Sidik Jari WebAssembly: Bagaimana Browser Berubah Menjadi Mesin Virtual dan Mulai Mengenali Pengguna

Teknologi yang hampir tidak pernah dibicarakan

Terkadang, perubahan paling mencolok di internet dimulai secara diam-diam. Sementara semua orang sibuk dengan perdebatan seputar pemblokiran JavaScript dan pengaturan privasi yang «tepat», di dalam browser sudah ada alat yang telah ada selama beberapa tahun yang mengubah batas-batas kemungkinan. Ini adalah WebAssembly (Wasm): cara menjalankan kode di web dengan kecepatan hampir setara dengan aplikasi native.

Saya menyebut Wasm sebagai «binatang baru» di web bukan sekadar untuk metafora yang indah. Dengan adanya Wasm, situs web memiliki kelas kemampuan baru, termasuk hal yang biasanya tidak suka dibicarakan secara terbuka: cara-cara baru untuk mengenali pengguna.

Mengapa JavaScript Tidak Lagi Menjadi Tersangka Utama

Selama bertahun-tahun, JavaScript menjadi sasaran yang mudah. Puluhan mekanisme pelacakan dan identifikasi bergantung padanya, sehingga di Tor Browser skrip secara default diblokir, dan NoScript serta ekstensi serupa menjadi simbol «privasi yang ketat».

Masalahnya adalah Wasm mengubah keseimbangan. Ia tidak menggantikan JavaScript, tetapi membuat browser menjadi jauh lebih «komputasi». Pandangan lama tentang «browser yang aman» mulai retak, karena sebagian aspek kini masuk ke wilayah di mana larangan sederhana tidak berfungsi seperti yang Anda harapkan.

Apa itu WebAssembly dan mengapa hal ini penting

WebAssembly adalah format dan lingkungan eksekusi yang memungkinkan kode yang dikompilasi dari C, C++, Rust dan bahasa pemrograman lainnya dijalankan di browser. Dengan kata lain, situs web mendapatkan akses ke komputasi tingkat rendah yang lebih mendalam daripada JavaScript biasa.

Dari sinilah muncul ungkapan favorit saya: browser memiliki peluang untuk menjadi «komputer mini di dalam komputer». Pada akhirnya, ini terasa seperti «hampir seperti program biasa» di jendela tab: dompet digital, aplikasi pesan instan, agen anti-penipuan yang kompleks. Ya, perbandingan dengan VirtualBox terdengar provokatif. Namun, intinya sederhana: browser semakin mendekati perangkat keras.

Fingerprint baru: ketika kecepatan menjadi penanda identitas

Hal yang paling menarik dimulai ketika Wasm digunakan bukan sekadar untuk kenyamanan, melainkan untuk fingerprinting.

Ketika saya berbicara tentang «jumlah sidik jari yang sangat besar» melalui WebAssembly, saya tidak bermaksud Canvas atau WebGL lama yang sudah banyak orang pelajari cara memanipulasinya. Di sini, yang berperan adalah apa yang biasanya Anda anggap sebagai «hanya kecepatan»: kinerja dan karakter eksekusi.

Skema ini terlihat hampir konyol karena kesederhanaannya:

• JavaScript memanggil fungsi WebAssembly.
• WebAssembly memanggil JavaScript kembali.
• «Ping-pong» ini diulang berkali-kali.
• Anda mengukur, bagaimana tepatnya dan seberapa cepat operasi yang sama dijalankan.

Selanjutnya, Anda mengubah statistik tersebut menjadi pengenal yang ringkas. Dalam implementasi praktis, ini mudah dikemas, misalnya, ke dalam SHA-256.

Ketepatan yang menakutkan

Jika semuanya disusun dengan cermat, pendekatan ini mampu membedakan pengguna dengan tingkat kesalahan kurang dari 1%.

Oleh karena itu, «penggantian user-agent» dalam konteks ini tampak seperti hal yang sepele. Ketika mesin dan infrastruktur hardware dibaca melalui pola komputasi, baris di header permintaan tidak banyak mengubah apa pun.

Dalam praktiknya, tes semacam ini mampu:

• mendeteksi penggunaan mesin virtual,
• membedakan VPS dan perangkat keras server dari PC rumahan,
• menyoroti perbedaan dalam jenis CPU dan karakteristik komputasi.

Penting: pengelakan dimungkinkan. Namun, lebih sering daripada tidak, ini bukan lagi soal «pasang ekstensi dan lupakan», melainkan soal pemahaman teknis dan penyesuaian sumber daya yang cermat. Bagi pengguna umum, hal ini biasanya tidak tersedia.

Di mana hal ini sudah diterapkan

Hal ini tidak lagi dianggap sebagai «eksperimen» tepat pada saat nama-nama konkret mulai muncul.

Apa yang saya lihat sudah mulai diterapkan oleh platform anti-penipuan besar, termasuk:

• CyberSource
• PerimeterX

Ada juga tanda-tanda bahwa Microsoft termasuk di antara yang pertama yang mulai menerapkan Wasm-fingerprinting di sumber dayanya, termasuk untuk menyaring pendaftaran yang tampak seperti otomatisasi atau berasal dari lingkungan virtual.

Mengapa ini akan menjadi sidik jari «teratas»

Alasannya sederhana dan tidak menyenangkan:

• akurasi tinggi,
• relatif mudah dijalankan di browser,
• terkait dengan karakteristik perangkat keras yang sebenarnya.

Jika situs-situs mulai mengumpulkan telemetri semacam ini secara massal, hal ini akan dengan cepat menjadi standar identifikasi yang sulit diabaikan. Dan tidak perlu menunggu «suatu saat nanti»: Wasm sudah lama ada di browser dan sudah digunakan.

Apa kesimpulannya

Jika diringkas menjadi satu gagasan, intinya adalah: privasi di browser semakin sedikit bergantung pada centang yang dinonaktifkan dan semakin banyak — pada bagaimana perangkat keras berperilaku saat dibebani.

WebAssembly awalnya dirancang sebagai akselerator web. Dalam praktiknya, ia juga menjadi akselerator bagi sistem anti-penipuan yang perlu membedakan manusia dari bot serta perangkat nyata dari lingkungan virtual.

Oleh karena itu, Wasm-fingerprinting bukanlah sekadar “kisah horor” lain, melainkan topik yang layak dipahami setidaknya pada tingkat prinsip. Ke depannya, Anda akan menemui hal ini semakin sering, terutama di bidang-bidang dengan risiko tinggi: keuangan, platform besar, pendaftaran, dan perlindungan dari penyalahgunaan.