Canvas и WebGL: что это, как работают и почему из-за них банят ваши аккаунты

Времена, когда для обхода блокировок хватало смены IP-адреса и очистки файлов cookie, давно прошли. Сегодня антифрод-системы Google, Facebook, Amazon и криптобирж смотрят гораздо глубже — они изучают ваше железо. Главными инструментами для глубокого анализа стали технологии, изначально созданные для безобидной отрисовки графики: Canvas и WebGL. 

В этой статье мы разберем, что же такое Canvas и WebGL, как именно сайты используют их для слежки за пользователями и как защитить свои профили от банов.

Что такое Canvas и WebGL: базовые понятия веб-графики

Понять, как вас вычисляют, можно, если разобраться в технической базе: каким образом данные собираются и как формируется цифровой отпечаток пользователя.

HTML5 Canvas — это элемент языка HTML и специальный API, который позволяет браузеру рисовать 2D-графику (линии, фигуры, текст, градиенты) прямо на веб-странице с помощью скриптов JavaScript. 

Когда вы видите в браузере интерактивные графики, браузерные игры без использования Flash или динамичные анимации — скорее всего, это работает Canvas. Он использует мощности вашего процессора и операционной системы для рендеринга изображения.

WebGL (Web Graphics Library) — это более сложный JavaScript API, предназначенный для рендеринга интерактивной 3D-графики и сложной 2D-графики в браузере. Главное отличие WebGL в том, что он обращается напрямую к видеокарте вашего устройства. Это позволяет запускать в браузере тяжелые трехмерные модели, онлайн-игры с реалистичной физикой и сложные визуализации без установки дополнительных плагинов.

Изначально обе технологии создавались, чтобы делать веб-страницы более интерактивными, а со временем разработчики систем безопасности обратили внимание на то, что процесс отрисовки графики уникален для каждого устройства.

Зачем сайты используют эти технологии на самом деле

Когда вы заходите на сайт, встроенные скрипты (от защитных решений вроде Cloudflare и Google reCAPTCHA до маркетинговых трекеров вроде Pixel Facebook или TikTok) могут запускать скрытые процессы сбора данных. Несмотря на разные задачи, они используют схожие методы идентификации: браузеру предлагается отрисовать невидимое изображение через Canvas или сформировать 3D-объект с помощью WebGL, на основе чего создается уникальный цифровой отпечаток устройства.

Причина простая: одна и та же команда «нарисуй синий квадрат и напиши поверх него текст» будет выполнена по-разному на разных компьютерах. На результат влияют:

• тип и версия операционной системы (Windows, macOS, Linux);
• установленные системные шрифты;
• алгоритмы сглаживания текста и субпиксельного рендеринга;
• архитектура процессора и драйверы видеокарты.

В итоге отрисованная картинка будет минимально отличаться на уровне пикселей. Для человеческого глаза эти отличия незаметны, но для машины они очевидны. Это свойство легло в основу технологии фингерпринтинга — создания цифрового отпечатка.

Что такое Canvas Fingerprinting и как он работает

Canvas Fingerprinting — это метод идентификации пользователя на основе того, как его браузер отрисовывает 2D-элементы.

Как это работает:

1. Вы заходите на целевой сайт.
2. JS-скрипт сайта создает невидимый элемент за пределами видимого экрана.
3. Скрипт дает команду нарисовать сложную комбинацию элементов: наложить текст с использованием редких шрифтов, добавить разные цвета, градиенты и геометрические фигуры.
4. Браузер отрисовывает эту картинку, используя ваши системные алгоритмы сглаживания и шрифты.
5. Скрипт использует функцию toDataURL(), которая конвертирует каждый пиксель полученного изображения в длинную строку данных (Base64).
6. Эта строка пропускается через хеш-функцию, создавая уникальный короткий код — хеш.

Этот хеш и есть ваш Canvas-отпечаток. Если вы вернетесь на этот же сайт через месяц, даже сменив IP и очистив cookies, браузер воспроизведет ту же картинку и выдаст тот же хеш, по которому система идентифицирует вас снова.

WebGL Fingerprinting: как вас вычисляют по видеокарте и драйверам

Если Canvas опирается на софт и процессор, то WebGL Fingerprinting — это идентификация по железу. Сайт может использовать WebGL для сбора двух типов данных.

1. WebGL Report (информационный отпечаток). Скрипт запрашивает у браузера константы вашего графического процессора. Он мгновенно определяет модель вашей видеокарты (например, NVIDIA GeForce RTX 3060), вендора (NVIDIA Corporation), версию поддерживаемых шейдеров и другие системные лимиты.
2. WebGL Image (Рендеринг-отпечаток). Аналогично Canvas, скрипт просит видеокарту отрендерить невидимую 3D-сцену (куб, сферу со сложным освещением и тенями). Разные видеокарты и драйверы обрабатывают математические вычисления с плавающей запятой с микроскопическими отличиями. В результате оттенки пикселей, включая тени и грани, будут отличаться на уровне шестнадцатеричных цветовых значений.

Полученная картинка снова конвертируется в хеш-код. Так антифрод-система получает цифровой слепок вашей видеокарты.

В чем разница между отпечатками Canvas и WebGL?

Несмотря на общую цель, они отличаются на техническом уровне:

• Уровень привязки. Canvas больше зависит от операционной системы (шрифты, сглаживание) и движка самого браузера. WebGL жестко привязан к аппаратному обеспечению (модель GPU) и установленным видеодрайверам.
• Степень уникальности. Canvas дает больше вариативности из-за огромного количества комбинаций шрифтов и настроек ОС. WebGL сам по себе дает менее уникальный результат, так как миллионы пользователей используют одинаковые видеокарты вроде GTX 1650, но в сочетании с другими параметрами позволяет точно идентифицировать устройство.
• Обход. Изменить Canvas программно проще, тогда как подмена WebGL требует сложной эмуляции ответов видеокарты.

Как антифрод-системы определяют отпечаток браузера

Крупные платформы не смотрят на Canvas или WebGL изолированно. Они используют комплексный скоринг. Система собирает десятки параметров: IP, User-Agent, разрешение экрана, часовой пояс, языки, отпечатки Canvas, WebGL, WebRTC и AudioContext. Затем алгоритмы ищут несоответствия. Например: ваш User-Agent говорит, что вы сидите с iPhone 15. Но ваш WebGL Report выдает видеокарту AMD Radeon, которой в iPhone быть не может, а ваш Canvas хеш вообще совпадает с сотней других аккаунтов, которые регистрировались сегодня с этого же IP-пула.

Для антифрод-систем это сигнал о подозрительном поведении или несоответствии параметров устройства, из-за чего аккаунт может быть отправлен на дополнительную проверку или заблокирован.

Почему нельзя просто отключить Canvas и WebGL в настройках

Если отслеживание строится на таких технологиях, идея установить расширение вроде Canvas Blocker или отключить WebGL в настройках браузера кажется очевидной.

Для работы с мультиаккаунтингом такой подход не работает: он не повышает анонимность, а, наоборот, делает профиль более заметным и выбивающимся из общего потока пользователей. В обычной среде почти все браузеры работают с включенными Canvas и WebGL. Когда система запрашивает отрисовку, а браузер возвращает пустой результат или ошибку, это выглядит как отклонение от нормы.

Такие несоответствия воспринимаются как подозрительный сигнал, из-за чего профиль может быть отправлен на проверку или ограничен.

Как проверить свои отпечатки 

Для определения ваших параметров браузерного отпечатка используют специальные сервисы-чекеры, которые имитируют работу антифрод-систем, собирают данные и формируют отчет в наглядном виде.

BrowserLeaks — простой сервис для базовой проверки. В разделе Canvas Fingerprinting вы увидите сгенерированное браузером изображение, ваш уникальный хеш-код и процент уникальности — сервис покажет, насколько ваш отпечаток выделяется на фоне сотен тысяч других посетителей.

На странице WebGL Report выводится полный технический паспорт вашей графики: от реального вендора видеокарты до поддерживаемых расширений и шейдеров.

AmIUnique — это глобальная база данных цифровых отпечатков, используемая для исследований. AmIUnique собирает комплексный фингерпринт (Canvas, WebGL, шрифты, плагины, заголовки) и сравнивает его с миллионами других профилей в реальном времени.

В результате вы получаете подробную статистику: например, сервис может показать, что только 0.01% пользователей в мире имеют точно такую же комбинацию параметров графики и системного языка, что делает вас крайне уязвимым для трекинга.

CreepJS — один из самых строгих и продвинутых чекеров на сегодняшний день, который часто используют для глубокой проверки браузерного отпечатка. Он не ограничивается сбором параметров, а анализирует работу API и выявляет возможные несоответствия.

Сервис особенно эффективен при обнаружении подмены данных: при некорректной настройке он фиксирует расхождения и помечает их.

Как антидетект-браузеры подменяют Canvas и WebGL для защиты аккаунтов

При создании нового профиля в антидетекте программа не отключает Canvas и WebGL. Вместо этого она модифицирует процесс отрисовки на уровне ядра браузера.

Когда сайт просит нарисовать изображение, антидетект-браузер подмешивает в результат вычислений микроскопический, математически обоснованный шум. Он меняет цветовые значения нескольких пикселей.

В результате:

• сайт получает полноценную, правильно отрисованную картинку — вы выглядите как реальный пользователь;
• хеш этой картинки становится абсолютно уникальным — исключается связь с другими вашими аккаунтами;
• шум является постоянным для конкретного профиля — если вы откроете профиль завтра, антидетект применит точно такие же изменения. Хеш останется прежним, и для антифрода вы будете выглядеть как обычный пользователь, который снова зашел на сайт со своего домашнего ПК.

Кроме того, продвинутые антидетекты подменяют текстовые значения WebGL (вендора и модель видеокарты), чтобы они точно соответствовали выбранной вами операционной системе и User-Agent.

Выводы

Технологии Canvas и WebGL — это основа современного трекинга. Антифрод-системы научились использовать графические мощности компьютера против самих пользователей, создавая уникальные слепки железа, которые невозможно сбросить обычной чисткой куки-файлов или сменой прокси-сервера.

Пытаться бороться с этим путем блокировки скриптов бессмысленно, это лишь привлечет к вам лишнее внимание защитных алгоритмов. Единственный рабочий и безопасный способ управлять множеством аккаунтов — это использование профессиональных антидетект-браузеров. Они подменяют графические отпечатки, добавляя контролируемые шумы, позволяя каждому вашему профилю сливаться с толпой реальных пользователей и обходить самые сложные системы безопасности Facebook, Google и крипто-платформ.