หน้าเว็บที่แสดงข้อมูลทั้งหมดที่เบราว์เซอร์บอกได้

 (sinceyouarrived.world)
1 คะแนน โดย GN⁺ 1 시간 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • หน้านี้แสดงตำแหน่ง อุปกรณ์ เบราว์เซอร์ ภาษา GPU แบตเตอรี่ ฟอนต์ และค่ากำหนดของผู้ใช้ โดยอาศัยเพียงข้อมูลที่เบราว์เซอร์ส่งมาในช่วงมิลลิวินาทีแรกหลังเข้าชม และใช้เฉพาะความสามารถมาตรฐานที่มีเอกสารสาธารณะรองรับ โดยไม่มีการใช้ exploit หรือการแฮ็ก
  • ระบบส่ง IP address จาก request header ทั้งหมดไปยัง ip-api.com · Free tier · CC-BY-SA เพื่อแปลงเป็นชื่อเมืองและผู้ให้บริการอินเทอร์เน็ต โดยระบุว่าการค้นหาจะไม่ถูกเก็บไว้ และบนหน้าจอจะแสดงเพียงบาง octet เท่านั้น แม้จะสามารถทราบส่วนที่เหลือได้
  • ลายนิ้วมือฟอนต์ ใช้การวัดความกว้างของข้อความที่เรนเดอร์แล้วเพื่อตรวจจับฟอนต์ที่ติดตั้งไว้ และ Electronic Frontier Foundation · Cover Your Tracks มีเครื่องมือสำหรับตรวจสอบความเป็นเอกลักษณ์ของเบราว์เซอร์ ขณะที่งานวิจัยของ Princeton ปี 2014 พบ ลายนิ้วมือแคนวาส บน 5% ของเว็บไซต์ 100,000 อันดับแรก
  • แม้หน้าเว็บนี้จะไม่ได้เรียกใช้ แต่ก็มี Clipboard API ที่สามารถขออ่านสิ่งล่าสุดที่ผู้ใช้คัดลอกได้ด้วย gesture ของผู้ใช้เพียงครั้งเดียว รวมถึง “The Leaking Battery” ที่แสดงความเป็นไปได้ในการติดตามผู้ใช้ได้นานสูงสุด 30 นาทีจากระดับแบตเตอรี่และเวลาคายประจุ และยังมีเทคนิคตรวจจับเว็บไซต์ที่ล็อกอินอยู่ผ่าน favicon
  • ระบุว่าสิ่งที่ส่งไปยังเซิร์ฟเวอร์มีเพียงอีเวนต์นิรนามสองรายการคือ arrival และ complete เท่านั้น และไม่เก็บอะไรไว้ใน cookies, localStorage, sessionStorage, IndexedDB หรือ service worker cache พร้อมบอกว่าจะลืมผู้เข้าชมทันทีเมื่อปิดแท็บ

ข้อมูลที่เบราว์เซอร์ส่งมาทันทีเมื่อมาถึง

  • การสังเกตทั้งหมดของ taken. มาจากข้อมูลที่ได้จากเบราว์เซอร์ของผู้เข้าชมในช่วงมิลลิวินาทีแรกหลังเข้าชม และใช้เพียงความสามารถมาตรฐานที่มีเอกสารสาธารณะรองรับ โดยไม่มี exploit, ช่องโหว่ หรือการแฮ็ก

  • ตำแหน่งที่ตั้ง

    • ระบบส่ง IP address ที่อยู่ใน request header ทุกครั้งไปยัง ip-api.com · Free tier · CC-BY-SA เพื่อแปลงเป็นชื่อเมืองและผู้ให้บริการอินเทอร์เน็ต
    • ระบุว่าการค้นหานี้เป็นเพียงชั่วคราวและไม่มีฝ่ายใดจัดเก็บไว้ และบนหน้าจอจะแสดงเพียง octet แรกกับ octet สุดท้ายของ IP แต่ก็ยังสามารถรู้ส่วนที่เหลือได้
    • ภายใต้ GDPR นั้น IP address อาจถือเป็นข้อมูลส่วนบุคคลได้เมื่อถูกใช้เพื่อติดตาม และ taken. ไม่ได้ติดตาม จัดเก็บ หรือทำ log

  • Browser API

    • ค่าที่สังเกตได้จากอุปกรณ์ เช่น หน้าจอ เบราว์เซอร์ ภาษา GPU จำนวนคอร์ แบตเตอรี่ ฟอนต์ และค่ากำหนดของผู้ใช้ ถูกดึงมาด้วย JavaScript API มาตรฐานที่มีเอกสารสาธารณะบน MDN Web Docs · Mozilla · CC-BY-SA 2.5
    • สิ่งเหล่านี้เป็นพฤติกรรมที่เป็นไปได้ตามการออกแบบของเบราว์เซอร์ และนำไปสู่ข้อสรุปว่า “ปัญหาอยู่ที่การออกแบบ”

  • ลายนิ้วมือฟอนต์และแคนวาส

    • เทคนิค ลายนิ้วมือฟอนต์ ที่ตรวจจับฟอนต์ที่ติดตั้งไว้ผ่านความกว้างของข้อความที่เรนเดอร์แล้ว มีเอกสารอธิบายมาตั้งแต่ปี 2010 และ Electronic Frontier Foundation · Cover Your Tracks ก็มีเครื่องมือให้ตรวจสอบว่าเบราว์เซอร์มีเอกลักษณ์มากเพียงใด
    • เบราว์เซอร์ส่วนใหญ่มีความเป็นเอกลักษณ์มากพอที่จะถูกติดตามบนเว็บเปิดได้แม้ไม่มีคุกกี้ และชุดฟอนต์เป็นหนึ่งในสัญญาณที่ทรงพลังที่สุด
    • งานวิจัยปี 2014 ของ Princeton University · Web Transparency & Accountability Project เป็นงานแรกที่บันทึก ลายนิ้วมือแคนวาส บนเว็บจริง และพบใน 5% ของเว็บไซต์ 100,000 อันดับแรก
    • ลายนิ้วมือแคนวาสทำงานโดยให้เบราว์เซอร์ของผู้เข้าชมวาดภาพที่ซ่อนไว้ แล้วอ่านพิกเซลที่เรนเดอร์กลับมาเป็นตัวระบุเฉพาะ โดย taken. ไม่ได้รันเทคนิคนี้ แต่เบราว์เซอร์รองรับอยู่

  • คลิปบอร์ดและแบตเตอรี่

    • ตาม MDN · Clipboard API specification หน้าเว็บสามารถขออ่านสิ่งล่าสุดที่ผู้ใช้คัดลอกได้จาก gesture ของผู้ใช้เพียงครั้งเดียว เช่น การคลิกหรือแตะ
    • สิ่งที่คัดลอกล่าสุดอาจเป็นรหัสผ่าน ที่อยู่ หรือข้อความร่าง และแม้ taken. จะไม่ได้ขออ่าน แต่ความสามารถนี้มีอยู่ในเบราว์เซอร์สมัยใหม่
    • งานวิจัยปี 2015 ของ Olejnik, Englehardt และ Narayanan ชื่อ “The Leaking Battery” แสดงให้เห็นว่าสามารถติดตามผู้เข้าชมข้ามหลายเว็บไซต์ได้นานสูงสุด 30 นาที โดยไม่ต้องใช้คุกกี้หรือบัญชี เพียงจากการรวมข้อมูลระดับแบตเตอรี่กับเวลาคายประจุ
    • Firefox เอา API นี้ออกไปในปี 2016 แต่ Chrome และ Edge ยังเปิดเผยข้อมูลนี้อยู่

เทคนิคที่ไม่ได้รันและข้อมูลที่ไม่ได้ทิ้งไว้

  • การตรวจจับเว็บไซต์ที่ล็อกอินอยู่

    • แม้ taken. จะไม่ได้รัน แต่มีเทคนิคที่มีเอกสารอธิบาย ชอบด้วยกฎหมาย และถูกเผยแพร่อย่างกว้างขวาง ซึ่งใช้ให้เบราว์เซอร์โหลด URL ของ favicon จากบริการเฉพาะ แล้วสังเกตความสำเร็จหรือความล้มเหลวเพื่อดูว่าผู้ใช้ล็อกอินอยู่กับเว็บไซต์ใด
    • วิธีนี้อาศัยความแตกต่างที่ระบบส่งคืนภาพไม่เหมือนกันระหว่างสถานะล็อกอินกับล็อกเอาต์ และสามารถตรวจได้โดยไม่ต้องขออนุญาตว่าผู้ใช้ล็อกอิน Facebook, Google, X, GitHub, Reddit, LinkedIn และบริการอื่น ๆ อยู่หรือไม่

  • บาร์โค้ดที่คำนวณภายในเบราว์เซอร์

    • เส้น 16 เส้น ที่แสดงใต้ตัวนับ ประกอบด้วยความสูงที่ได้มาจาก GPU ฟอนต์ ขนาดหน้าจอ ภาษา เขตเวลา ระบบปฏิบัติการ เบราว์เซอร์ และความลึกสี
    • ข้อมูลชุดเดิมจะสร้างบาร์โค้ดเดิม และผู้เข้าชมแต่ละคนจะเห็นบาร์โค้ดต่างกัน โดยการคำนวณเกิดขึ้นภายในเบราว์เซอร์เท่านั้นและไม่ถูกส่งออกไป
    • หากมีคนที่มีลายนิ้วมือเหมือนกันทุกประการก็จะเห็นแท่งเหมือนกัน แต่โอกาสนั้นต่ำ

  • วิธีสร้างประโยค

    • ทุกประโยคเขียนโดย Matt เอง และไม่มี language model มาเขียนหรือแก้ไขประโยคในขณะรัน
    • โค้ดจะเลือกหนึ่งใน template ประโยคที่เขียนไว้ล่วงหน้าตามค่าที่เบราว์เซอร์ส่งกลับมา และหากเป็นเงื่อนไขที่ไม่สามารถจัดการได้ด้วยประโยคที่มนุษย์เขียนไว้ ก็จะไม่พูดอะไรเลย

  • สิ่งที่ส่งไปยังเซิร์ฟเวอร์

    • อีเวนต์ที่ส่งไปยังเซิร์ฟเวอร์มีเพียงอีเวนต์นิรนามสองรายการคือ arrival และ complete เท่านั้น โดยไม่มีคุกกี้ ตัวระบุ หรือ IP ที่เก็บรักษาไว้
    • เซิร์ฟเวอร์จะทิ้ง body ของแต่ละ request และไม่ส่งอะไรกลับมา แม้บันทึกระดับ transport ที่ระบุว่าเคยมี request อาจยังอยู่ใน log ตามระยะเวลาเก็บรักษามาตรฐานของผู้ให้บริการโฮสติง ซึ่งมักเป็นไม่กี่วัน
    • เว็บไซต์ส่วนใหญ่ส่ง beacon เพิ่มอีกหลายร้อยรายการไปยังผู้ลงโฆษณา ผู้เก็บลายนิ้วมือ เครื่องมือเล่นซ้ำ session และ tag manager แต่ taken. ส่งเพียงสองรายการไปยังเซิร์ฟเวอร์ของตัวเองและบอกเรื่องนี้อย่างชัดเจน

  • สิ่งที่จัดเก็บบนอุปกรณ์

    • ไม่มีการเก็บอะไรไว้ใน cookies, localStorage, sessionStorage, IndexedDB หรือ service worker cache
    • ข้อมูลที่แสดงบนหน้าจอถูกคำนวณภายในเบราว์เซอร์ และนอกจากการค้นหา IP geolocation กับอีเวนต์นิรนามสองรายการแล้ว ก็ไม่ออกจากอุปกรณ์เลย
    • เมื่อปิดแท็บ taken. จะลืมผู้เข้าชม และปิดท้ายพร้อมเผยแพร่ซอร์สโค้ดว่า “หน้าส่วนใหญ่พูดแบบนั้นไม่ได้”

  • บริบทของซีรีส์และการสร้าง

    • Vol. I ว่าด้วยสิ่งที่เกิดขึ้นบนโลกขณะผู้เข้าชมอยู่บนหน้าเว็บ, Vol. II ว่าด้วยท้องฟ้าที่พลาดไป, Vol. III ว่าด้วยสิ่งที่อยู่ใต้เท้ามาตลอด และ Vol. IV ค่อย ๆ บีบวงเข้ามาที่ตัวผู้เข้าชมเอง
    • หน้าเว็บนี้สร้างโดย Matt ที่ Rise Up Labs และฉบับถัดไปจะเผยแพร่บน X และ Bluesky

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 1 시간 전
ความเห็นจาก Hacker News

  • ฉันไม่ได้อยู่ในเมืองนั้นด้วยซ้ำ ถ้ามองกว้าง ๆ ก็แค่รัน อะไรทำนอง Linux กับ Chrome อยู่เท่านั้น และไม่มีใครอนุมานได้ว่าฉันทำงานตอนไหนหรือนอนตอนไหน เพราะฉันเองก็ยังไม่รู้เลย
    ที่บอกว่าเป็นจอรุ่นใหม่ระดับไฮเอนด์ ก็จริง ๆ คือจอแท็บเล็ตราคาถูกที่ซื้อมาจากซูเปอร์มาร์เก็ตเมื่อ 5 ปีก่อน แต่ถึงอย่างนั้น การเก็บลายนิ้วมือเบราว์เซอร์ ก็ยังน่ารำคาญอยู่ดี ถ้าตรวจจับโหมดสว่างได้ ก็ช่วยเคารพการตั้งค่านั้นด้วยไม่ได้หรือ?

    • ปริมาณการเก็บลายนิ้วมือที่หน้านี้แสดงยังถือว่าน้อยมากเมื่อเทียบกับสิ่งที่เกิดขึ้นจริงบนเว็บ
    • เปอร์เซ็นต์แบตเตอรี่ก็ผิด สถานะการชาร์จก็ผิด และเรื่องที่บอกว่าถ้าตรวจจับโหมดสว่างได้ก็ควรเคารพก็ตลกดี แต่ถึงทำจริงก็คงยังเป็น หน้าจอขยะคอนทราสต์ต่ำ อยู่ดี
    • มันบอกว่าฉันอยู่ “Los Angeles” แต่จริง ๆ แค่ เขตเวลา ของฉันเป็นฝั่งนั้นเท่านั้นเอง แล้วก็ทำเหมือนจับผิดได้เพราะมีภาษาสำหรับป้อนข้อมูลสองภาษา ทั้งที่ฉันก็แค่ใช้ภาษาที่สองบ่อย
      มันบอกว่า “English · Chinese” แล้วทำเหมือนว่าภาษาหลักของเบราว์เซอร์กับภาษาเพิ่มเติมสามารถบอกถิ่นกำเนิด ที่อยู่อาศัย หรือแม้แต่คนที่อยู่ด้วยกันได้ แต่การมีภาษาอังกฤษกับภาษาจีนเป็นภาษาป้อนข้อมูลไม่ได้บอกอะไรแบบนั้น มันคล้ายกับการพูดว่า “การที่คุณเล่นเน็ตผ่านมือถือ แปลว่าคุณเป็นคนที่สามารถต่ออินเทอร์เน็ตผ่านมือถือได้” เทคโนโลยีต่าง ๆ มีปฏิสัมพันธ์กัน และนั่นแหละคือวิธีที่เทคโนโลยีทำงาน มันก็มีความ Orwellian อยู่บ้าง แต่จะ Orwellian กว่ารัฐสอดส่องอย่างรัสเซีย/จีน/เกาหลีเหนือไหมก็อีกเรื่องหนึ่ง การแชร์ตำแหน่งช่วยตามหามือถือ รถ หรืออุปกรณ์ได้ กิจกรรมออนไลน์ช่วยตามหาคนร้ายได้ และยังบันทึกเหตุการณ์ที่เป็นอาชญากรรมหรือจำเป็นต้องตรวจสอบความรับผิดชอบของตำรวจได้ด้วย การมอง การล่วงล้ำเกินพอดี ของเทคโนโลยีเป็นหายนะก็เป็นทางเลือกทางการรับรู้แบบหนึ่ง แต่การตระหนักว่าเทคโนโลยีของเรารู้อะไรเกี่ยวกับเราบ้างก็เป็นเรื่องที่ดี
    • พอใช้ Apple Private Relay VPN แล้วตำแหน่งคลาดไปหลายร้อยไมล์ การดูว่าเว็บไซต์หรือบริการต่าง ๆ มองว่าฉันอยู่ที่ไหนจากฐานข้อมูลตำแหน่งก็น่าสนใจเสมอ และถ้าปิดมันก็จะระบุตำแหน่งได้ใกล้ในระดับไม่กี่ไมล์ โชคดีที่แทบไม่มีที่ไหนบล็อก Apple VPN เลย จึงไม่จำเป็นต้องปิด
      เห็นด้วยมากกับเรื่องโหมดสว่าง ฉันอายุสามสิบกลาง ๆ แต่เว็บโหมดมืดบางเว็บทำให้รู้สึกเหมือนตัวเองอายุแปดสิบปลาย ๆ เว็บนี้คือมองอะไรแทบไม่เห็นจริง ๆ
    • ของฉันก็ไม่ตรงเหมือนกัน มันขึ้นว่า Brussels แต่จริง ๆ ฉันอยู่ Antwerp และความละเอียดหน้าจอก็ผิดด้วย

  • อยากให้พวกสายปกป้องความเป็นส่วนตัวพูดกันแบบปกติสักครั้ง การพยายามทำให้การที่เบราว์เซอร์เข้าถึง เขตเวลา ดูเป็นเรื่องชั่วร้ายคงไม่ทำให้ใครคล้อยตามหรอก

    • “คุณชอบอินเทอร์เฟซมืด — ระบบปฏิบัติการของคุณบอกเรา” อะไรแบบนี้ แปลว่าสิ่งที่ฉันตั้งค่าไว้ทำงานตามที่ตั้งใจ แล้วมันน่ากลัวตรงไหน?
    • เห็นด้วย ข้อมูลอย่างภาษา การใช้ดาร์กโหมด หรือเขตเวลา เอาไปใช้เพื่อให้ประสบการณ์ใช้งานดีขึ้นได้ ฉันเลยไม่ได้ใส่ใจมาก
    • มันเป็น สำนวน LLM สั้น ๆ แบบที่ชอบทำให้ทุกอย่างดูดราม่า จนน่ารำคาญเหมือนเสียงเล็บขูดกระดาน
    • แต่ถ้าทั้งโลกมีแค่ฉันคนเดียวที่อยู่ในเขตเวลานี้ ก็เท่ากับระบุตัวฉันได้แบบเฉพาะเจาะจงแล้วไง!

  • ประเด็นสำคัญไม่ใช่ว่าข้อมูลแม่นหรือไม่ แต่คือมันสามารถใช้ระบุตัวฉันได้โดยไม่ต้องใช้คุกกี้ ฉันไปเจอเว็บที่ดีกว่าแล้ว และของ EFF มีประโยชน์มาก
    ลายนิ้วมือเบราว์เซอร์ของฉันถูกระบุว่าไม่ซ้ำกับผู้เยี่ยมชมในช่วง 45 วันที่ผ่านมา: https://coveryourtracks.eff.org/

    • ของฉันขึ้นว่า “คุณมีการป้องกันการติดตามบนเว็บที่แข็งแกร่ง” แค่ Firefox + uBlock Origin ในโหมดขั้นสูง โดยไม่ต้องปิด JavaScript จนเว็บใช้งานไม่ได้ ก็ทำให้อดรักไม่ได้แล้ว
    • ถ้ารันเว็บแบบนั้นหลายครั้ง มันก็น่าจะไม่ควรขึ้นว่าไม่ซ้ำทุกครั้งไม่ใช่เหรอ?
    • อย่างน้อยในยุโรป ถึงจะใช้ การเก็บลายนิ้วมือ แทนคุกกี้ GDPR ก็ยังมีผลอยู่ ถ้าจะใช้ข้อมูลนี้ก็ต้องเปิดเผยและจัดการข้อมูลให้ถูกกฎหมาย
    • แนวคิดแบบ “ความกลัว ความไม่แน่นอน และความสงสัย จะไม่แม่นก็ไม่เป็นไร” ฟังดูแปลก ๆ นะ
    • ถึงอย่างนั้นข้อมูลที่ไม่แม่นก็ดีกว่า ถ้าเว็บจะมาตามติดฉันแบบเสียมารยาท อย่างน้อยฉันก็ยังป้อน ข้อมูลขยะที่ไม่ซ้ำใคร ให้มันได้

  • ถ้าเข้าเว็บโดยไม่ใช้ JavaScript จะขึ้นว่า “เมื่อปิด JavaScript หน้าเว็บไม่สามารถบอกคุณได้ว่าเบราว์เซอร์ของคุณเปิดเผยอะไรไปบ้าง ข้อมูลยังคงอยู่ การเปิดเผยยังคงเกิดขึ้น สิ่งเดียวที่หยุดคือการบอกคุณเท่านั้น”
    สำนวน LLM เว่อร์ ๆ แบบนี้น่ารำคาญมาก แต่ก็ต้องขอบคุณที่มันส่งสัญญาณชัดเจนว่าฉันควรเมินมันทิ้งได้เลย

  • ไม่รู้ว่าเพราะฉันแก่แล้ว หรือเพราะทำซอฟต์แวร์อินเทอร์เน็ตมาเกือบ 30 ปี แต่ไม่มีอะไรในนี้ที่ทำให้ฉันแปลกใจหรือกังวลเลย
    มีคนตั้งเซิร์ฟเวอร์ที่รับการเชื่อมต่อ และมีคนส่งคำขอเชื่อมต่อไปยังเซิร์ฟเวอร์นั้น โดยไม่มีข้อตกลง ความคาดหวัง หรือกติกาอะไรที่ตกลงร่วมกันไว้เลย เซิร์ฟเวอร์ก็ไม่ได้มีหน้าที่ต้องรับทุกการเชื่อมต่อ และใครก็ไม่ได้มีหน้าที่ต้องส่งคำขอไปยังเซิร์ฟเวอร์นั้นด้วย เซิร์ฟเวอร์จะส่งอะไรกลับมา และไคลเอนต์จะจัดการสิ่งนั้นอย่างไร ก็เป็นเรื่องของแต่ละฝ่าย
    ฉันรู้สึกว่าข้อตกลงนี้ หรือการไม่มีข้อตกลงนี้ ใช้ได้กับทั้งสองฝั่งเหมือนกัน ฉันไม่คิดว่าผู้ใช้ควรโกรธที่เว็บไซต์เอาข้อมูลคำขอเชื่อมต่อไปใช้ตามที่ต้องการ แต่เว็บไซต์ก็ไม่ควรโกรธถ้าฉันจัดการข้อมูลที่ได้รับมาตามใจฉันเหมือนกัน กล่าวคือ เว็บไซต์จะจำ IP address กับรายละเอียดคำขอของฉันไว้มากแค่ไหนก็ได้ และฉันก็มีสิทธิทำอะไรก็ได้กับสิ่งที่ได้รับตอบกลับมา จะบล็อกโฆษณา จะไม่ทำคำขอถัดไปที่เว็บสั่ง หรือจะแสดงผลตอบกลับในแบบที่ฉันต้องการก็ได้ ฉันเป็นคนขอข้อมูล และฝั่งนั้นเป็นคนส่งข้อมูลมา
    ถ้ามีข้อมูลบางอย่างที่คุณไม่อยากให้รู้ ก็ไม่ควรแนบไปกับคำขอ ถ้าอยากให้ส่งข้อมูลเฉพาะตอนจะแสดงโฆษณา ก็ต้องทำให้ผู้ใช้ยินยอมแบบนั้นก่อนส่งข้อมูล แน่นอนว่าในโลกจริง คนส่วนใหญ่ไม่รู้ว่าเบราว์เซอร์ทำอะไรอยู่ แทบไม่มีทางเลือกจริงจังเกี่ยวกับสิ่งที่เบราว์เซอร์ส่งออกไป และอินเทอร์เน็ตก็ไม่ใช่สิ่งที่เลือกไม่ใช้ได้อีกต่อไป เรื่องอย่าง DDoS ก็ทำให้โครงสร้างแบบ “อะไรก็ได้ทั้งนั้น” ใช้งานจริงยากเหมือนกัน แต่ถึงอย่างนั้นฉันก็ยังมีสัญชาตญาณว่า เวลาส่งคำขอผ่านอินเทอร์เน็ต เราไม่ควรคาดหวังอะไรจากทั้งสองฝั่งมากเกินไป

    • นี่แหละคือปัญหาที่รากฐาน เบราว์เซอร์ควรเป็นตัวแทนของผู้ใช้ มันชื่อว่า User Agent ตั้งแต่แรก มันควรทำงานเพื่อผู้ใช้ ผู้ใช้ควรรู้ว่าเบราว์เซอร์กำลังทำอะไร และเบราว์เซอร์ไม่ควรทำสิ่งที่ผู้ใช้ไม่เข้าใจและไม่ได้ยินยอมอย่างชัดเจน อำนาจตัดสินใจขั้นสุดท้ายว่ามันจะส่งอะไรออกไปควรอยู่ที่ฉัน และเบราว์เซอร์ควรทำให้การใช้อำนาจนั้นเป็นเรื่องง่าย
      แต่ในความเป็นจริง เบราว์เซอร์กลับเป็นตัวแทนของคนอื่น มันทำงานเพื่อเว็บดีเวลอปเปอร์และใส่ทุกอย่างที่ช่วยให้ชีวิตนักพัฒนาง่ายขึ้น มันทำงานเพื่อผู้ลงโฆษณาและมอบเบาะแสสำหรับการติดตามกับการเก็บลายนิ้วมือ มันทำงานเพื่อผู้พัฒนาเบราว์เซอร์เองและเก็บเมตริก เทเลเมทรี และข้อมูลอื่นอีกไม่รู้เท่าไร แต่มันไม่ได้ทำงานเพื่อฉันจริง ๆ อีกต่อไป ฉันเป็นแค่ผู้โดยสารที่นั่งอยู่ในรถเท่านั้น
      ฉันเข้าใจว่า IP address ไม่ใช่สิ่งที่เบราว์เซอร์ควบคุมได้ และถ้าจะเชื่อมต่อกับเว็บไซต์ก็เลี่ยงไม่ได้ที่จะเปิดเผยมัน แต่การที่ IP address แบบปกติโดยไม่ใช้ VPN สามารถแมปไปถึงระดับประเทศ รัฐ/จังหวัด หรือบางครั้งถึงเมืองได้อย่างเสถียร นี่คือความผิดพลาดด้านการออกแบบที่เลวร้ายมาก เป็นปัญหาใหญ่ของวิธีจัดสรร IP ในโลกที่ดีกว่านี้ การรู้แค่ IP address ไม่ควรเปิดเผยตำแหน่งทางภูมิศาสตร์ของใครได้
    • ข้อความอย่าง “เรารู้อย่างอื่นอีก แต่เลือกที่จะไม่แสดง ส่วนใหญ่ของหน้าเว็บอาจจะไม่เลือกแบบนั้น” ให้ความรู้สึกเหมือนเขียนมาไว้ขู่เด็กเลย แถมสิ่งที่แสดงออกมาก็ไม่ใช่ ผู้ให้บริการอินเทอร์เน็ต ของฉันด้วย อาจจะเป็นผู้ให้บริการต้นทางของ ISP อีกทีมากกว่า
    • ฉันก็แก่เหมือนกัน แต่เพราะยังมีอุดมคติอยู่หรือเปล่าไม่รู้ ฉันเลยมองว่าฟีเจอร์จำนวนมากพวกนี้ถูกเพิ่มเข้ามาเพื่อจุดประสงค์ที่ชัดเจน
      ตอนที่ไคลเอนต์ส่ง language header หรือรายชื่อฟอนต์ที่รองรับ มันไม่ได้หมายความว่าเซิร์ฟเวอร์ได้รับสิทธิ์ให้ “ทำอะไรก็ได้ตามใจด้วยข้อมูลนี้” ตอนที่เราสร้างมาตรฐานพวกนี้ขึ้นมา มันมีเหตุผลจริง ๆ ผู้ให้บริการเว็บไซต์ หรือเจาะจงกว่านั้นคือเครือข่ายโฆษณา ที่เลือกเอาสิ่งเหล่านี้ไปใช้ในจุดประสงค์อื่น กำลังละเมิด ข้อตกลงโดยนัย นั้นอยู่ แน่นอนว่าอาจเป็นฉันเองที่คาดหวังมากเกินไป
    • ตำแหน่งผิดแบบน่าขำ และอย่างที่คนเขียนความเห็นในที่นี่พึงรู้ ฉันก็รู้เหตุผลว่าทำไม การซ่อน IP address ทำแบบเด็ก ๆ ไปหน่อย แต่ถ้าเลื่อนลงไปก็เริ่มดีขึ้น
      มันรู้ระดับแบตเตอรี่ในมือถือฉัน และเดาอุปกรณ์ได้ถูกต้อง มันอ่าน gyroscope และการโต้ตอบกับหน้าจอสัมผัสได้อย่างแม่นยำ และแสดงให้เห็นว่าสิ่งเหล่านี้จะถูกใช้เพื่อการระบุตัวตนและการอนุมานได้อย่างไร แม้กระทั่งเดาว่าคุณกำลังนั่ง ยืน หรือนอนอยู่ได้ ช่วงแรกค่อนข้างเฉย ๆ แต่หลังจากนั้นเริ่มน่าสนใจขึ้น
    • ดูเหมือนพวกคนเทคฯ รุ่นเก๋าอย่างพวกเรายังอยากเชื่อใน อุดมคติเสรีนิยมทางเทคโนโลยี ของเว็บยุคเก่าอยู่ แต่ถ้าจะเชื่อแบบนั้นก็ต้องมองข้ามอุดมคติแบบทุนนิยมและอำนาจนิยมของเว็บยุคใหม่ไปมากทีเดียว
      แนวคิดที่ว่าเราไม่ติดค้างอะไรต่อกันเลย เคยใช้ได้ดีพอสมควรในยุคที่สมมติว่าคนส่วนใหญ่มีเจตนาดี แต่เมื่อเงินและอำนาจบนอินเทอร์เน็ตกลายเป็นความจริง ความสัมพันธ์ก็กลายเป็นปฏิปักษ์มากขึ้น สมมติฐานเรื่องความไว้วางใจและการไม่มีความรับผิดชอบ ทำให้อีกฝ่ายใช้ประโยชน์จากความหวังดีของอีกฝ่ายได้ง่าย และเพราะโครงสร้างเซิร์ฟเวอร์-ไคลเอนต์ของเว็บมีความไม่สมดุลทั้งทางเทคนิคและทางอำนาจอยู่ในตัว การใช้งานในทางที่ผิดจึงมักไหลไปทางเดียว

  • เว็บนี้สวย และข้อความเว่อร์ ๆ ก็พอขำดี แต่มี เดโมการเก็บลายนิ้วมือ ที่ดีกว่านี้เยอะ
    จำนวนจุดข้อมูลที่แสดงที่นี่มีน้อย ยังมีสิ่งที่ตรวจได้อีกมาก และหลายอย่างก็ดูเหมือนจะผิด มันตรวจพบแบบชัดเจนว่า “withheld” แค่รายการเดียว แต่จริง ๆ น่าจะมีอีกหลายอย่างที่ถูกปิดไว้จนทำให้ผลลัพธ์เพี้ยน ต้องปรับปรุงเรื่องคุณภาพ

    • โทนเว่อร์ ๆ นั้นตลกดีประมาณว่า “คุณอยู่ที่ [เมืองที่ผิด] เราส่งทีมนินจาไปฆ่าคุณได้เดี๋ยวนี้ แต่เราเลือกที่จะไม่ทำ ดังนั้นก็จงขอบคุณซะ”
    • สรุปแล้วก็คือ โปรเจ็กต์ของกระจุกกระจิกที่สร้างด้วย AI อีกอันหนึ่ง ฉันเห็นสไตล์ UI แบบนี้มาหลายสิบครั้งแล้ว และมันก็มักมาพร้อมประโยคยืดยาวโอเวอร์ ๆ ที่ดูออกทันที

  • เหมือนเอา EFF Cover Your Tracks ไป vibe coding และการที่มันขึ้นหน้าแรกได้ น่ากลัวยิ่งกว่าตัวเนื้อหาอีก

    • ใช่ ดูเหมือนหน้าที่สั่งว่า “ช่วยก็อปสิ่งนี้แบบไม่ให้ดูชัด แล้วใส่ธีม landing page หรู ๆ ให้ด้วย” มันดูแย่มาก
    • เป็นบัญชีที่สมัครมา 21 วัน ยังไม่เคยคอมเมนต์เลย ไม่ได้ตามเธรดนี้ด้วย ไม่เคยตอบกลับใคร และก็คงจะไม่ตอบในอนาคตด้วย การที่โพสต์แบบนี้ไม่โดนรายงานนี่แหละที่กำลังทำลาย Hacker News

  • ยังมีอะไรให้ดูได้มากกว่านี้อีกเยอะ มีงานก่อนหน้ามากมายเกี่ยวกับ super cookie และการเก็บลายนิ้วมือ
    https://coveryourtracks.eff.org/
    https://amiunique.org/

    • น่าสนใจ ฉันลองรันเว็บของ EFF แล้ว ในข้อมูลหลายอย่างมันระบุว่าฉันเป็น “MacIntel” ทำเอาตกใจนึกว่าตัวเองยังรัน Firefox รุ่น x86 อยู่
    • ทั้งสองลิงก์อยู่ในโมดัล Sources & Confessions ด้านล่าง Cover Your Tracks คือบรรพบุรุษทางความคิดของงานทั้งหมดนี้ ส่วน amiunique เข้มงวดกว่า อันนี้เหมือนญาติสายทำเองของมันมากกว่า
    • ยังมีเครื่องมือตรวจการรั่วไหลของข้อมูลอีกตัว: https://www.ipleak.com/full-report/

  • ว้าว ดูเหมือนมีคนใช้ ChatGPT แล้วเพิ่งค้นพบแนวคิดเรื่อง browser header ก่อนจะแปะประโยคแปลก ๆ อย่าง “เราเลือกที่จะไม่บอกคุณ” เข้าไป
    ถ้าอยากรู้จริง ๆ ว่าเบราว์เซอร์ส่งอะไรออกไป ให้ดูที่นี่:
    https://browserleaks.com/
    https://coveryourtracks.eff.org/

  • “เราไม่ได้ขอตำแหน่งของคุณ ที่อยู่ของคุณมาถึงก่อนตัวคุณ” เป็นคำพูดไร้สาระ ฉันเอา IP address ของตัวเองไปให้ API/บริการระบุตำแหน่งค้นหา ดังนั้นมันก็คือการขอตำแหน่งของฉันอยู่ดี
    และในการสื่อสารทางอินเทอร์เน็ต IP แทบเป็นสิ่งจำเป็นอยู่แล้ว แน่นอนว่ามีบริการช่วยซ่อนมันได้ แต่ถ้าใช้แบบนั้น บริการนั้นก็จะเป็นฝ่ายมีข้อมูลของฉันแทน

    • ไม่ใช่ เบราว์เซอร์มีกลไกสำหรับขอข้อมูลตำแหน่งอยู่ และคำว่า “ขอ” ในที่นี้หมายถึงมันไม่ได้ใช้กลไกนั้น ประเด็นสำคัญคือมันไม่ได้ถามผู้ใช้โดยตรง
      ถ้ามีพจนานุกรมอยู่ คุณก็ไม่จำเป็นต้องถามคู่สนทนาโดยตรงว่าคำนั้นหมายความว่าอะไร คุณเปิดพจนานุกรมดูก็ได้ แน่นอนว่าคำนั้นอาจมีหลายความหมายหรือเป็นภาษาพูด จึงอาจเดาผิดได้ ถ้าจะให้แก้ความไม่แม่นนั้น คุณก็อาจต้องใช้ข้อมูลอื่นอย่างบริบทของบทสนทนา หรือไม่ก็ถามเจ้าตัวเพื่อยืนยันโดยตรง
    • เหมือนคุณอ่านผิด มันไม่ได้หมายถึง “ไม่ได้ถามใครเลย” แต่หมายถึง ไม่ได้ถามผู้ใช้โดยตรง
      และแน่นอนว่า ที่อยู่ต้องมาถึงก่อนอยู่แล้ว ไม่งั้นก็ส่งข้อมูลที่ขอคืนกลับไปไม่ได้
    • พร็อกซีหลายฮอป แบบคล้าย Tor เป็นที่รู้กันว่าหากออกแบบถูกต้อง จะไม่สามารถจับคู่ IP ต้นทางกับ IP ปลายทางได้