gibi, çok uzun zamandır var olan açık kaynak parmak izi takip çerçeveleri de mevcut. İlk dönemlerde daha çok spam ya da kötü niyetli ziyaretçileri takip etmek için kullanılıyordu

    • Çevrimiçi gizliliği korumak önemli ama parmak izi takibini engellemeye çalışan önlemlerin çoğu, pratikte gerçek sorunu çözmek yerine web'i daha kullanışsız hale getiriyor olabilir. Benzetme olarak, düzenlemeler olsa bile kötü niyetli aktörler yine parmak izi takibi yapar; buna karşılık sıradan siteler işlev kısıtlarıyla karşılaşıp ters etki oluşur deniyor

    • Akademik araştırma, sektör politikaları veya duyurular yerine somut olarak ölçülebilen ve çürütülemeyen ampirik kanıt elde etmeye öncelik verir

  • EFF'nin fingerprint sayfasına her girdiğimde benzersiz parmak izi sonucu alıyorum. Bir saat sonra yeniden bağlansam da değişmiyor. Keşke bu site parmak izinin hash değerini verse de aylar sonra karşılaştırabilsek. Eğer parmak izim gerçekten her seferinde değişiyorsa, parmak iziyle takip edilmek de çok daha zor olurdu; bu açıdan sevindirici olurdu

  • Bunca emek ve tekniğin reklam hedefleme için harcanması bana anlamsız geliyor. Ben zaten varsayılan olarak tüm reklamları engelliyorum; bu parmak izi takibi çabalarının boşa gittiğini hissediyorum