Tim istraživača sa Mozille, Univerziteta Iowa i Univerziteta Kalifornije rezultati proučavanja upotrebe koda na web stranicama za skrivenu identifikaciju korisnika. Skrivena identifikacija se odnosi na generisanje identifikatora na osnovu indirektnih podataka o radu pretraživača, kao npr , lista podržanih MIME tipova, specifični parametri u zaglavljima ( и ), analiza instaliranih , dostupnost određenih Web API-ja, specifičnih za video kartice renderiranje pomoću WebGL-a i , sa CSS-om, , mrežnih portova, analiza karakteristika rada sa и .
Studija o 100 hiljada najpopularnijih sajtova prema Alexa ocenama pokazala je da njih 9040 (10.18%) koristi kod za tajnu identifikaciju posetilaca. Štaviše, ako uzmemo u obzir hiljadu najpopularnijih sajtova, onda je takav kod otkriven u 30.60% slučajeva (266 sajtova), a među sajtovima koji zauzimaju mesta na rang listi od hiljaditih do desethiljaditih, u 24.45% slučajeva (lokacije iz 2010. godine) . Skrivena identifikacija se uglavnom koristi u skriptama koje pružaju vanjski servisi za i skrining botova, kao i reklamne mreže i sisteme za praćenje kretanja korisnika.
Za identifikaciju koda koji vrši skrivenu identifikaciju, razvijen je komplet alata , čiji kod pod MIT licencom. Komplet alata koristi tehnike mašinskog učenja u kombinaciji sa statičkom i dinamičkom analizom JavaScript koda. Tvrdi se da je upotreba mašinskog učenja značajno povećala tačnost identifikacije koda za skrivenu identifikaciju i identifikovala 26% problematičnije skripte.
u poređenju sa ručno specificiranom heuristikom.
Mnoge identifikovane identifikacione skripte nisu bile uključene u tipične liste za blokiranje. , ,DuckDuckGo, и .
Nakon slanja Programeri liste blokova EasyPrivacy bili su poseban odjeljak za skrivene identifikacijske skripte. Osim toga, FP-Inspector nam je omogućio da identifikujemo neke nove načine korištenja Web API-ja za identifikaciju koji se ranije nisu susreli u praksi.
Na primjer, otkriveno je da su informacije o rasporedu tipkovnice (getLayoutMap), preostali podaci u kešu korišteni za identifikaciju informacija (pomoću Performance API-ja analiziraju se kašnjenja u isporuci podataka, što omogućava da se utvrdi da li je korisnik pristupio određeni domen ili ne, kao i da li je stranica prethodno bila otvorena), dozvole postavljene u pretraživaču (informacije o pristupu Notification, Geolocation i Camera API), prisustvo specijalizovanih perifernih uređaja i retkih senzora (gejmpadovi, kacige za virtuelnu stvarnost, senzori blizine). Pored toga, prilikom utvrđivanja prisustva API-ja specijalizovanih za određene pretraživače i razlika u ponašanju API-ja (AudioWorklet, setTimeout, mozRTCSessionDescription), kao i upotrebe AudioContext API-ja za određivanje karakteristika zvučnog sistema, snimljeno je.
Studija je takođe ispitala pitanje narušavanja standardne funkcionalnosti sajtova u slučaju korišćenja metoda zaštite od skrivene identifikacije, što dovodi do blokiranja mrežnih zahteva ili ograničavanja pristupa API-ju. Pokazalo se da selektivno ograničavanje API-ja samo na skripte koje je identificirao FP-Inspector rezultira manjim smetnjama nego Brave i Tor Browser korištenjem strožih općih ograničenja na API pozive, što može dovesti do curenja podataka.
izvor: opennet.ru