Do Not Track — функция конфиденциальности браузера, отправляющая HTTP-заголовок с просьбой не отслеживать вас. Идея была благородной — но дала обратный эффект, которого почти никто не ожидал. Включение DNT может сделать ваш браузер более узнаваемым, а не менее. Посмотрите статус DNT и полный отпечаток браузера прямо сейчас на whatsmy.fyi.
TL;DR
Do Not Track (DNT) отправляет HTTP-заголовок, сообщая сайтам о предпочтении не отслеживаться. Большинство сайтов его игнорируют — W3C отказался от стандарта в 2019 году после десятилетия провальной попытки внедрения. Хуже того: поскольку DNT включают очень немногие пользователи, его наличие делает ваш браузер статистически необычным, что увеличивает энтропию отпечатка и делает вас более легко идентифицируемым.
Что такое Do Not Track (DNT)?
Do Not Track — настройка браузера, добавляющая HTTP-заголовок запроса — DNT: 1 — к каждому запросу страницы. При включении сигнализирует принимающему серверу о предпочтении не отслеживать активность на разных сайтах. При отключении браузер либо отправляет DNT: 0 (явно разрешая слежку), либо вообще не включает заголовок.
JavaScript может считывать то же предпочтение через navigator.doNotTrack, возвращающий "1", "0" или null. Это единственное свойство достаточно для считывания предпочтения DNT с любой веб-страницы.
Почему DNT провалился
DNT был предложен EFF в 2009 году и первоначально реализован крупными браузерами. Концепция была проста: пользователь выражает предпочтение, сайты его соблюдают. Но соблюдение было исключительно добровольным — без юридических обязательств, без санкций. Большинство рекламных компаний просто проигнорировали сигнал.
В сентябре 2019 года W3C закрыл рабочую группу по Tracking Protection, официально прекратив работу над стандартом DNT. К тому времени большинство крупных рекламных сетей публично заявили, что не соблюдают DNT. Safari стал единственным браузером с включённым DNT по умолчанию — и немедленно создал идентифицирующий сигнал для всех пользователей Safari.
Парадокс DNT: как он повышает узнаваемость
| Значение navigator.doNotTrack | Значение | Доля пользователей |
|---|---|---|
"1" | DNT включён (предпочитает не отслеживаться) | ~10–23% |
"0" | DNT явно отключён | <5% |
null или не установлен | Нет предпочтения (по умолчанию в большинстве браузеров) | ~72–85% |
Если вы включаете DNT, вы выходите из самого большого анонимного набора (null/не установлен). Скрипты fingerprinting записывают это отклонение. В сочетании с другими сигналами конфиденциальности (нестандартным браузером, VPN, отключёнными cookies) включённый DNT делает ваш профиль более отличительным, а не менее.
Global Privacy Control (GPC): та же проблема?
GPC — более новый сигнал конфиденциальности, поддерживаемый Firefox, Brave и некоторыми расширениями браузеров. Он отправляет HTTP-заголовок Sec-GPC: 1 и устанавливает navigator.globalPrivacyControl в true.
GPC имеет законодательную поддержку в CCPA Калифорнии — сайты в Калифорнии юридически обязаны его соблюдать. Но он страдает от той же проблемы уникальности: только ~3–5% браузеров его отправляют. Включение GPC в браузере автоматически делает вас более уникальным, чем молчаливое большинство.
Законно ли игнорировать DNT?
В большинстве юрисдикций — да. DNT не имел обязательной юридической силы. По GDPR согласие на отслеживание должно быть явным и позитивным — DNT не считается достаточным отзывом согласия. Стандарт W3C DNT официально заброшен. По российскому Федеральному закону № 152-ФЗ обработка персональных данных требует согласия, но сам заголовок DNT не имеет специального правового статуса.
Как защититься от отслеживания несмотря на провал DNT?
- Используйте Brave Browser: Brave блокирует трекеры по умолчанию и применяет fingerprinting protection. Отправка или неотправка DNT не является значимой защитой; Brave действует в отношении самих трекеров.
- uBlock Origin в режиме среднего или жёсткого блокирования:Блокирует большинство третьесторонних скриптов fingerprinting на сетевом уровне до их выполнения.
- Firefox с ETP Strict: Блокирует известные трекеры и изолирует сторонние cookies без бесполезного заголовка DNT.
- Tor Browser: Уравнивает все сигналы fingerprinting, включая DNT, так что каждый пользователь Tor выглядит одинаково.
- VPN + Fingerprinting Protection: VPN скрывает IP-адрес, но не адресует fingerprinting. Нужна защита на обоих уровнях. Проверьте работу VPN на whatsmy.fyi.
Часто задаваемые вопросы
Должны ли сайты соблюдать DNT?
Нет, не в большинстве стран. Стандарт W3C DNT был добровольным и теперь заброшен. Исключение — некоторые американские штаты, включая Калифорнию, требуют, чтобы сайты раскрывали, соблюдают ли они DNT. Несоответствие допустимо, пока оно раскрыто.
Использует ли Яндекс Браузер DNT?
Яндекс Браузер основан на Chromium и поддерживает DNT как настройку. Как и в Chrome, он по умолчанию отключён. Включение его создаёт те же проблемы уникальности отпечатка.
Что такое заголовок «Sec-GPC»?
Sec-GPC: 1 — HTTP-заголовок, отправляемый браузерами с включённым Global Privacy Control. Юридически обязателен на сайтах в Калифорнии по CCPA, но в других юрисдикциях сайты могут игнорировать его так же, как DNT.
Связанные статьи
- Что такое отпечаток браузера? Как сайты отслеживают вас без cookies — полное руководство по всем сигналам отпечатков
- navigator.cookieEnabled: блокировка cookies упрощает слежку — другой парадокс конфиденциальности в fingerprinting браузера
- Язык браузера используется для слежки: как это работает — ещё один сигнал конфиденциальности, работающий против вас
