เว็บไซต์กำลังติดตามคุณผ่าน Browser Fingerprinting

 (engineering.tamu.edu)
11 คะแนน โดย GN⁺ 2025-06-20 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • Browser fingerprinting คือวิธีการติดตามออนไลน์ที่ป้องกันไม่ได้แค่ด้วยการลบคุกกี้
  • ทีมวิจัยจากมหาวิทยาลัย Texas ใช้เฟรมเวิร์กการวัดชื่อ FPTrace เพื่อพิสูจน์กรณีการใช้งานติดตามจริงผ่านการประมูลโฆษณาและการเปลี่ยนแปลงของบันทึก HTTP
  • เมื่อ fingerprint เปลี่ยน พบปรากฏการณ์ที่ ราคาประมูลโฆษณาเปลี่ยน และบันทึก HTTP ลดลง
  • แม้จะ ปฏิเสธการติดตามตามกฎหมายความเป็นส่วนตัว เช่น GDPR, CCPA การติดตามแบบอิง fingerprint ก็ยังคงเกิดขึ้นต่อไป
  • นักวิจัยชี้ว่า เครื่องมือและนโยบายความเป็นส่วนตัวในปัจจุบันยังไม่เพียงพอ พร้อมเน้นย้ำความจำเป็นของการกำกับดูแลและการป้องกันทางเทคนิคที่เข้มแข็งขึ้น

Websites Are Tracking You Via Browser Fingerprinting

  • การลบคุกกี้เพียงอย่างเดียว ไม่อาจปกป้องความเป็นส่วนตัวออนไลน์ได้อย่างสมบูรณ์
  • ตามงานวิจัยล่าสุดที่นำโดย Texas A&M University เว็บไซต์ต่าง ๆ กำลังติดตามผู้ใช้ข้ามเซสชันและข้ามเว็บไซต์ด้วยวิธีที่เรียกว่า browser fingerprinting
  • Browser fingerprinting สร้างค่าระบุตัวตนของเบราว์เซอร์ที่เป็นเอกลักษณ์ โดยผสานข้อมูลหลากหลายอย่าง เช่น ความละเอียดหน้าจอ เขตเวลา รุ่นอุปกรณ์ ของผู้ใช้
    • ต่างจากคุกกี้ ผู้ใช้ ลบหรือบล็อกได้ไม่ง่าย
    • ผู้ใช้ส่วนใหญ่แทบไม่รู้ด้วยซ้ำว่ากำลังมีการติดตามลักษณะนี้เกิดขึ้น
    • แม้แต่เบราว์เซอร์ที่เน้นความเป็นส่วนตัวก็ยังบล็อกได้ไม่สมบูรณ์

เจาะลึกสภาพจริงของการติดตามบนเว็บด้วยเฟรมเวิร์ก FPTrace

  • เปรียบได้กับ "ลายเซ็นดิจิทัลที่คุณทิ้งไว้โดยไม่รู้ตัว"
  • เพียงแค่ชุดข้อมูลของอุปกรณ์และเบราว์เซอร์ก็ทำให้ติดตามผู้ใช้ได้ง่าย แม้จะไม่เปิดเผยตัวตนก็ตาม
  • ทีมวิจัยเป็นกลุ่มแรกของโลกที่พิสูจน์เชิงประจักษ์ว่า fingerprinting ถูกใช้งานอย่างไรในระบบโฆษณาจริง
    • พัฒนาเฟรมเวิร์กการวัดชื่อ FPTrace เพื่อวิเคราะห์ ผลกระทบของ browser fingerprint ต่อการประมูลโฆษณาและการสื่อสาร HTTP
    • โดยสังเกตปรากฏการณ์ที่เมื่อ fingerprint เปลี่ยนไป ค่าการประมูลโฆษณา บันทึก HTTP และเหตุการณ์ซิงก์ก็เปลี่ยนตาม จึงเปิดเผยสภาพการติดตามที่เกิดขึ้นจริง

ผลการวิจัยและนัยสำคัญ

  • แม้ผู้ใช้จะ ลบหรือบล็อกคุกกี้ การติดตามผ่าน fingerprinting ก็ยังดำเนินต่อเนื่อง
  • เมื่อมีการใช้ fingerprinting เว็บไซต์บางแห่งจะสะท้อนข้อมูล fingerprint เข้าไปใน กระบวนการประมูลโฆษณาฝั่ง backend และยังพบความเป็นไปได้ที่จะ ส่งต่อข้อมูลระบุตัวตนให้บุคคลที่สาม ระหว่างกระบวนการนี้
  • แม้จะเลือก ปฏิเสธการติดตาม ตามกฎหมายความเป็นส่วนตัว เช่น GDPR ของยุโรปหรือ CCPA ของสหรัฐฯ การติดตามแบบอิง fingerprinting ก็ยังไม่หยุด
  • นักวิจัยย้ำว่า เครื่องมือและนโยบายความเป็นส่วนตัวในปัจจุบันยังไม่เพียงพอ และเรียกร้องให้มีมาตรการป้องกันทั้งทางเทคนิคและเชิงสถาบันที่แข็งแกร่งยิ่งขึ้น
    • คาดหวังว่าเฟรมเวิร์ก FPTrace จะช่วยในการตรวจสอบว่าเว็บไซต์และผู้ให้บริการโฆษณามีการ ติดตามโดยไม่ขอความยินยอม หรือไม่

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2025-06-20
ความเห็นจาก Hacker News

  • ในฐานะคนที่ทำงานอยู่ในสายเทคโนโลยีนี้ ผมรู้สึกว่าแทบไม่ค่อยได้ยินการพูดถึงเลยว่าลายนิ้วมือดิจิทัล (fingerprint) จริง ๆ แล้วคงอยู่ได้นานแค่ไหน ที่จริงแล้วแม้แต่ข้อมูลลายนิ้วมือที่ละเอียดมากก็ยังมี half-life เพียงไม่กี่วันเท่านั้น (ยิ่งชัดเจนเป็นพิเศษถ้าสร้างจากขนาดหน้าต่างหรือเวอร์ชันซอฟต์แวร์ เป็นต้น) ปัจจุบันเครือข่ายโฆษณารายใหญ่กลับพึ่งพาข้อมูลตำแหน่งที่ตั้งอย่างมากมากกว่า นี่จึงเป็นเหตุผลว่าทำไมคุณถึงเห็นโฆษณาในฟีดที่ดูเหมือนเชื่อมโยงข้ามอุปกรณ์หลายเครื่อง หรือสะท้อนความสนใจของคู่สมรสหรือเพื่อนอยู่บ่อย ๆ เพียงแค่ตำแหน่งตาม IP ก็เพียงพอให้ยิงโฆษณาได้กว้างมากแล้ว น่าสนใจที่ FPTrace เป็นเฟรมเวิร์กสำหรับวัดและวิเคราะห์การติดตามผู้ใช้ด้วยลายนิ้วมือ และทำให้อยากรู้ว่าวิธีวิจัยแบบเฉพาะของพวกเขาเป็นอย่างไร ผมคิดว่าเครือข่ายโฆษณาน่าจะแบ่งกลุ่มโฆษณาตามการตั้งค่าอุปกรณ์มากกว่าตัวลายนิ้วมือเอง เช่น ผู้ใช้ที่ใช้ซอฟต์แวร์ใหม่และฮาร์ดแวร์ใหม่อาจถูกจัดเป็น "กลุ่มที่มีแนวโน้มซื้อสูง" แม้แต่องค์ประกอบง่าย ๆ อย่างเขตเวลาก็มีผลมากต่อผลการประมูลโฆษณา ดังนั้นตัวแปรใดถูกควบคุมอย่างไรในการวิจัยนี้จึงสำคัญมาก

    • ผมลองเช็กข้อมูลของตัวเองที่ amiunique.org แล้วพบว่าผมถูกตัดสินว่าเป็นคนที่ไม่ซ้ำใครจริง ๆ (เหมือนที่แม่เคยบอกไว้!) แต่เว็บไซต์นี้ไม่ได้บอกว่าต้องเปลี่ยนองค์ประกอบใดบ้างถึงจะกลายเป็นไม่เฉพาะตัว และจากคุณสมบัติ JavaScript 58 รายการ มี 16 รายการอยู่ในหมวดความคล้ายต่ำสุด ในจำนวนนั้นมี 2 รายการที่พึ่งพาหมายเลขเวอร์ชันโดยตรง และ 6 รายการเกี่ยวข้องกับขนาด/ความละเอียดหน้าจอ ท้ายที่สุดจึงให้ความรู้สึกว่ายังมีข้อมูลหลายอย่างที่ไม่เปลี่ยนเร็วเหลืออยู่ แม้ค่าที่แน่นอนอาจเปลี่ยนไปเมื่อเวลาผ่านไป แต่คำว่า "half-life ไม่กี่วัน" ก็ดูเหมือนประเมินประสิทธิผลจริงของเทคโนโลยีนี้ต่ำเกินไป

    • เมื่อขยายหน้าต่าง Windows เต็มจอ ขนาดหน้าต่างแทบไม่เปลี่ยนเลยหากไม่มีการเปลี่ยนสภาพแวดล้อม เปลี่ยนจอภาพ หรืออัปเดต desktop environment ฮาร์ดแวร์ GPU ก็ไม่ใช่สิ่งที่เปลี่ยนบ่อยเช่นกัน และสามารถใช้ WebGL หรือ WebGPU ดึงคุณลักษณะเฉพาะมาใช้ทำ fingerprint ได้ง่าย แบบอักษรที่ติดตั้งไว้ก็ไม่ได้เปลี่ยนบ่อย fingerprint ของ TCP stack ก็มีความเสถียรพอสมควร เพียงองค์ประกอบไม่กี่อย่างเหล่านี้ก็ทำให้เชื่อมโยงกลับไปยังคลัสเตอร์ fingerprint เดิมได้ง่าย แม้คุณลักษณะเดี่ยวจะเปลี่ยนไปบ้างก็ตาม ที่หนักกว่านั้นคือ ถ้าไม่ได้ลบตัวระบุฝั่งไคลเอนต์อย่างคุกกี้ไปพร้อมกัน ก็ยังสามารถเชื่อมโยง fingerprint สองชุดที่ต่างกันมากได้อย่างชัดเจน

    • เวลาในการจัดการ hardware interrupt และความหน่วงของมันเองก็อาจมีค่าจำเพาะแตกต่างกันไปตามรายละเอียดอย่างชุดแอปที่ติดตั้งหรือเวอร์ชันไดรเวอร์ GPU ดังนั้นจึงคิดว่าการกระจายค่าจะเปลี่ยนก็ต่อเมื่อมีการอัปเดตจริง ๆ และก็ไม่ค่อยเกิดขึ้นที่ทุกการกระจายจะเปลี่ยนพร้อมกันทั้งหมด

    • Siteimprove Analytics อ้างต่อสาธารณะว่าเทคโนโลยีการติดตามแบบ cookieless ของตนแม่นยำกว่าการติดตามแบบใช้คุกกี้เดิม Visitor Hash สร้างจากการแฮช IP และ HTTP header ที่ไม่รวมข้อมูลส่วนบุคคล (เช่น ชนิดเบราว์เซอร์ เวอร์ชัน ภาษา user agent ฯลฯ) จึงชูจุดเด่นว่าสามารถแก้ปัญหา "อายุสั้น" ของคุกกี้แบบเดิม และช่วยเพิ่มความแม่นยำของสถิติผู้เข้าชมที่ไม่ซ้ำกันได้ อย่างไรก็ตาม ระบบนี้ใช้เฉพาะคุณสมบัติฝั่งเซิร์ฟเวอร์ และไม่เก็บคุณสมบัติฝั่งไคลเอนต์ หากเป็นอินทราเน็ตหรือสภาพแวดล้อมที่มี IP/อุปกรณ์ร่วมกันจำนวนมาก ผู้ใช้หลายคนอาจมี Visitor Hash เดียวกันจนการเข้าชมถูกรวมเป็นหนึ่งเดียว จึงแนะนำให้ยกเว้นโดเมนประเภทนี้ออกจากการติดตามแบบ cookieless

    • fingerprint ของเบราว์เซอร์สามารถทำให้แข็งแรงมากได้ ขึ้นอยู่กับว่าคุณเลือกจุดข้อมูลอะไรบ้าง (เช่น ปลั๊กอินที่ติดตั้ง ภาษาเนื้อหา ฟอนต์ ฯลฯ) และยังสามารถปรับจุดข้อมูลแบบไดนามิกตามสถานการณ์ หรือใช้ต่างกันในแต่ละผู้ใช้ได้ด้วย อีกทั้ง fingerprint ก็เป็นเพียงส่วนหนึ่งของข้อมูลทั้งหมดเท่านั้น หากนำไปรวมกับข้อมูลอื่นอย่างข้อมูลตำแหน่ง ก็สามารถทำให้ข้อจำกัดหรือมาตรการหลบเลี่ยงหลายอย่างไร้ผลไปได้มาก ตัวอย่างเช่น ถ้า fingerprint ใหม่ที่คล้าย fingerprint เดิมอยู่ 80% ปรากฏขึ้นจาก IP ที่ทำงานเดียวกัน และ fingerprint เดิมหายไป ก็เชื่อมโยงทั้งสองเข้าด้วยกันได้ง่าย บริษัทโฆษณาเองมักชอบ "กลยุทธ์หว่านแห" (targeting กว้าง ๆ) ด้วยเหตุผลด้านความคุ้มค่าและการป้องกันตัวทางกฎหมาย แต่ถ้าเป็นองค์กรที่มีเป้าหมายอื่นนอกเหนือจากโฆษณา พวกเขาอาจมีจุดข้อมูลมากกว่าและติดตามได้แม่นยำกว่ามาก

  • amiunique.org เน้นให้เห็นว่าเบราว์เซอร์เปิดเผยข้อมูลหลากหลายอย่าง เช่น ความละเอียดหน้าจอ เขตเวลา รุ่นอุปกรณ์ และสามารถนำมาผสมกันเพื่อสร้างเป็น "ลายนิ้วมือ" ได้ ต่างจากคุกกี้ ข้อมูล fingerprint แบบนี้ผู้ใช้ลบหรือบล็อกได้ยากกว่ามาก จึงยิ่งตรวจจับหรือป้องกันได้ยากในตัวมันเอง ที่ย้อนแย้งคือ ยิ่งหมกมุ่นกับการเพิ่มความปลอดภัยและความเป็นส่วนตัวของอุปกรณ์, OS และเบราว์เซอร์มากเท่าไร fingerprint ของเรากลับยิ่งมีเอกลักษณ์มากขึ้นเท่านั้น ระบบนิเวศ FOSS มีประวัติยาวนานก็จริง แต่ก็น่าเสียดายที่ไม่เคยมีเบราว์เซอร์โอเพนซอร์สที่ดีพอขึ้นมาครองกระแสหลักได้จริง ๆ เพราะการผูกขาดทำกำไรได้มหาศาลตั้งแต่ระยะเริ่มต้น ส่วนตัวผมก็เคยคิดจะทำ web scraper เพื่อการเข้าถึงแบบออฟไลน์ แต่สุดท้ายมองว่าไม่ค่อยใช้การได้จริง

    • คำพูดที่ว่า "ไม่เคยมีเบราว์เซอร์โอเพนซอร์สที่ดีพอเกิดขึ้น" นั้นไม่แม่นนัก Firefox เคยได้รับความนิยมอย่างมากและเคยครองตลาดแทบทั้งหมดด้วยซ้ำ หลังจากนั้น Google จึงค่อยกัดกินส่วนแบ่งนั้นด้วยพฤติกรรมที่ไม่เป็นธรรม แต่นั่นเป็นเรื่องในภายหลัง

    • น่าประหลาดใจที่ Firefox แทบไม่เคยมีมาตรการที่เป็นรูปธรรมใด ๆ เพื่อลดประสิทธิภาพของการติดตามด้วย fingerprint เลยเป็นเวลานาน แม้ในปี 2025 เบราว์เซอร์ก็ยังส่ง User Agent string ที่ละเอียดเกินไปโดยค่าเริ่มต้นอยู่ ซึ่งเข้าใจได้ยากมาก (Mozilla/5.0 (X11; Linux x86_64; rv:139.0) … เป็นต้น) เว็บไซต์ไม่จำเป็นต้องรู้เลยว่าผมใช้ X11 หรือเป็น Linux x86_64 โดยค่าเริ่มต้น Referer ก็ยังเปิดอยู่ และ JavaScript ก็ยังสามารถรู้รายชื่อฟอนต์ที่ติดตั้งในระบบของผมได้ เรายังต้องการการควบคุมสิทธิ์ที่ละเอียดกว่านี้มากและค่าเริ่มต้นที่สมเหตุสมผลกว่านี้ แม้จะมีปลั๊กอินที่เกี่ยวข้องอยู่บ้าง แต่การติดตั้งและใช้งานก็ยุ่งยาก

    • มีเบราว์เซอร์อย่าง Brave ที่พยายามหลบการติดตามด้วยการสุ่ม fingerprint แต่ส่วนตัวผมก็ยังสงสัยในประสิทธิผลจริง อีกแนวทางหนึ่งคือเลือกใช้กลยุทธ์ "ซ่อนตัวในฝูงชน" โดยไปปะปนอยู่กับสภาพแวดล้อมที่คนใช้จำนวนมาก เช่น Tor

    • ผมถูกตัดสินว่าเป็นผู้ใช้ที่ไม่ซ้ำใครทั้งในหน้าต่างเบราว์เซอร์แบบ private สองหน้าต่างที่ต่างกัน จึงยังสงสัยว่าแปลว่านิ้วมือดิจิทัลไม่สามารถเชื่อมโยงกันระหว่างแท็บ private ได้จริงหรือไม่

    • ผมสงสัยว่าเพราะอะไร Firefox ถึงถูกตัดออกจากเกณฑ์ของคำว่า "เบราว์เซอร์โอเพนซอร์สที่ดีพอ"

  • อยากให้มีการทดสอบที่ออกแบบมาดีกว่า coveryourtracks.eff.org หรือ amiunique.org สำหรับวัดว่า "การติดตามด้วย fingerprint ทำให้ระบุตัวผู้ใช้คนเดิมได้ต่อเนื่องนานแค่ไหน" เพราะทั้งสองเว็บไซต์ทดสอบแค่ความเป็นเอกลักษณ์ ไม่ได้ตรวจความคงทน ดังนั้นแม้แต่ตัวสร้างตัวเลขสุ่มล้วน ๆ ก็ยังอาจถูกมองว่าเป็น fingerprint ได้ เทคโนโลยีป้องกัน fingerprint จริง ๆ มักมีการสุ่มผลลัพธ์รวมอยู่ด้วย ทำให้เบราว์เซอร์อย่าง Tor, Safari, LibreWolf ซึ่งในโลกจริงอาจป้องกันได้ดี กลับถูกตัดสินว่าล้มเหลวในเว็บไซต์พวกนี้

    • CreepJS เป็นเว็บไซต์ที่ตั้งชื่อให้ fingerprint ของคุณ (signature) และให้คุณกลับมาเช็กได้ภายหลังว่าเป็น fingerprint เดิมหรือไม่

    • ได้ยินมาว่า fingerprint.com สามารถให้การทดสอบลักษณะ "ผลลัพธ์เมื่อเวลาผ่านไป" แบบนี้ได้ ในวงการ fingerprinting as a Service ถือว่าอยู่ระดับท็อป โดยมีเพียง Meta และ Google ที่ก้าวล้ำกว่านั้น

  • ทุกคนพอจะคาดเดาได้อยู่แล้วว่า "การติดตามด้วย fingerprint เกิดขึ้นจริง" แต่ในทางปฏิบัติ หากไม่มีหลักฐานที่เป็นรูปธรรม ก็ยากจะพิสูจน์ว่ามี "การติดตามข้ามอุปกรณ์" เกิดขึ้นจริงหรือไม่ งานวิจัยครั้งนี้จึงเสนอทั้งเฟรมเวิร์กสำหรับศึกษาและการออกแบบการทดลองขนาดใหญ่ เพื่อพิสูจน์เชิงประจักษ์ว่าการติดตามด้วย fingerprint เกิดขึ้นจริงในพื้นที่โฆษณาหรือไม่ งานวิจัยก่อนหน้านี้ส่วนใหญ่วัดแค่ว่าสคริปต์ที่เกี่ยวข้องกับ fingerprint ถูกรันหรือไม่ ซึ่งเพียงเท่านั้นยังบอกไม่ได้ว่าใช้เพื่อการติดตามจริง หรือเพื่อวัตถุประสงค์เชิงป้องกันอย่างการกันบอต การป้องกันการฉ้อโกง หรือการยืนยันตัวตน งานวิจัยนี้น่าสนใจตรงที่มีการปรับเปลี่ยน browser fingerprint แบบจงใจ แล้วติดตามการเปลี่ยนแปลงของโฆษณาควบคู่กันไป เพื่อเปิดเผยบริบทของการติดตามจริง (ลิงก์งานวิจัย) ผมเข้าไปอ่านต้นฉบับเต็มไม่ได้ จึงยังตรวจสอบรายละเอียดเชิงลึกกว่านี้ไม่ได้

  • คุกกี้ถูกเก็บแยกตามแต่ละโดเมนภายในขอบเขตความปลอดภัยที่ชัดเจน แต่ fingerprint สามารถคำนวณได้โดยไม่ขึ้นกับโดเมนเลย จึงนึกภาพได้ไม่ยากว่าเซิร์ฟเวอร์โฆษณาหรือระบบอื่น ๆ จะติดตามและระบุตัวผู้ใช้ด้วย fingerprint เพียงอย่างเดียวได้ และปัญหาก็คือแม้เก็บแค่ข้อมูล fingerprint อย่างเดียว ก็ยังสามารถรวบรวมข้อมูลเกี่ยวกับเหยื่อได้มาก

  • สำหรับคำถามว่า "ทำไมเบราว์เซอร์ถึงเปิดเผยข้อมูลให้เว็บไซต์มากขนาดนี้โดยค่าเริ่มต้น?"

    • ตัวเบราว์เซอร์เองก็คือแซนด์บ็อกซ์ของความสามารถ (API) หลากหลายชุด แต่ละความสามารถมีไว้เพื่ออำนวยความสะดวกแก่ผู้ใช้ แม้แต่ละอย่างจะแยกกันดูไม่สำคัญนัก แต่เมื่อรวมกันแล้วกลับกลายเป็น fingerprint ที่มีเอกลักษณ์ หากต้องการสภาพแวดล้อมที่ไม่มี fingerprint อย่างแท้จริง ก็คงต้องกำจัด JavaScript ของเว็บออกไปทั้งหมด

    • นักพัฒนาต้องการ API เหล่านี้เพื่อส่งมอบฟังก์ชันการใช้งาน และผลกระทบต่อความเป็นส่วนตัวก็เพิ่งได้รับความสนใจหลังจากสถานการณ์กลายเป็น "ย้อนกลับไม่ได้" ไปแล้ว

    • ข้อมูลส่วนใหญ่มีประโยชน์จริงหรือจำเป็นจริง มีเพียงบางส่วนเท่านั้นที่พอจะตัดออกได้ ส่วนที่เหลือเป็นเรื่องของ "การเปรียบเทียบผลลัพธ์เชิงพฤติกรรม" เช่น เมื่อเรนเดอร์กล่องข้อความด้วย font-family หลายแบบ ขนาดจริงที่ได้จะแตกต่างกันไปตามฟอนต์ของอุปกรณ์แต่ละเครื่อง และสิ่งนั้นเองก็กลายเป็น fingerprint ได้

    • เมื่อเบราว์เซอร์พยายามลดหรือลบข้อมูลบางอย่างออกไป (เช่น เวอร์ชัน OS ใน user agent) ก็มักทำให้เกิดข้อผิดพลาดบนเว็บไซต์จำนวนมากอย่างไม่คาดคิด ตัวอย่างเช่น ตอนที่ Apple เปลี่ยนหมายเลขเวอร์ชันใน user agent จาก 10 เป็น 11 เว็บไซต์จำนวนมากก็หยุดทำงานไปเลย ส่วนฟิลด์ Referer นั้นก็ถูกจำกัดมากขึ้นเรื่อย ๆ ในเบราว์เซอร์ยุคใหม่ เช่น การไม่ส่ง path หรือการไม่ส่งทั้งหมด

    • ผมรู้สึกว่าผู้บริหารระดับสูงของ Mozilla ไม่เคยมีเจตจำนงที่จริงจังเพียงพอในเรื่องความเป็นส่วนตัว ความปลอดภัย และเสรีภาพ บางครั้งก็มองเพียงในเชิง "การตลาด" ทำให้เกิดการเปลี่ยนแปลงที่ไม่ค่อยได้ผล หรือยึดแนวทางที่ไม่ขัดแย้งกับผลประโยชน์ของบริษัทยักษ์ใหญ่ด้านเทคโนโลยีมากเกินไป น่าเสียดายที่แม้แต่ใน W3C ก็ไม่มีใครยืนหยัดคัดค้านอย่างแข็งกร้าว

  • แอปติดตามผู้ใช้หนักกว่าเว็บไซต์มาก เว็บไซต์ต่าง ๆ พยายามชวนให้ติดตั้งแอปอยู่ตลอดก็เพราะมาตรการป้องกันมากมายที่ใช้ได้ในเบราว์เซอร์จะใช้ไม่ได้ผลทั้งหมดเมื่ออยู่ในสภาพแวดล้อมของแอป แอปบังคับให้ล็อกอินได้ และหลังจากนั้นก็สามารถแชร์ข้อมูลทั้งหมดกับบุคคลที่สามได้อย่างอิสระ

    • แอปของผมไม่ได้ติดตามแบบนั้น ผมไม่เก็บแม้แต่อีเมล ดังนั้นจึงใช้แอปเป็นช่องทางเดียวในการแจ้งเตือนเรื่องใหม่ ๆ แอปได้เปรียบในแง่ความต่อเนื่อง ส่วนเว็บไซต์มีประสิทธิภาพน้อยกว่า

    • iOS มีฟีเจอร์ "Ask App Not to Track" อยู่จริง แต่ก็ป้องกันได้แค่การติดตามบางประเภท ไม่ได้บล็อกทุกอย่างทั้งหมด

  • สำหรับข้อเท็จจริงที่ว่า "การติดตามด้วย fingerprint ถูกใช้อย่างแพร่หลายอยู่แล้ว" มีคนชี้ว่า คนที่คิดว่านี่เป็นเรื่องใหม่อาจเป็นเพราะ "ไม่เคยอ่านเอกสารนอกแวดวงวิชาการ" หรือเพราะ "ผู้ให้บริการติดตามที่มีความรับผิดชอบก็เปิดเผยเรื่องการใช้ fingerprint มาอย่างชัดเจนหลายปีแล้ว"

    • ประเด็นสำคัญไม่ใช่ว่าวงวิชาการหรืออุตสาหกรรมไม่รู้เรื่องนี้ แต่เป็นเพราะงานวิจัยแบบนี้มีคุณค่าในตัวเองตรงที่พิสูจน์เชิงปริมาณได้ว่า ณ ปัจจุบัน การติดตามด้วย fingerprint เกิดขึ้นมากน้อยแค่ไหนและมีประสิทธิผลเพียงใด ถึงผู้ให้บริการจะเปิดเผยไว้ในเชิงนโยบายอยู่แล้ว ก็ยังเป็นคนละเรื่องกับข้อมูลเชิงลึกว่ามันใช้ได้ผลจริงในระดับไหน หากงานนี้ตรวจสอบอัตราความสำเร็จของการติดตามได้แม้ในสภาพแวดล้อมที่ "ไม่เป็นพิษเป็นภัย" อย่างโฆษณา ก็ยิ่งกลายเป็นฐานอ้างอิงว่าเมื่อผู้เล่นรายอื่นนำไปใช้จะมีประสิทธิภาพเพียงใด

    • แวดวงวิชาการเองก็รับรู้การใช้การติดตามด้วย fingerprint มาหลายปีแล้ว ในอดีตยังมีเทคนิคที่ใช้ Flash เพื่อดึงข้อมูลฟอนต์ที่ผู้ใช้ติดตั้งโดยตรงอย่างแพร่หลายด้วย (งานวิจัยที่เกี่ยวข้อง) ดังนั้นคำกล่าวเป็นทางการที่ทำเหมือนเพิ่งรู้เรื่องนี้จึงไม่ตรงกับความจริง

    • ยังมีเฟรมเวิร์กโอเพนซอร์สสำหรับการติดตามด้วย fingerprint ที่มีมานานแล้วอย่าง FingerprintJS ในยุคแรก ๆ มักถูกใช้เพื่อติดตามสแปมหรือผู้เยี่ยมชมที่มีเจตนาร้าย

    • แม้การปกป้องความเป็นส่วนตัวออนไลน์จะสำคัญ แต่ก็มีข้อโต้แย้งว่ามาตรการตอบโต้ที่พยายามจะหยุดการติดตามด้วย fingerprint กลับไม่สามารถแก้ปัญหาในโลกจริงได้ดีพอ และทำให้เว็บใช้งานลำบากขึ้นเสียมากกว่า เปรียบเหมือนว่าต่อให้มีกฎระเบียบ ผู้ไม่หวังดีก็ยังคงใช้ fingerprint tracking อยู่ดี แต่เว็บไซต์ทั่วไปกลับต้องรับผลเสียจากข้อจำกัดด้านฟังก์ชันแทน

    • ในงานวิจัยเชิงวิชาการ มุมมองคือสิ่งสำคัญไม่ใช่นโยบายของอุตสาหกรรมหรือข้อความประกาศ แต่คือการได้มาซึ่ง "หลักฐานเชิงประจักษ์" ที่วัดได้อย่างเป็นรูปธรรมและโต้แย้งได้ยาก

  • ทุกครั้งที่เข้าไปยังหน้า fingerprint ของ EFF ผมจะถูกตัดสินว่ามี fingerprint เฉพาะตัวทุกครั้ง แม้กลับเข้าไปใหม่อีกหนึ่งชั่วโมงให้หลังก็ยังเหมือนเดิม คงจะดีถ้าเว็บไซต์นี้ให้ค่าแฮชของ fingerprint มาด้วย เพื่อจะได้กลับมาเทียบอีกครั้งในอีกหลายเดือนข้างหน้า ถ้า fingerprint ของผมเปลี่ยนทุกครั้งจริง ๆ การติดตามด้วย fingerprint ก็น่าจะทำได้ยากขึ้นมาก ซึ่งก็นับว่าเป็นข่าวดีด้านหนึ่ง

  • ผมค่อนข้างตั้งคำถามกับการที่ต้องทุ่มแรงและเทคโนโลยีมากมายขนาดนี้ไปกับการยิงโฆษณาแบบเจาะเป้า เพราะโดยพื้นฐานแล้วผมบล็อกโฆษณาทั้งหมดอยู่แล้ว ทำให้ความพยายามด้าน fingerprint tracking ทั้งหมดดูสูญเปล่า