Mozillako, Iowako Unibertsitateko eta Kaliforniako Unibertsitateko ikertzaile talde bat Ezkutuko erabiltzaileen identifikaziorako webguneetan kodearen erabilera aztertzearen emaitzak. Ezkutuko identifikazioa nabigatzailearen funtzionamenduari buruzko zeharkako datuetan oinarritutako identifikatzaileak sortzeari dagokio, hala nola , onartzen diren MIME moten zerrenda, goiburuetako parametro zehatzak ( ΠΈ ), instalatutakoen analisia , Web API jakin batzuen erabilgarritasuna, bideo-txartelen espezifikoak WebGL erabiliz errendatzea eta , CSS-rekin, , sareko atakak, lan egiteko ezaugarrien azterketa ΠΈ .
Alexa balorazioen araberako 100 mila gune ezagunenen azterketak erakutsi zuen horietako 9040k (%10.18) kode bat erabiltzen dutela bisitariak isilpean identifikatzeko. Gainera, mila gune ezagunenak kontuan hartzen baditugu, halako kode bat kasuen % 30.60an detektatu zen (266 gune), eta rankingean milarenetik hamar milarenera arteko tokiak betetzen dituzten guneen artean, kasuen % 24.45ean (2010eko guneak). . Ezkutuko identifikazioa kanpoko zerbitzuek eskaintzen dituzten scriptetan erabiltzen da batez ere eta bot-ak kanporatzea, baita publizitate sareak eta erabiltzaileen mugimenduen jarraipena egiteko sistemak ere.
Ezkutuko identifikazioa egiten duen kodea identifikatzeko, tresna-kit bat garatu zen , zeinaren kodea MIT lizentziapean. Tresnak ikaskuntza automatikoko teknikak erabiltzen ditu JavaScript kodearen analisi estatiko eta dinamikoarekin batera. Ikaskuntza automatikoaren erabilerak ezkutuko identifikaziorako kodea identifikatzeko zehaztasuna nabarmen areagotu duela eta % 26 script problematikoagoak identifikatu ditu.
eskuz zehaztutako heuristikoekin alderatuta.
Identifikatutako identifikazio-script asko ez ziren blokeo-zerrendetan sartu. , ,DuckDuckGo, ΠΈ .
Bidali ondoren EasyPrivacy blokeen zerrendaren garatzaileak izan ziren atal bereizi bat ezkutuko identifikazio scriptetarako. Horrez gain, FP-Inspectorrek Web APIa identifikaziorako erabiltzeko modu berri batzuk identifikatzeko aukera eman zigun, aurretik praktikan aurkitzen ez zirenak.
Esaterako, aurkitu zen teklatuaren diseinuari buruzko informazioa (getLayoutMap), cachean dauden hondar datuak informazioa identifikatzeko erabiltzen zela (Performance APIa erabiliz, datuak entregatzeko atzerapenak aztertzen dira, eta horrek erabiltzaileak sarbide bat sartu duen ala ez zehaztea ahalbidetzen du). domeinu jakin bat edo ez, baita orria aurretik ireki den ala ez), nabigatzailean ezarritako baimenak (Jakinarazpenak, Geolokalizazioa eta Kameraren APIrako sarbideari buruzko informazioa), gailu periferiko espezializatuen presentzia eta sentsore arraroak (gamepadak, errealitate birtualeko kaskoak, hurbiltasun-sentsoreak). Horrez gain, zenbait arakatzailetarako espezializatutako APIen presentzia eta APIen portaeran dauden desberdintasunak identifikatzean (AudioWorklet, setTimeout, mozRTCSessionDescription), baita AudioContext APIaren erabilera soinu-sistemaren ezaugarriak zehazteko ere, grabatu egin da.
Azterketak guneen funtzionalitate estandarraren etenaren arazoa ere aztertu du, ezkutuko identifikazioaren aurkako babes metodoak erabiltzearen kasuan, sareko eskaerak blokeatzea edo APIrako sarbidea mugatzea. APIa FP-Inspector-ek identifikatutako scriptetara soilik mugatzeak Brave eta Tor Browser-ek baino eten gutxiago eragiten duela frogatu da API deietan murrizketa orokor zorrotzagoak erabiliz, datu-ihesak sor ditzakeela.
Iturria: opennet.ru