Mozilla, Ayova Universiteti və Kaliforniya Universitetindən tədqiqatçılar qrupu gizli istifadəçi identifikasiyası üçün vebsaytlarda kodun istifadəsinin öyrənilməsinin nəticələri. Gizli identifikasiya brauzerin işləməsi haqqında dolayı məlumatlara əsaslanan identifikatorların yaradılmasına aiddir, məsələn , dəstəklənən MIME növlərinin siyahısı, başlıqlardakı xüsusi parametrlər ( и ), quraşdırılmışların təhlili , video kartlara xas olan müəyyən Web API-lərin mövcudluğu WebGL istifadə edərək göstərmə və , CSS ilə, , şəbəkə portları, işləmə xüsusiyyətlərinin təhlili и .
Alexa reytinqinə görə 100 min ən populyar saytın araşdırması göstərdi ki, onlardan 9040-ı (10.18%) ziyarətçiləri gizli şəkildə müəyyən etmək üçün koddan istifadə edir. Üstəlik, min ən populyar saytı nəzərdən keçirsək, belə bir kod 30.60% hallarda (266 sayt), mindən on minə qədər olan sıralamada yerləri tutan saytlar arasında isə 24.45% hallarda (2010 saytları) aşkar edilmişdir. . Gizli identifikasiya əsasən xarici xidmətlər tərəfindən təmin edilən skriptlərdə istifadə olunur və botların, eləcə də reklam şəbəkələrinin və istifadəçi hərəkətini izləmə sistemlərinin yoxlanılması.
Gizli identifikasiyanı həyata keçirən kodu müəyyən etmək üçün alətlər dəsti hazırlanmışdır , kimin kodu MIT lisenziyası altında. Alətlər dəsti JavaScript kodunun statik və dinamik təhlili ilə birlikdə maşın öyrənmə üsullarından istifadə edir. İddia edilir ki, maşın öyrənməsinin istifadəsi gizli identifikasiya üçün kodun müəyyən edilməsinin dəqiqliyini əhəmiyyətli dərəcədə artırıb və 26% daha çox problemli skriptləri müəyyən edib.
əl ilə müəyyən edilmiş evristika ilə müqayisədə.
Müəyyən edilmiş identifikasiya skriptlərinin çoxu tipik bloklama siyahılarına daxil edilməmişdir. , ,DuckDuckGo, и .
Göndərdikdən sonra EasyPrivacy blok siyahısının tərtibatçıları idi gizli identifikasiya skriptləri üçün ayrıca bölmə. Bundan əlavə, FP-Inspector bizə əvvəllər praktikada rast gəlinməyən identifikasiya üçün Web API-dən istifadənin bəzi yeni yollarını müəyyən etməyə imkan verdi.
Məsələn, aşkar edilmişdir ki, klaviatura düzümü (getLayoutMap), keşdəki qalıq məlumatlar məlumatı müəyyən etmək üçün istifadə edilmişdir (Performance API-dən istifadə etməklə, məlumatların çatdırılmasında gecikmələr təhlil edilir, bu da istifadəçinin proqrama daxil olub-olmadığını müəyyən etməyə imkan verir. müəyyən bir domen olub-olmaması, həmçinin səhifənin əvvəllər açılıb-açılmaması), brauzerdə müəyyən edilmiş icazələr (Bildiriş, Geolocation və Camera API-yə giriş haqqında məlumat), ixtisaslaşmış periferik cihazların və nadir sensorların (geympadlar, virtual reallıq dəbilqələri, yaxınlıq sensorları). Bundan əlavə, müəyyən brauzerlər üçün ixtisaslaşmış API-lərin mövcudluğunu və API davranışındakı fərqləri (AudioWorklet, setTimeout, mozRTCSessionDescription), həmçinin səs sisteminin xüsusiyyətlərini müəyyən etmək üçün AudioContext API-dən istifadəni müəyyən edərkən qeyd edildi.
Tədqiqat həmçinin şəbəkə sorğularının bloklanmasına və ya API-yə girişin məhdudlaşdırılmasına səbəb olan gizli identifikasiyadan qorunma üsullarından istifadə edildikdə saytların standart funksionallığının pozulması məsələsini də araşdırıb. API-ni yalnız FP-Inspector tərəfindən müəyyən edilmiş skriptlərlə selektiv şəkildə məhdudlaşdırmanın, API zənglərində daha sərt ümumi məhdudiyyətlərdən istifadə edən Brave və Tor Brauzerindən daha az pozulma ilə nəticələndiyi və potensial olaraq məlumat sızmasına səbəb olduğu göstərilmişdir.
Mənbə: opennet.ru