注意canvas的惡意追蹤 小心別洩露個人網路足跡

對許多網路使用者而言，為了保存或對朋友分享曾經瀏覽過的網路內容，往往會在瀏覽器上安裝了一些免費的附加程式，卻忽略了在分享的同時，也可能將個人的網路瀏覽記錄，洩露給有意收集和使用個人資訊的網站業者。

根據KU Leuven and Princeton University的研究顯示，在全球許多知名的網站之中，已經有很多網站使用了一種類似於傳統cookie的技術，只要使用者在瀏覽器上按下了「分享」按鈕，網站就可以追蹤使用者在網路所走過的足跡。

這項技術叫做「canvas fingerprinting」，它使用了特別的腳本語言(scripts)，可以引導使用者的瀏覽器，自動向網站提供圖片和文字資訊。當使用者進入採用了追蹤技術的網站，它就會要求瀏覽器提供一個被隱藏的影像檔，並且指示瀏覽器去讀取圖片所內含的相關資訊。這些重要資訊包括了使用者的瀏覽器類型、電腦安裝的顯示卡、系統字型和螢幕顯示的設定等。由於每個使用者的電腦配備和相關設定都可能不同，因此就讓它成為一種可被追蹤的個人識別方式，就像個人的指紋一樣。

一旦這些資訊被網站獲取了，業者就可以建立起個人的識別方式，這就像傳統儲存在電腦用來追蹤瀏覽行為的cookie一樣。只是為了保護個人的隱私，使用者可以選擇不接受cookie或是把它直接清除，但是針對canvas fingerprinting的指紋式追蹤，目前仍沒有一個簡單容易的應對方案。

在2012年，canvas fingerprinting還是理論上可用來追蹤使用者網路行為的一種方法，如今卻已被廣泛地使用在真實世界的網站中。在這項研究裡，研究者總共掃描了10萬個世界知名的網站，發現有5542個網站已經使用了canvas fingerprinting的追蹤技術，而且有95%的資料蒐集腳本最後都指向了一家叫做AddThis的公司，它是目前世界上最大的一個內容分享平台網站，提供使用者可以免費在瀏覽器上安裝附加程式，以便新增「分享」的按鈕，讓使用者更容易地和朋友進行內容分享。

對此，AddThis承認已經測試並使用了canvas fingerprinting達五個月之久， 但所獲得的資訊僅供內部研究之用，有關追蹤的功能也已經在本月稍早前關閉了，而為了尊重使用者的隱私，未來也將提供更多的說明資訊在有關追蹤功能的測試上。

對於如何防範個人的網路行為被網站追蹤，研究者指出，canvas fingerprinting是非常先進的一種追蹤技術，目前只有一種瀏覽器Tor可以避免執行canvas fingerprinting的腳本，但也會產生在效能、功能和網頁內容顯示的問題。Abine的技術長Andrew Sudbury則表示，使用者也可以利用DoNotTrackMe工具來禁止瀏覽器回傳追蹤資訊給AddThis，其他還包括AdBlock和EasyPrivacy filter等工具也能達到同樣保護個人隱私的目的。不過，這些可能都只適用於懂得安裝設定的進階使用者，一般大眾可能仍難以防範網路隱私可能外洩的問題。

針對業者未經同意就使用追蹤技術的問題，研究者呼籲社會大眾應當重視有關個人網路隱私的問題，對於已經佈署這項技術的企業，也應當盡到告知大眾的義務，並且審慎合理地使用這種網路行為追蹤技術。