大多数网络浏览器多年来一直提供 Gamepad API,它允许网络应用程序和游戏访问物理游戏控制器。但是,除了预期用途之外,该 API 还可用于在网络上跟踪人员,这就是 Firefox 和其他一些浏览器限制其使用的原因。谷歌现在也在效仿,对 Chrome 处理游戏控制器的方式进行了一些更改。
Gamepad API 最早是在 2012 年 Chrome 21 发布时出现的,其他浏览器(如 Firefox)后来实现了它。苹果在 2017 年将其添加到 Safari 10.1 中,这就是 GeForce Now 和 Google Stadia 等游戏流媒体平台在没有 App Store 应用程序的情况下支持 iPhone 和 iPad 的方式。Gamepad API 为当前连接的任何游戏手柄提供一个 ID,以及支持的按钮和轴的列表——当记录此数据并与其他收集的数据进行比较时,它可用于跨不同站点跟踪某人。这种做法称为指纹识别。
谷歌有两个计划来打击使用 Gamepad API 进行指纹识别。首先,除非当前站点支持 HTTPS,否则 API 将不再工作,这与Firefox 自 2020 年以来所做的一致。谷歌还将在 chrome://flags 中添加一个永久的#restrict-gamepad-access 标志以恢复更改,主要针对希望在本地页面或服务器上测试其游戏而无需设置 SSL 证书的开发者。其次,API 在嵌入帧中的行为会有所不同,尽管具体的实现还没有确定。
似乎没有任何网站或跟踪脚本使用 Gamepad API 进行指纹识别的重大案例,因为它需要连接控制器才能返回任何数据——这极大地限制了收集数据的范围。尽管如此,网络浏览器应该尽可能安全,通过 Gamepad API 限制数据收集是朝着这个方向迈出的又一步。
谷歌尚未决定何时将更新的 Gamepad API 行为推广到 Chrome 中的每个人。