Bạn biết cookie chứ? Không phải bánh cookie, mà là cookie của trình duyệt, nó là một đoạn thông tin nhỏ được website lưu lại trong Safari, Chrome, Firefox, Opera... Mỗi website có thể đọc cookie của chính mình, cái này gọi là Same Origin Policy, một giới hạn cơ bản của thế giới web (cụ thể hơn là của trình duyệt) để tránh web này tò mò tọc mạch đi lấy thông tin của web khác.
Vậy lỡ mấy website chơi chung với nhau cần đọc cookie của nhau để quảng cáo thì sao? Khi đó những website này sẽ tham gia vào một ad network - mạng lưới quảng cáo. Lúc bạn truy cập vào website A, không chỉ website A để lại cookie mà ad network cũng để lại một cookie của riêng mình. Khi bạn vào tiếp website B đang tham gia cùng ad network với A, website B tuy không thể đọc được cookie của A nhưng ad network tích hợp trong B thì vẫn đọc được dữ liệu do ad network của A để lại. Đây gọi là Third Party Cookie và nó là nền tảng cơ bản để tính năng quảng cáo định hướng hoạt động.
Nhưng chuyện này xưa rồi. Giờ đây các nhà quảng cáo có một cách khác để theo dõi bạn: digital fingerprint.
Cơ chế hoạt động của phương thức nhận diện người dùng này như sau: các website sẽ thu thập thông tin về trình duyệt, hệ điều hành, font chữ và nhiều dữ liệu khác để tổng hợp lại thành một "hồ sơ" mô tả về bạn. Khi hồ sơ này đã được xây dựng hoàn chỉnh, nó có thể được chia sẻ với những website khác trong cùng ad network. Nói cách khác, bạn vẫn sẽ bị theo dõi ngay cả khi bạn tắt cookie.
Vậy lỡ mấy website chơi chung với nhau cần đọc cookie của nhau để quảng cáo thì sao? Khi đó những website này sẽ tham gia vào một ad network - mạng lưới quảng cáo. Lúc bạn truy cập vào website A, không chỉ website A để lại cookie mà ad network cũng để lại một cookie của riêng mình. Khi bạn vào tiếp website B đang tham gia cùng ad network với A, website B tuy không thể đọc được cookie của A nhưng ad network tích hợp trong B thì vẫn đọc được dữ liệu do ad network của A để lại. Đây gọi là Third Party Cookie và nó là nền tảng cơ bản để tính năng quảng cáo định hướng hoạt động.
Nhưng chuyện này xưa rồi. Giờ đây các nhà quảng cáo có một cách khác để theo dõi bạn: digital fingerprint.
Cơ chế hoạt động của phương thức nhận diện người dùng này như sau: các website sẽ thu thập thông tin về trình duyệt, hệ điều hành, font chữ và nhiều dữ liệu khác để tổng hợp lại thành một "hồ sơ" mô tả về bạn. Khi hồ sơ này đã được xây dựng hoàn chỉnh, nó có thể được chia sẻ với những website khác trong cùng ad network. Nói cách khác, bạn vẫn sẽ bị theo dõi ngay cả khi bạn tắt cookie.
Digital fingerprint là một khái niệm lớn, một khái niệm con của nó là canvas fingerprint, cũng đang được các hệ thống quảng cáo dùng khá nhiều. Khi người dùng truy cập vào một trang web, một đoạn script của website sẽ vẽ ra chữ dựa theo 1 font chữ và cỡ chữ do web đó quy định. Hình ảnh này được vẽ lên "canvas", một tính năng của HTML chuyên dùng để hiển thị đồ họa. Kế tiếp, script sẽ gọi hàm ToDataURL của canvas để xác định được dữ liệu về các pixel, cuối cùng nó mã hóa các pixel này thành một chuỗi hash, và chuỗi hash đó có thể giúp xác định chính xác bạn là ai. Hơi giống cookie, nhưng cách hoạt động khác nhau một tí, và chuỗi hash này cũng có thể được chia sẻ giữa nhiều website trong cùng ad network.
Bạn có thể tưởng tượng thế này. Bạn thường xuyên đi vô 1 trung tâm thương mại để mua sắm. Mới đầu bạn bước vô cửa hàng A, B, C, mấy người nhân viên ở các cửa hàng này sẽ ghi nhận lại màu tóc của bạn, dáng đi của bạn ra sao, bạn có xách cặp theo không, bạn mặc đồ màu gì... Sau đó họ sẽ gọi tiếp cho những cửa hàng D, E, F khác trong cùng trung tâm thương mại để báo "Ê mày, sắp có thằng này đi tới, chuẩn bị quảng cáo cho nó nhe, lúc ghé bên tao nó định mua mấy cái áo sơ mi xanh đó". Những người nhân viên ở cửa hàng D, E, F đâu cần biết tên, số điện thoại hay thông tin cá nhân nào của bạn đâu mà họ vẫn xác định được bạn.
Nếu bạn dùng ad block của trình duyệt để chặn quảng cáo từ các website thì cũng không giúp được nhiều, vì các website vẫn có thể luồng lách theo nhiều cách khác nhau, miễn sao đưa ra mẫu quảng cáo cho bạn coi là được.
Apple nói rằng Safari trên hệ điều hành mới của mình - macOS Mojave - sẽ hạn chế lượng dữ liệu mà các website có thể truy cập. Canvas chỉ có thể vẽ ra bằng font chữ tích hợp sẵn trong máy, cấu hình của trình duyệt cũng được đơn giản hóa chứ không liệt kê chi tiết, và các plugin cũ đều bị loại bỏ.
Bằng cách này, các website chỉ "nhìn" thấy bạn như bao người dùng Safari khác, không xác định cụ thể được bạn là ai. Ví dụ, tất cả những người dùng Safari trên Mojave khi vào Tinh tế đều sẽ giống y chang nhau, các bạn đều mặc cùng 1 bộ đồ, đeo cùng 1 loại kính, ngoại hình y chang nhau. Và khi ai cũng giống nhau, việc theo dõi từng người sẽ trở nên khó khăn hơn.
Trước đây những tính năng này thường được làm ở dạng opt-out, tức mặc định chúng được kích hoạt trên các trình duyệt và bạn phải tắt nó đi nếu không thích. Còn bây giờ Apple chuyển nó sang dạng opt-in, tức chỉ khi nào bạn bật thì nó mới được kích hoạt, mặc định sẽ bị tắt đi.
Firefox thì đang tích hợp một số công cụ cảnh báo cho bạn biết khi nào thì website có ý định đọc dữ liệu từ canvas để bạn có thể ngăn chặn kịp thời. Chrome thì thường không rõ ràng trong mảng này, cũng đúng thôi vì Google đang là một trong các ad network lớn nhất thế giới mà, hãng đâu thể tự hất đổ chén cơm của mình.
Quảng cáo
Có một website tên panopticlick.eff.org, nó sẽ giúp bạn xác định trình duyệt của bạn bảo vệ bạn tốt đến đâu và bạn có thể bị thu thập những thông tin nào. Bạn cũng sẽ thấy được chuỗi hash từ canvas fingerprint của mình.
Apple và các công ty làm trình duyệt hiển nhiên không thể chặn mọi loại công cụ theo dõi đang được các website triển khai. Người ta đầu tư rất nhiều tiền vào việc hiểu xem bạn đang làm gì trên Internet, và ngăn chặn nó rất khó, có khi đụng tới trải nghiệm người dùng nữa thì không hay.
Giống với những thứ khác trong lĩnh vực bảo mật và riêng tư. Đây là cuộc chiến giữa những người muốn quảng cáo và những người chống lại quảng cáo.
Tham khảo: Engadget