一个网页最反常的地方,是它还没向你弹出任何授权框,就已经知道不少东西。
Since You Arrived 的“taken”页面做了一个很直白的展示:用户打开页面后,它会列出访问者的大致位置、网络服务商、时区、系统、浏览器、屏幕尺寸、GPU、语言、字体和 Cookie 状态。页面同时声明:它没有写入 Cookie,也没有存储这些信息。
我更在意的不是这个页面本身,而是它把一件日常小事摊开了:网页并不总需要问你,才能拿到可用于识别设备的线索。
网页不弹窗,也能拿到哪些线索
IP 地址是最基础的一项。只要你访问网站,服务器通常就会看到连接来源。它不能把你定位到具体住址,但足以推断大致城市、地区和网络服务商。
原页面示例里,访问者被识别到美国俄勒冈州 The Dalles 一带,网络服务商为 Google LLC。这类定位只能算粗粒度判断,不等于现实地址。
更多线索来自浏览器和设备运行网页的过程。语言偏好可能随请求头传过去;时区可被脚本读取;屏幕尺寸、色深、系统、浏览器版本常用于页面适配;WebGL 还可能暴露显卡或图形驱动相关字符串,比如 Intel Iris OpenGL Engine。
这些信息单独看都不稀奇。问题在组合。
| 信息类型 | 常见来源 | 单独看能说明什么 | 组合后的风险 |
|---|---|---|---|
| IP 地址 | 网络连接 | 大致地区、网络服务商 | 和时间、语言交叉后缩小范围 |
| 时区、语言 | 请求头、浏览器脚本 | 使用区域、语言偏好 | 辅助判断是否为同一长期用户 |
| 屏幕、系统、浏览器 | 页面适配与兼容性检测 | 设备类别和软件环境 | 和字体、GPU 组成更稳定画像 |
| GPU、字体 | WebGL、字体探测 | 硬件和本地环境差异 | 可形成浏览器指纹的一部分 |
| Cookie 状态 | 浏览器存储机制 | 是否允许站点保存标识 | 被限制后,网站可能转向其他识别方式 |
这就是它让人不舒服的地方:很多暴露并非来自“越权”,而是来自网页正常运行。
指纹追踪比 Cookie 难躲在哪里
Cookie 像网站放在浏览器里的小标签。用户可以清理、阻止,浏览器也在限制第三方 Cookie。
浏览器指纹不太一样。它不是某一个标签,而是一组环境特征的拼图。
屏幕尺寸常见,Chrome 常见,macOS 也常见。但把时区、语言、浏览器版本、色深、字体列表、GPU 放在一起,重复率就会下降。广告网络和反欺诈系统常用的 browser fingerprinting、WebGL fingerprinting,就是利用这种组合来识别设备。
它不一定需要 Cookie。也不一定需要账号、姓名、手机号。
这也是普通用户容易误判的地方。很多人以为清掉 Cookie、开隐私模式,就等于重新变成陌生人。现实更复杂:隐私模式主要减少本地留痕,不等于让网站看不到 IP、时区、屏幕、浏览器和部分硬件特征。VPN 可以改变出口 IP,但改不了所有浏览器环境信号。
浏览器厂商也知道这个问题。Firefox 曾在 2016 年移除或隐藏电池状态 API,因为研究者证明,电量和充电状态这类看似无害的信息,也可能被用于跨站追踪。
这段历史的提醒很简单:隐私风险不只来自敏感信息。低敏信号凑多了,也能变成识别能力。
对普通用户和安全读者,真正影响是什么
对普通互联网用户,最直接的影响是广告画像、跨站识别和差异化展示。你没有登录,也没有输入手机号,设备仍可能被认出。它未必指向“某个真实姓名的人”,但足以指向“同一台设备、同一类访问习惯”。
能做的动作不复杂:少装不必要的浏览器扩展,关闭第三方 Cookie,定期清理站点数据,使用带追踪拦截能力的浏览器或插件。它们不能让人隐身,但能降低被稳定识别的概率。
对关注隐私和浏览器安全的读者,重点不只是“这个页面拿到了什么”,而是看清边界在哪里。一个页面公开展示、并声明不存储,算是克制的实验。多数商业页面不会把请求链路摊开给用户看。分析 SDK、广告标签、反欺诈脚本都可能收集类似信号。
也要把话说稳。不是所有网站都在做指纹追踪,IP 定位也不是住址定位。Do Not Track 也不是可靠防线,它只是浏览器发出的偏好声明,网站是否尊重,取决于网站自己。
接下来更该看的不是某个单页实验,而是两个现实变量。
一是浏览器会继续压缩哪些指纹面。字体、Canvas、WebGL、时区、User-Agent 这些信息,哪些继续开放,哪些被模糊处理,会直接影响追踪成本。
二是监管会不会把“可识别设备”纳入更严格的告知和同意范围。因为很多追踪并不靠姓名,也不靠传统 Cookie。如果规则只盯着 Cookie,门缝还在。
这个页面有价值,正在于它把门缝照亮了。