ClientRects

1. ClientRects trong Dấu vân tay Trình duyệt là gì

Phương thức getBoundingClientRect() trả về kích thước của một phần tử và vị trí của nó so với khung nhìn. Các trang web hiện đại sử dụng điều này để tạo dấu vân tay người dùng bằng cách phân tích cách các API bố cục JavaScript và phép tính hiển thị của trình duyệt hoạt động trong các điều kiện khác nhau:

• Cài đặt DPI / Chia tỷ lệ
• Sự khác biệt khi tải phông chữ
• Các biến thể mức độ thu phóng
• Engine bố cục trình duyệt (ví dụ: các kiểu Blink, WebKit, Gecko)

Một số nền tảng chống gian lận quan sát các mẫu như:

• Độ chính xác của chia tỷ lệ đến từng sub-pixel
• Xử lý làm tròn và số thập phân của các vị trí bố cục dựa trên số thực
• Sự khác biệt kích thước tương đối giữa các vùng chứa ẩn tiêu chuẩn được sử dụng để kiểm tra

Mặc dù thường bị bỏ qua, dấu vân tay ClientRects có thể lộ hành vi khả năng chia tỷ lệ của trình duyệt rất nhất quán giữa các phiên — và cực kỳ khó ngụy trang nếu không làm hỏng chức năng UI liên quan đến bố cục.

2. Cách các Nền tảng Phát hiện Dấu vân tay ClientRects

Các hệ thống chống gian lận có thể tạo dấu vân tay trình duyệt bằng cách:

1. Đo tọa độ hộp của các phần tử kiểm tra vô hình: Bằng cách ẩn các phần tử ngoài màn hình hoặc vĩnh viễn trong bố cục, chúng có thể so sánh các giá trị hình chữ nhật (rect) mong đợi với các giá trị thực tế để tìm ra dấu hiệu giả mạo.
2. Quan sát hành vi chia tỷ lệ trong khi thu phóng: Một phương pháp đơn giản nhưng hiệu quả — các nhà quan sát theo dõi sự biến đổi và cập nhật hình chữ nhật của trình duyệt bạn trong quá trình “thu phóng” hoặc thay đổi kích thước mô phỏng và logic đối chiếu.
3. Rò rỉ phép tính số thực: Sự khác biệt nhỏ về độ chính xác của số thập phân có thể xác định engine bố cục bên trong của trình duyệt — ví dụ, Chrome tính toán khác với Safari hoặc Firefox.
4. Tính nhất quán của kiểu CSS: Một số hệ thống tiên tiến khai thác các biến thể reflow và relayout gây ra bởi các cập nhật kiểu xuất hiện trong dữ liệu rect để suy luận sự không nhất quán của trình duyệt.
5. Kiểm tra làm tròn kích thước phông chữ: Các phần tử kiểm tra được hiển thị trước với kích thước phông chữ cố định có thể tiết lộ các engine hiển thị phông chữ, thường liên quan đến các loại hệ điều hành như Windows, macOS hoặc Linux/Android.

Nếu các số thực hiển thị bố cục quá “sạch” về mặt toán học hoặc không thay đổi dù chỉ một quy tắc hiển thị nhỏ nhất — điều mà FlashID tạo ra theo một mô hình sai lệch thực tế — thì các engine chống dấu vân tay sẽ ghi nhận chúng là các bất thường.

3. Cách FlashID Che giấu Dấu vân tay ClientRects

Không giống như các nền tảng chỉ giả mạo các giá trị cấp cao, FlashID cung cấp quyền kiểm soát lớp chi tiết để mô phỏng các hành vi chia tỷ lệ chân thực, đảm bảo:

• Tính nhất quán rõ ràng của phép toán pixel, đồng thời vô hiệu hóa khả năng truy vết một cách tinh vi
• Các mẫu ngẫu nhiên tự nhiên, mô phỏng sự khác biệt hiển thị thực tế

Các giải pháp dấu vân tay ClientRects của FlashID bao gồm:

1. Giả mạo ClientRect thông qua thao tác phần tử động: FlashID chèn và giải quyết các phép đo hình chữ nhật một cách động, trả về các giá trị rect có thể chấp nhận được nhưng tùy chỉnh dựa trên từng hồ sơ trình duyệt.
2. Độ chính xác làm tròn có thể điều chỉnh: Độ chính xác của số thực đối với kích thước rect có thể được cấu hình hơi khác nhau cho mỗi phiên — phản ánh hành vi tự nhiên của trình duyệt và hệ thống.
3. Đồng bộ hóa giả mạo với các Mô-đun CSS/Phông chữ và Thu phóng: Giả mạo ClientRects hoạt động đồng bộ với cài đặt phông chữ, thu phóng và kiểu trình duyệt để đảm bảo nó khớp với đầu ra hiển thị mong đợi.
4. Chèn biến thể Delta: FlashID chèn biến thể nhân tạo vào các phép đo dựa trên rect để ngăn chặn việc khớp phiên — nhưng trong giới hạn làm tròn hoặc “nhiễu” bố cục dự kiến của trình duyệt.
5. Tránh các kiểm tra DOM vô hình tiêu chuẩn: Hệ thống mô phỏng và tính toán tất cả các giá trị rect cần thiết, ngay cả đối với các phần tử ẩn, đánh lừa các hệ thống phát hiện tin tưởng vào hành vi bất thường.
6. Rung lắc phần tử đã đo: Đối với mỗi hồ sơ, độ lệch và rung lắc nhẹ được áp dụng cho các giá trị kích thước phần tử mang lại cho các phiên bản trình duyệt FlashID một hồ sơ hiển thị thực tế.

Sự cô lập hành vi này đảm bảo rằng ngay cả trên các trang web tập trung vào theo dõi dựa trên reflow sâu, trình duyệt FlashID của bạn vẫn không tương quan, không liên kết và khó theo dõi bằng cách sử dụng các phương pháp bố cục.

Bạn Cũng Có Thể Thích