Firefox mở rộng tính năng ngăn chặn theo dõi bằng dấu vân tay trình duyệt

 (blog.mozilla.org)
1 điểm bởi GN⁺ 2025-11-12 | 1 bình luận | Chia sẻ qua WhatsApp
  • Firefox 145 áp dụng một bản nâng cấp quyền riêng tư quy mô lớn để chặn theo dõi bằng dấu vân tay trình duyệt (fingerprinting)
  • Theo dõi bằng dấu vân tay là phương thức kết hợp múi giờ, cài đặt hệ điều hành và các chi tiết khác của người dùng để tạo ra một mã định danh duy nhất, cho phép nhận diện người dùng ngay cả khi đã chặn cookie hoặc đang ở chế độ duyệt riêng tư
  • Cơ chế bảo vệ mới trước tiên được áp dụng trong chế độ Private Browsing và chế độ ETP Strict, phản ánh kết quả phân tích trên phạm vi toàn cầu dựa trên dữ liệu người dùng thực tế
  • Nhờ hệ thống phòng vệ được cải tiến, tỷ lệ người dùng có thể bị theo dõi bằng dấu vân tay đã giảm một nửa, triển khai cấu trúc bảo vệ nhiều lớp giúp giảm theo dõi mà không làm hỏng các tính năng web
  • Firefox hướng tới quyền riêng tư thông minh hoạt động tự động, mang lại cho người dùng môi trường để giành lại quyền kiểm soát web mà không cần tiện ích mở rộng bổ sung

Những cải tiến quyền riêng tư chính trong Firefox 145

  • Firefox 145 bao gồm một bản nâng cấp lớn nhằm chặn theo dõi bằng dấu vân tay trình duyệt (fingerprinting)
    • Theo dõi bằng dấu vân tay thu thập các chi tiết hệ thống của người dùng để tạo ra một ID số duy nhất
    • Có thể nhận diện người dùng ngay cả khi cookie bị chặn hoặc khi đang duyệt riêng tư
  • Mozilla xem việc xây dựng một hệ sinh thái web lành mạnh và minh bạch là mục tiêu dài hạn, và bản cập nhật lần này là một phần trong đó
  • Sau Enhanced Tracking Protection (ETP)Total Cookie Protection của Firefox, hãng tiếp tục mở rộng khả năng phòng vệ trước theo dõi bằng dấu vân tay

Nguyên lý và rủi ro của theo dõi bằng dấu vân tay

  • Theo dõi bằng dấu vân tay kết hợp múi giờ, hệ điều hành, thiết lập đồ họa và các thông tin môi trường tinh vi khác của người dùng để tạo ra một “dấu vân tay” duy nhất
  • Dấu vân tay này có thể được nhận diện giống nhau giữa các website và giữa các phiên truy cập, từ đó cho phép theo dõi liên tục và vô hình
  • Các tác nhân xấu có thể theo dõi người dùng trong thời gian dài mà không cần sự đồng ý, và thậm chí có thể nhận diện trong nhiều tháng ngay cả ở chế độ riêng tư
Quảng cáo

Cấu trúc của hệ thống phòng vệ được tăng cường

  • Mozilla đã phát triển hệ thống phòng vệ mới dựa trên phân tích toàn cầu dữ liệu trình duyệt của người dùng thực tế
    • Firefox được nêu là trình duyệt đầu tiên triển khai mức độ phân tích và phòng vệ như vậy
  • Tính năng phòng vệ mới trước tiên được áp dụng trong chế độ Private Browsing và chế độ ETP Strict, và dự kiến sẽ được mở rộng thành thiết lập mặc định trong tương lai
  • Nhờ hệ thống này, tỷ lệ người dùng có thể bị theo dõi bằng dấu vân tay đã giảm một nửa

Cách Firefox bảo vệ nhiều lớp

  • Ngoài việc chặn script theo dõi như trước đây, Firefox còn hạn chế chính lượng thông tin được cung cấp cho website
    • Ví dụ: thông tin phần cứng đồ họa cần cho tối ưu game, nhưng cũng có thể bị lạm dụng để theo dõi
    Quảng cáo
  • Từ năm 2021, Firefox từng bước bảo vệ các yếu tố dấu vân tay chính như kết xuất đồ họa, phông chữ và cách thực hiện phép toán
  • Ở các phiên bản gần đây, Firefox tăng cường bảo vệ phông chữ và chặn việc lộ chi tiết phần cứng như số lõi bộ xử lý, số điểm chạm cảm ứng, kích thước thanh tác vụ
  • Theo nghiên cứu của Mozilla, những cải tiến này đã giúp giảm khoảng một nửa tỷ lệ người dùng bị nhận diện là duy nhất

Cân bằng giữa tính năng web và quyền riêng tư

  • Firefox coi trọng sự cân bằng giữa việc cản trở theo dõi bằng dấu vân tay và duy trì tính năng web
    • Ví dụ, công cụ lịch hoặc hội nghị truyền hình cần thông tin múi giờ thực tế
  • Vì vậy, Firefox chỉ chặn các đường thu thập dấu vân tay dễ bị lạm dụng nhất trong khi vẫn giữ lại các chức năng thiết yếu
  • Nếu gặp vấn đề ở một website cụ thể, người dùng có thể tắt tính năng bảo vệ chỉ cho website đó
  • Mục tiêu là cung cấp quyền riêng tư mạnh mẽ mà không làm giảm trải nghiệm sử dụng

Kế hoạch tiếp theo và quyền kiểm soát của người dùng

  • Khi sử dụng Private Browsing hoặc chế độ ETP Strict, Firefox đã thực hiện các tính năng chống theo dõi trong nền
  • Bước tiến lần này là một cột mốc quan trọng trong việc xây dựng hệ thống bảo vệ thông minh hoạt động tự động mà không cần tiện ích mở rộng hay thiết lập bổ sung
  • Mozilla cho biết sẽ tiếp tục thúc đẩy trải nghiệm web lấy người dùng làm trung tâm và tăng cường quyền riêng tư
  • Khi nâng cấp lên Firefox mới nhất, người dùng có thể trực tiếp kiểm soát quyền riêng tư trực tuyến của mình

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-11-12
Ý kiến Hacker News

  • Tôi luôn chỉ dùng duyệt web riêng tư, nhưng cũng biết rằng hiệu quả chống theo dõi của nó không lớn
    Vì vậy tôi rất mừng khi những tính năng như thế này cuối cùng cũng bắt đầu được áp dụng
    Để duyệt web ẩn danh cần quá nhiều công sức, và các công ty thì vẫn cố lách ngay cả khi tôi chọn từ chối bị theo dõi
    Chỉ nhìn thái độ đó thôi cũng đủ thấy bản chất của họ — tham lam và thiếu minh bạch
    Tôi ước gì ở cấp quốc gia có thể cấm hẳn việc theo dõi nếu người dùng từ chối cookie, nhưng thực tế thì có lẽ các công ty sẽ vận động hành lang để ngăn những cơ chế bảo vệ như thế này của Firefox

    • Tiện ích mở rộng “Temporary Containers” rất hợp với tình huống này
      Có thể quản lý tách riêng thành các trang cá nhân cần đăng nhập, container để theo dõi, và các container tạm thời sẽ biến mất khi đóng lại
      Liên kết tiện ích Temporary Containers
    • Thay vì duyệt web riêng tư, dùng tính năng profile cũng là một lựa chọn hay. Mỗi profile được quản lý tách biệt hoàn toàn
    • Cũng có thể dùng Tor. Chỉ là sẽ tốt hơn nếu có cách tạo tài khoản Reddit
    • Tôi mong sẽ có những “nhân viên nhỏ bé nhưng còn lương tâm
      Những lập trình viên triển khai các tính năng xâm phạm quyền riêng tư vì tiền rốt cuộc cũng là một phần của cấu trúc doanh nghiệp
      Vô số người lao động trong vùng xám đang chống đỡ hệ thống này
    • GDPR của châu Âu đã xử lý vấn đề này rồi
      Có quy định yêu cầu phải có sự đồng ý không chỉ với cookie mà với toàn bộ việc thu thập dữ liệu cá nhân
      Gần đây ở nhiều khu vực khác cũng đang xuất hiện các luật tương tự

  • Firefox dành tài nguyên cho các tính năng như vậy là một quyết định tốt
    Tuy nhiên vì số lượng người dùng ít nên về mặt dấu vân tay trình duyệt (fingerprinting) lại bất lợi

    • Trước đây đã có người cho thấy thống kê trình duyệt có thể bị bóp méo đến mức nào
      Safari hay Firefox thường không hiện rõ trong các công cụ phân tích, nên nhìn sẽ có vẻ kém quan trọng hơn thực tế
      Nếu nhầm lẫn giữa thống kê phía client và phía server thì chênh lệch sẽ rất lớn
    • Tôi nghĩ dù có bị theo dõi thì tính bảo mật vẫn quan trọng hơn
      Dùng NoScript cùng với uBlock thì an toàn trước malvertising (quảng cáo độc hại)
      Wiki ví dụ về malvertising
    • Thỉnh thoảng tôi nghĩ User Agent của mình cũng giúp nhận diện tôi
      Nếu giả làm Chrome/Windows thì sẽ tốt hơn cho quyền riêng tư, nhưng nếu ai cũng làm thế thì sẽ trông như Firefox hay Linux không còn người dùng nữa
      Tôi muốn cho thấy rằng người dùng Firefox và Linux vẫn tồn tại
    • Nếu không chặn dấu vân tay một cách triệt để thì có khi còn phản tác dụng, làm điểm khác biệt càng nổi bật hơn

  • Trước đây tôi từng dùng một tiện ích tạo ‘profile ngẫu nhiên mới cho mỗi tab’, và nó làm hỏng hoàn toàn các thuật toán theo dõi
    Nhưng chức năng đăng nhập bị lỗi quá thường xuyên nên cuối cùng tôi đã ngừng dùng

  • Dạo này các trang được Cloudflare bảo vệ không còn hoạt động tốt trên Firefox
    Vì thế tôi đã thôi không vào các trang như vậy nữa, nhưng có vẻ cuối cùng cuộc chiến này sẽ thất bại

    • Tôi nghĩ widget bảo mật của Cloudflare đã gây hại cho toàn bộ internet. Họ cần đưa ra giải pháp khác
    • Tôi tò mò không biết triệu chứng cụ thể là gì. Chỉ xảy ra ở chế độ bảo vệ mạnh của Cloudflare thôi sao? Tôi chỉ dùng Firefox nhưng chưa thấy vấn đề đó
    • Tôi chỉ dùng Firefox qua Mullvad VPN và chưa từng gặp vấn đề với Cloudflare hay CAPTCHA
    • Vấn đề bạn gặp có khả năng cao là do một cấu hình cụ thể nào đó. Không phải mọi trang Cloudflare đều không chạy trên Firefox

  • Trước đây khi tôi thử trên fingerprint.com, ngay cả khi dùng resistFingerprinting và VPN thì hash cũng hầu như không thay đổi
    Chỉ khi đổi profile thì nó mới khác đi, còn vào năm 2021 thì mỗi lần khởi động lại đều thay đổi

    • Có lẽ fingerprint.com đã tăng cường thuật toán phát hiện
      Trường hợp của tôi là trong vài ngày nó vẫn nhận là cùng một profile, rồi đột nhiên lại chuyển thành “người dùng lần đầu”
      Tôi cũng không biết có chính sách TTL hay không
      Trong khi đó trên Mullvad Browser thì có vẻ như tôi được gom chung với những người dùng ngẫu nhiên trên khắp thế giới

  • Yếu tố ảnh hưởng lớn nhất đến dấu vân tay của tôi là kích thước canvas
    Do thiết lập tùy chỉnh để vừa toàn màn hình nên nó trở thành một kích thước độc nhất
    Cơ chế bảo vệ của Firefox là mở cửa sổ mới ở kích thước mặc định, nhưng vì cấu hình toolbar của tôi nên nó vẫn là duy nhất
    Sẽ hay hơn nếu có tính năng thêm sai số ngẫu nhiên khoảng 5~10 pixel cho mỗi container

    • Để chống canvas fingerprinting,
      trong about:config hãy đặt privacy.resistFingerprinting thành true,
      privacy.resistFingerprinting.letterboxing thành true
      Khi đó nó sẽ được căn về kích thước chung và xuất hiện viền letterbox màu xám
    • Giờ thì tôi cũng hiểu vì sao mình bị chặn bởi giới hạn paywall
      Là vì tôi dùng Tree Style Tab nên tạo ra tỷ lệ màn hình bất thường
      Tôi định sẽ thử điều chỉnh chiều rộng để kiểm tra

  • Tôi đã xem danh sách các mục bảo vệ dấu vân tay của Firefox (liên kết tài liệu chính thức)
    Ở góc độ nhà phát triển thì khá bất ngờ. Đặc biệt là việc biến đổi dữ liệu canvas nghe có phần khá mạnh tay

    • Đúng là kiểu tình huống “thế giới nơi ta không thể có những tính năng tốt đẹp

  • Thật tiếc là về cơ bản Firefox làm hỏng các trang dùng canvas imageData API
    Không có cách nào hỏi quyền người dùng nên cũng khó cung cấp quy trình xin đồng ý

    • Tôi tò mò không biết những trang nào bị ảnh hưởng

  • Tôi đã dùng CanvasBlocker, Decentraleyes, NoScript Security Suite rồi
    Nếu có thêm nhiều cơ chế bảo vệ hơn nữa thì tốt, nhưng có lẽ sẽ mất thời gian để áp dụng sang Waterfox

    • Nhưng những add-on bổ sung như vậy có thể lại khiến việc theo dõi dễ hơn
      Vì chặn canvas, tắt JS, các request mạng khác thường... đều làm tăng thông tin nhận diện (entropy)
      Dự án Tor cũng không khuyến nghị cài ad blocker vì lý do này
    • Trước đây tôi cũng từng thử đủ loại cấu hình chống theo dõi, nhưng trang web bị lỗi quá thường xuyên nên cuối cùng bỏ cuộc
      Điều quan trọng là cân bằng giữa khả năng sử dụngmức độ bảo vệ

  • Tôi nghĩ cách thêm nhiễu vào hình ảnh là khá rủi ro
    Khi triển khai tính năng chỉnh sửa ảnh bằng JavaScript thì dữ liệu có thể bị hỏng

    • Dù vậy, theo bài báo thì tính năng đó có thể tắt theo từng trang web