浏览器只算一个 `tanh`,就可能猜出你用的是 Windows、macOS 还是 Linux
作者:韩启明
作者:韩启明
据 Scrapfly Engineering 的实验,在 Chrome 148 之后,同一句 Math.tanh(0.8) 在 Linux、macOS 和 Windows 上可能返回末尾略有不同的浮点数。差异小到人眼几乎看不见,却足够让反爬虫系统把它当作操作系统指纹。
一句话结论: 浏览器指纹不只藏在字体、Canvas 和显卡里,浮点数最后一位也可能暴露系统;但这项结论目前主要来自 Scrapfly 的工程测试,不能理解成任何网站都能靠一次计算可靠识别每台电脑。
文章给出的结果是:Linux 上约为 0.6640367702678491,macOS 少一位,Windows 又略低一点。问题不在 JavaScript 标准忽然变了,而在 tanh 本来就是近似计算。IEEE 754 规定了浮点数怎么存,却没有要求每个平台的双曲正切函数必须以完全相同的方式舍入。glibc、Apple 的 libsystem_m 和 Windows UCRT 使用不同算法,最后几比特因此可能不同。
真正值得注意的是版本变化。原文称,Chrome 147 及以前的 V8 自带一套实现,各系统结果一致;从 Chrome 148 开始,V8 的 Math.tanh 转而调用宿主系统的 std::tanh,操作系统差异才浮了出来。CSS 三角函数和 Web Audio 还会走另外的计算路径,多个微小信号组合起来,识别能力会比单独一项强得多。

普通用户最容易问:我把 User-Agent 改成 Mac,不就行了吗?恰恰相反,如果浏览器自称 macOS,算出的却是 Linux 数学库的比特模式,这种自相矛盾更显眼。随便给结果加随机噪声也不理想,因为真实浏览器的计算是稳定的,随机变化本身又成了新指纹。
本站编辑韩启明认为,这项技术最有价值的地方不是教网站“抓机器人”,而是提醒开发者:隐私表面并不是几个显眼 API 的清单。浏览器越多地借用操作系统能力,越可能在边界处泄露平台特征。反过来,Scrapfly 本身销售反检测浏览器,文中的大规模验证、覆盖范围和“已经做到完全一致”等表述,仍应视为厂商自测,而不是独立审计。
关键事实
- 原始实验覆盖 Chrome 150 的 Linux、macOS 与 Windows 真机。
Math.tanh的差异通常只有 1 至 2 ULP,即浮点表示的最后几位。- 原文称 Chrome 148 起出现这一信号;其他多数
Math.*函数仍由 V8 自带实现。 - CSS 三角函数、Web Audio 和 CPU 架构还会形成其他信号。
OC 判断
单一 tanh 不是可靠身份证,但它适合成为反爬系统的一票。隐私保护真正困难的地方,是让所有可观察信号彼此一致,而不是只改一个 User-Agent。
为什么重要
- 对开发者:做跨平台数值测试时,不应默认所有数学库末位完全相同。
- 对企业:反欺诈系统可把它作为辅助信号,但不应单独据此封禁用户。
- 对用户:所谓“无痕”或修改浏览器标识,并不等于抹掉系统指纹。
评论
围绕这篇文章补充信息、提出问题或分享观察。