فريق من الباحثين من موزيلا وجامعة أيوا وجامعة كاليفورنيا نتائج دراسة استخدام الكود الموجود على المواقع الإلكترونية للتعرف على المستخدم المخفي. يشير التعريف المخفي إلى إنشاء معرفات بناءً على بيانات غير مباشرة حول تشغيل المتصفح، مثل ، قائمة بأنواع MIME المدعومة، ومعلمات محددة في الرؤوس ( и )، تحليل المثبتة ، توفر واجهات برمجة تطبيقات ويب معينة خاصة ببطاقات الفيديو التقديم باستخدام WebGL و , مع CSS، , منافذ الشبكة، تحليل ميزات العمل معها и .
أظهرت دراسة أجريت على 100 ألف موقع من المواقع الأكثر شعبية بحسب تصنيفات Alexa أن 9040 منها (10.18%) تستخدم رمزًا للتعرف على الزوار سرًا. علاوة على ذلك، إذا نظرنا إلى آلاف المواقع الأكثر شعبية، فقد تم اكتشاف هذا الرمز في 30.60٪ من الحالات (266 موقعًا)، وبين المواقع التي تحتل أماكن في الترتيب من الألف إلى العشرة آلاف، في 24.45٪ من الحالات (2010 مواقع) . يتم استخدام التعريف المخفي بشكل أساسي في البرامج النصية التي توفرها الخدمات الخارجية لـ وفحص الروبوتات، بالإضافة إلى شبكات الإعلان وأنظمة تتبع حركة المستخدم.
للتعرف على الكود الذي ينفذ التعريف المخفي، تم تطوير مجموعة أدوات ، الذي رمز بموجب ترخيص معهد ماساتشوستس للتكنولوجيا. تستخدم مجموعة الأدوات تقنيات التعلم الآلي جنبًا إلى جنب مع التحليل الثابت والديناميكي لرمز JavaScript. يُزعم أن استخدام التعلم الآلي قد زاد بشكل كبير من دقة تحديد التعليمات البرمجية للتعريف المخفي وحدد نصوصًا أكثر إشكالية بنسبة 26٪
مقارنة بالاستدلال المحدد يدويًا.
لم يتم تضمين العديد من نصوص التعريف المحددة في قوائم الحظر النموذجية. , دك دك جو, и .
بعد الارسال كان مطورو قائمة حظر EasyPrivacy قسم منفصل لنصوص التعريف المخفية. بالإضافة إلى ذلك، سمح لنا FP-Inspector بتحديد بعض الطرق الجديدة لاستخدام Web API لتحديد الهوية والتي لم يتم مواجهتها من قبل في الممارسة العملية.
على سبيل المثال، تم اكتشاف أنه تم استخدام معلومات حول تخطيط لوحة المفاتيح (getLayoutMap)، والبيانات المتبقية في ذاكرة التخزين المؤقت لتحديد المعلومات (باستخدام واجهة برمجة تطبيقات الأداء، يتم تحليل التأخير في تسليم البيانات، مما يجعل من الممكن تحديد ما إذا كان المستخدم قد وصل إلى نطاق معين أم لا، وكذلك ما إذا كانت الصفحة قد تم فتحها مسبقًا)، والأذونات المحددة في المتصفح (معلومات حول الوصول إلى الإشعارات وتحديد الموقع الجغرافي وواجهة برمجة التطبيقات للكاميرا)، ووجود أجهزة طرفية متخصصة وأجهزة استشعار نادرة (لوحات الألعاب، وخوذات الواقع الافتراضي، أجهزة استشعار القرب). بالإضافة إلى ذلك، عند التعرف على وجود واجهات برمجة التطبيقات المتخصصة لمتصفحات معينة والاختلافات في سلوك واجهة برمجة التطبيقات (AudioWorklet، setTimeout، mozRTCSessionDescription)، وكذلك استخدام واجهة برمجة التطبيقات AudioContext API لتحديد ميزات نظام الصوت، تم تسجيلها.
كما تناولت الدراسة مسألة تعطيل الأداء الوظيفي القياسي للمواقع في حالة استخدام أساليب الحماية من الهوية المخفية، مما يؤدي إلى حجب طلبات الشبكة أو تقييد الوصول إلى واجهة برمجة التطبيقات (API). ثبت أن تقييد واجهة برمجة التطبيقات (API) بشكل انتقائي على البرامج النصية التي تم تحديدها بواسطة FP-Inspector فقط يؤدي إلى انقطاع أقل من متصفح Brave وTor الذي يستخدم قيودًا عامة أكثر صرامة على مكالمات واجهة برمجة التطبيقات (API)، مما قد يؤدي إلى تسرب البيانات.
المصدر: opennet.ru