Canvas Fingerprinting: đã xóa cookie nhưng các trang web vẫn biết bạn là ai

Bạn đã xóa cookie. Bạn đã mở tab ẩn danh. Thậm chí bạn có thể đã chuyển sang dùng VPN. Thế nhưng một số trang web nhất định dường như vẫn nhận ra bạn, hiển thị quảng cáo về những thứ bạn đã tra cứu hôm qua, hoặc chặn bạn khỏi bản «dùng thử miễn phí» mà bạn đã sử dụng rồi.

Đây không phải trùng hợp ngẫu nhiên. Không phải lỗi hệ thống. Đó là canvas fingerprinting, một trong những phương pháp theo dõi hiệu quả nhất và ít bị phát hiện nhất được tích hợp vào web hiện đại. Và vào năm 2026, nó đang hoạt động trên hàng nghìn trang web bạn thường xuyên truy cập, bao gồm nhiều trang mà bạn cho là đáng tin cậy.

Canvas fingerprinting là gì

Canvas fingerprinting là một kỹ thuật theo dõi trình duyệt nhận diện thiết bị của bạn bằng cách đo lường cách nó hiển thị đồ họa ẩn, mà không lưu trữ bất cứ thứ gì trên hệ thống của bạn.

Đây là cơ chế hoạt động: 

• Khi bạn truy cập một trang web sử dụng canvas fingerprinting, trang đó chạy một đoạn mã kịch bản âm thầm ra lệnh cho trình duyệt của bạn vẽ một hình ảnh vô hình bằng HTML5 Canvas API. Bạn không bao giờ nhìn thấy nó. Quá trình này diễn ra trong vài phần nghìn giây. Việc hiển thị hoàn toàn xảy ra ngoài màn hình.

• Điểm mấu chốt là mỗi thiết bị vẽ hình ảnh đó một cách hơi khác nhau. Mẫu GPU của bạn, hệ điều hành, phông chữ đã cài đặt, phiên bản trình điều khiển đồ họa và cài đặt khử răng cưa đều ảnh hưởng đến đầu ra ở cấp độ pixel. 

• Trang web chuyển đổi hình ảnh đã hiển thị thành một mã băm: một chuỗi ký tự ngắn đại diện duy nhất cho cấu hình của bạn.

• Mã băm đó chính là dấu vân tay của bạn. Nó nhất quán. Nó có thể tái tạo. Và nó hoạt động đáng tin cậy như nhau trong chế độ ẩn danh cũng như trong trình duyệt thông thường của bạn.

Các trang web sử dụng nó như thế nào, và không phải tất cả đều xấu xa

Canvas fingerprinting phục vụ các mục đích khác nhau tùy thuộc vào ai đang triển khai nó.

• Mạng lưới quảng cáo sử dụng nó để xây dựng hồ sơ hành vi xuyên trang sau khi cookie của bên thứ ba suy giảm. Dấu vân tay của bạn kết nối hoạt động của bạn trên các tên miền không liên quan.

• Nền tảng thương mại điện tử sử dụng nó để phát hiện cùng một người dùng tạo nhiều tài khoản để lợi dụng ưu đãi khách hàng mới hoặc ưu đãi dùng thử.

• Tổ chức tài chính và đơn vị xử lý thanh toán sử dụng nó như một tín hiệu gian lận, gắn cờ các phiên mà trong đó một dấu vân tay quen thuộc đột ngột xuất hiện từ một mạng lưới hoặc cấu hình thiết bị bất thường.

• Nhà xuất bản truyền thông sử dụng nó để thực thi giới hạn bài viết đối với người dùng vượt qua tường phí bằng cách xóa cookie.

Một số ứng dụng trong số này có thể bào chữa được. Một ngân hàng phát hiện gian lận tài khoản là một cách sử dụng hợp lệ về tính nhất quán hành vi. Một mạng lưới quảng cáo xây dựng hồ sơ ngầm về nghiên cứu y tế của bạn trên các trang sức khỏe thì khó biện minh hơn đáng kể.

Canvas fingerprinting có thể được sử dụng để theo dõi bạn trên internet không

• Không giống như cookie, vốn bị cô lập theo từng tên miền riêng lẻ và dễ dàng bị xóa, một dấu vân tay canvas có thể được chia sẻ trên các mạng lưới quảng cáo và môi giới dữ liệu để xây dựng một hồ sơ xuyên trang thống nhất. 

• Hồ sơ này theo bạn bất kể bạn sử dụng trình duyệt nào, bạn có đăng nhập hay không, hoặc bạn xóa bộ nhớ cục bộ tích cực đến mức nào.

• Electronic Frontier Foundation đã xây dựng một công cụ công khai có tên Cover Your Tracks đặc biệt để chứng minh điều này. 

• Bạn có thể kiểm tra tính duy nhất dấu vân tay trình duyệt của riêng mình tại coveryourtracks. [Đọc về proxy CAPTCHA]

• Hầu hết mọi người phát hiện ra rằng trình duyệt của họ là duy nhất trong số hàng nghìn trình duyệt được kiểm tra.

Liệu Nó Có Hợp Pháp: Câu trả lời trung thực là hầu như không

Tại Liên minh Châu Âu, GDPR phân loại dấu vân tay thiết bị là xử lý dữ liệu cá nhân yêu cầu sự đồng ý rõ ràng của người dùng hoặc lý do chính đáng. Thực tế là việc thực thi còn lỏng lẻo, các thông báo bị chôn vùi, và phần lớn hoạt động lấy dấu vân tay diễn ra mà người dùng không hiểu họ đã đồng ý điều gì.

Tại Hoa Kỳ, không có luật liên bang nào trực tiếp quản lý việc lấy dấu vân tay canvas. CPRA của California đã mở rộng các biện pháp bảo vệ quyền riêng tư vào năm 2023, bao gồm một số hình thức lập hồ sơ, nhưng cơ sở hạ tầng thực thi vẫn còn yếu.

4 quan niệm sai lầm khiến mọi người tự tin sai chỗ

1. ‹Chế độ ẩn danh bảo vệ tôi.› Chế độ ẩn danh ngăn trình duyệt lưu dữ liệu cục bộ. Dấu vân tay canvas của bạn được tạo bởi phần cứng và phần mềm thiết bị, cả hai đều không thay đổi ở chế độ riêng tư. Dấu vân tay của bạn ở chế độ ẩn danh giống hệt dấu vân tay thông thường của bạn.

2. ‹VPN của tôi che giấu tôi.› VPN thay đổi địa chỉ IPhiển thị của bạn. Nó không làm gì với cấu hình kết xuất của bạn. Bạn có thể đứng sau VPN và vẫn có thể bị nhận dạng hoàn toàn qua dấu vân tay đồng thời. VPN và bảo vệ dấu vân tay giải quyết các vấn đề khác nhau về cơ bản.

3. ‹Chỉ các trang web đáng ngờ mới làm điều này.› Các nền tảng quảng cáo lớn nhúng các script lấy dấu vân tay trên các trang web xuất bản chính thống. Nếu một trang web chạy Google Ads, Meta Pixel, hoặc bộ phân tích của bên thứ ba, việc lấy dấu vân tay là có thể xảy ra cho dù chủ trang web có biết hay không.

4. ‹Trình chặn quảng cáo của tôi xử lý nó.› Đúng một phần. Trình chặn chặn nhiều script lấy dấu vân tay đã biết. Nhưng các script được nhúng trong mã bên thứ nhất, hoặc được phục vụ từ các miền chưa bị gắn cờ, thường xuyên vượt qua danh sách chặn tiêu chuẩn.

Trình bảo vệ dấu vân tay Canvas là gì, và phương pháp nào hiệu quả

Trình bảo vệ dấu vân tay canvas là công cụ chặn hoặc sửa đổi đầu ra API canvas mà các trang web thu thập. Có hai chiến lược:

• Chặn: Trả về dữ liệu canvas trống hoặc null. Có thể phát hiện được. Các trang web có hệ thống chống bot sẽ gắn cờ phản hồi canvas trống là dấu hiệu cho thấy có gì đó đang bị che giấu.

• Giả mạo/Ngẫu nhiên hóa: Đưa vào các biến thể ngẫu nhiên tinh vi ở cấp độ pixel trong mỗi đầu ra canvas. Trang web nhận được một dấu vân tay thay đổi với mỗi phiên, khiến việc theo dõi nhất quán trở nên không thể. Phương pháp này khó phát hiện hơn đáng kể.

Đối với việc sử dụng quyền riêng tư thực tế, ngẫu nhiên hóa thắng. Brave Browser triển khai điều này một cách tự nhiên; nó thêm nhiễu vào đầu ra canvas theo mặc định, mà không cần bất kỳ tiện ích mở rộng nào. Firefox, được cấu hình với CanvasBlocker đặt ở chế độ ngẫu nhiên hóa, đạt được kết quả tương tự.

Đối với các trường hợp sử dụng có rủi ro cao hơn, quản lý nhiều tài khoản doanh nghiệp, tiến hành nghiên cứu cạnh tranh, hoặc hoạt động ở quy mô lớn, các trình duyệt chống phát hiện chuyên dụng như Multilogin hoặc AdsPower đi xa hơn, tạo ra các môi trường trình duyệt tổng hợp hoàn toàn với dấu vân tay nội bộ nhất quán không bao giờ lặp lại giữa các hồ sơ.

Tại sao lớp mạng của bạn phải khớp

• Ngay cả một giả mạo canvas thuyết phục cũng tạo ra vấn đề nếu ngữ cảnh mạng của bạn kể một câu chuyện mâu thuẫn. 

• Nếu trình duyệt của bạn xác định là người dùng Chrome tiêu chuẩn trên Windows 11 ở Hà Lan, nhưng địa chỉ IP của bạn phân giải đến một trung tâm dữ liệu ở Lithuania, các hệ thống phát hiện tinh vi sẽ gắn cờ sự không nhất quán. 

• Dấu vân tay và danh tính mạng cần phải mạch lạc.

Cách CyberYozh tiếp cận vấn đề này

• CyberYozh xây dựng cơ sở hạ tầng proxy của mình với chính sự tương tác này trong tâm trí. 

• Mạng lưới proxy di động và proxy dân cư của họ định tuyến lưu lượng qua các địa chỉ thực được ISP cấp phát, mang theo tín hiệu tin cậy và các mẫu hành vi liên quan đến lưu lượng người dùng thực sự, thay vì các dấu hiệu datacenter làm suy yếu hầu hết các giải pháp proxy giá rẻ.

• Đối với người dùng chạy trình duyệt chống phát hiện hoặc công cụ bảo vệ vân tay canvas, điều này có ý nghĩa thực tế: hồ sơ trình duyệt tổng hợp của bạn cần một nền tảng mạng củng cố thay vì mâu thuẫn với nó. 

• Cơ sở hạ tầng của CyberYozh cung cấp điều này mà không yêu cầu cấu hình phức tạp hay mức giá doanh nghiệp.

• Đây là lựa chọn thân thiện với ngân sách nhất năm 2026 với điểm tin cậy cao nhất. 

• Mua proxy dân cư với giá $5,29/tháng và proxy di động với lưu lượng không giới hạn chỉ $1,7/ngày.

• Đây là loại chi tiết phân biệt cơ sở hạ tầng proxy được thiết kế cho các trường hợp sử dụng bảo mật với các dịch vụ thông thường tình cờ cung cấp luân chuyển IP. 

• Nếu bạn nghiêm túc với việc bảo vệ vân tay, lớp mạng cũng xứng đáng được chú ý tương tự.

Sáu bước thực tế cần thực hiện ngay bây giờ

1. Kiểm tra vân tay hiện tại của bạn trên coveryourtracks để xem trình duyệt của bạn thực sự độc đáo như thế nào trước khi làm bất cứ điều gì khác.

2. Bật tính năng ngẫu nhiên hóa canvas. Brave Browser làm điều này theo mặc định. Người dùng Firefox có thể cài đặt CanvasBlocker với chế độ ngẫu nhiên hóa được bật.

3. Sử dụng các hồ sơ trình duyệt riêng biệt cho các hoạt động riêng biệt; phân vùng hạn chế tương quan giữa các trang web.

4. Kết hợp bảo vệ vân tay với proxy dân cư nếu bạn đang làm bất cứ điều gì mà danh tiếng IP quan trọng.

5. Xem xét các script bên thứ ba đang chạy trên các trang web bạn sử dụng thường xuyên. Các tiện ích mở rộng trình duyệt như uBlock Origin cho bạn thấy điều này.