Usa ka grupo sa mga tigdukiduki gikan sa Mozilla, sa University of Iowa ug sa University of California resulta sa pagtuon sa paggamit sa code sa mga website para sa tinago nga pag-ila sa user. Ang tinago nga pag-ila nagtumong sa henerasyon sa mga identifier base sa dili direkta nga datos bahin sa operasyon sa browser, sama sa , lista sa gisuportahan nga tipo sa MIME, mga kapilian nga piho sa ulohan ( ΠΈ ), pagtuki sa natukod , pagkaanaa sa pipila ka mga Web API nga espesipiko sa mga video card rendering gamit ang WebGL ug , uban sa CSS, , network ports, pagtuki sa mga bahin sa pagtrabaho uban sa ΠΈ .
Ang usa ka pagtuon sa 100 ka libo nga labing inila nga mga site sumala sa mga rating sa Alexa nagpakita nga 9040 kanila (10.18%) naggamit og code aron sekretong mailhan ang mga bisita. Dugang pa, kung atong ikonsiderar ang usa ka libo nga labing inila nga mga site, nan ang ingon nga code nakit-an sa 30.60% sa mga kaso (266 nga mga site), ug taliwala sa mga site nga nag-okupar sa mga lugar sa ranggo gikan sa ika-24.45 hangtod sa ika-2010 nga libo, sa XNUMX% sa mga kaso (mga site sa XNUMX) . Ang tinago nga pag-ila kay gigamit sa mga script nga gihatag sa gawas nga mga serbisyo para sa ug pag-screen sa mga bot, ingon man mga network sa advertising ug mga sistema sa pagsubay sa paglihok sa tiggamit.
Aron mahibal-an ang code nga nagdala sa tinago nga pag-ila, usa ka toolkit ang gihimo , kansang code ubos sa lisensya sa MIT. Ang toolkit naggamit sa mga teknik sa pagkat-on sa makina inubanan sa static ug dinamikong pagtuki sa JavaScript code. Giangkon nga ang paggamit sa pagkat-on sa makina nakadugang pag-ayo sa katukma sa pag-ila sa code alang sa tinago nga pag-ila ug nakaila sa 26% nga mas problema nga mga script
itandi sa gipiho nga manual nga heuristics.
Daghan sa giila nga mga script sa pag-ila wala gilakip sa kasagaran nga mga lista sa pag-block. , ,DuckDuckGo, ΠΈ .
Human ipadala Ang mga nag-develop sa EasyPrivacy block list mao ang usa ka bulag nga seksyon alang sa mga gitago nga mga script sa pag-ila. Dugang pa, gitugotan kami sa FP-Inspector sa pag-ila sa pipila ka bag-ong mga paagi sa paggamit sa Web API alang sa pag-ila nga wala pa masinati kaniadto sa praktis.
Pananglitan, nahibal-an nga ang kasayuran bahin sa layout sa keyboard (getLayoutMap), ang nahabilin nga datos sa cache gigamit aron mahibal-an ang kasayuran (gamit ang Performance API, ang mga paglangan sa paghatud sa datos gisusi, nga nagpaposible nga mahibal-an kung naka-access ba ang gumagamit sa usa ka piho nga domain o dili, ingon man kung ang panid giablihan kaniadto), mga pagtugot nga gibutang sa browser (impormasyon bahin sa pag-access sa Notification, Geolocation ug Camera API), ang presensya sa mga espesyal nga peripheral nga aparato ug talagsaon nga mga sensor (mga gamepad, virtual reality helmet, mga proximity sensor). Dugang pa, kung nahibal-an ang presensya sa mga API nga espesyalista alang sa pipila nga mga browser ug mga kalainan sa pamatasan sa API (AudioWorklet, setTimeout, mozRTCSessionDescription), ingon man ang paggamit sa AudioContext API aron mahibal-an ang mga bahin sa sound system, kini natala.
Gisusi usab sa pagtuon ang isyu sa pagkabalda sa standard functionality sa mga site sa kaso sa paggamit sa mga pamaagi sa pagpanalipod batok sa tinago nga pag-ila, nga mosangpot sa pagbabag sa mga hangyo sa network o pagpugong sa pag-access sa API. Ang pinili nga pagpugong sa API sa mga script lamang nga giila sa FP-Inspector gipakita nga moresulta sa dili kaayo pagkabalda kay sa Brave ug Tor Browser gamit ang mas higpit nga kinatibuk-ang pagdili sa mga tawag sa API, nga posibleng mosangpot sa data leakage.
Source: opennet.ru