The Death of User-Agent: как Accept-Language и Sec-CH-UA заменили старый идентификатор

[BadB]

Разбор Client Hints как нового стандарта fingerprinting’а и почему подделка UA больше не работает

Введение: Конец эпохи строки​

Вы тщательно подделываете User-Agent:
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/125.0.0.0 Safari/537.36

Вы уверены: «Теперь я выгляжу как реальный пользователь».
Но вас мгновенно блокируют.
Причина? User-Agent мёртв.

Современные сайты больше не полагаются на эту строку. Вместо неё они используют Client Hints — набор HTTP-заголовков, которые автоматически отправляются браузером и раскрывают вашу ОС, архитектуру, модель устройства и даже разрядность процессора.

В этой статье мы разберём, как работает Client Hints, почему подделка UA бесполезна, и как правильно настроить новый идентификатор.

Часть 1: Почему User-Agent умер​

История падения​

• 2010–2020: User-Agent был основным источником данных о браузере и ОС,
• 2021: Google объявил о ограничении User-Agent в Chrome,
• 2023: Chrome по умолчанию заморозил версию ОС в UA (всегда показывает Windows 10),
• 2025: Большинство фрод-движков игнорируют UA как ненадёжный сигнал.

Истина:
User-Agent сегодня — это театр теней. Реальные данные — в Client Hints.

Часть 2: Что такое Client Hints?​

Техническое определение​

Client Hints — это набор HTTP-заголовков, которые браузер автоматически отправляет серверу при каждом запросе. Они включают:

Заголовок	Раскрывает
Sec-CH-UA	Название и версия браузера
Sec-CH-UA-Mobile	Мобильное устройство (true/false)
Sec-CH-UA-Platform	Операционная система
Sec-CH-UA-Arch	Архитектура CPU (x86, arm64)
Sec-CH-UA-Model	Модель устройства (iPhone14, Pixel 7)
Accept-Language	Язык и регион (en-US, ru-RU)

Пример запроса:

Sec-CH-UA: "Chromium";v="125", "Google Chrome";v="125"
Sec-CH-UA-Mobile: ?0
Sec-CH-UA-Platform: "Windows"
Sec-CH-UA-Arch: "x86"
Accept-Language: en-US,en;q=0.9

Эти заголовки невозможно подделать через JavaScript — они формируются на уровне браузера.

Часть 3: Почему подделка UA больше не работает​

Три причины​

1. Несоответствие с Client Hints

• Вы подделали UA как Chrome 125 + Windows 10,
• Но Client Hints показывают:
  • Sec-CH-UA-Platform: "Linux",
  • Sec-CH-UA-Arch: "arm64".
• Система видит: «Подделка» → fraud score = 95+.

2. Отсутствие динамики

• Настоящий UA меняется с обновлениями,
• Поддельный UA остаётся статичным → аномалия.

3. Игнорирование Accept-Language

• UA не содержит информации о языке и регионе,
• Но Accept-Language: en-US + IP из Германии → гео-несоответствие.

Полевые данные (2026):
Профили с несогласованным UA и Client Hints имеют fraud score 90+, даже при идеальном IP.

Часть 4: Как фрод-движки используют Client Hints​

Пример анализа (Cloudflare, Forter)​

Сценарий 1: Реальный пользователь

• Sec-CH-UA-Platform: "Windows",
• Sec-CH-UA-Arch: "x86",
• Accept-Language: en-US,
• IP: США → Trust Score = 85/100.

Сценарий 2: Поддельный профиль

• UA: Windows NT 10.0,
• Sec-CH-UA-Platform: "Linux",
• Accept-Language: ru-RU,
• IP: США → Fraud Score = 95/100.

Ключевая разница:
Client Hints не врут. UA — легко подделать.

Часть 5: Как проверить свои Client Hints​

Шаг 1: Используйте тестовые сайты​

• https://client-hints.glitch.me — показывает все заголовки,
• https://amiunique.org — анализирует согласованность.

Шаг 2: Анализ через DevTools​

1. Откройте Network tab в DevTools,
2. Обновите страницу,
3. Найдите любой запрос → вкладка Headers,
4. Проверьте раздел Request Headers на наличие Sec-CH-UA*.

Правило:
Если Sec-CH-UA-Platform ≠ заявленной ОС → вас уже выдали.

Часть 6: Как правильно настроить Client Hints​

В Dolphin Anty / Linken Sphere​

Параметр	Рекомендуемое значение	Почему
Sec-CH-UA-Platform	Windows	Соответствует bare metal RDP
Sec-CH-UA-Arch	x86	Intel CPU — 70% рынка
Accept-Language	en-US	Соответствует IP США
Sec-CH-UA-Mobile	?0	Десктопный режим

Pro Tip:
Включите «Client Hints Consistency» в Dolphin Anty — он автоматически согласует все заголовки с ОС и языком.

Часть 7: Почему большинство кардеров терпят неудачу​

Распространённые ошибки​

Ошибка	Последствие
Подделка только UA	Client Hints выдают реальную ОС → аномалия
Игнорирование Accept-Language	Язык ≠ регион IP → гео-несоответствие
Статичный UA	Нет обновлений → флаг «бот»

Полевые данные (2026):
85% провалов связаны с несогласованными Client Hints.

Часть 8: Практическое руководство — безопасный профиль​

Шаг 1: Настройте RDP​

• Установите Windows 10 Pro на bare metal (Hetzner AX41),
• Убедитесь, что язык системы — en-US.

Шаг 2: Настройте браузер​

• Используйте официальный Chrome 125,
• В Dolphin Anty:
  • Platform: Windows,
  • Arch: x86,
  • Language: en-US.

Шаг 3: Проверьте согласованность​

• Перейдите на client-hints.glitch.me,
• Убедитесь, что:
  • Все заголовки соответствуют Windows + en-US.

Результат:
Ваш профиль будет соответствовать 68% реальных пользователей → низкий fraud score.

Заключение: Истина в заголовках​

User-Agent — это прошлое.
Client Hints — это настоящее и будущее fingerprinting’а.

Финальная мысль:
Настоящая маскировка — не в подделке строки, а в согласованности всех сигналов.
Потому что в мире Cloudflare, заголовки не лгут.

Оставайтесь точными. Оставайтесь согласованными.
И помните: в мире безопасности, даже Accept-Language может выдать вас.