تیمی از محققان از موزیلا، دانشگاه آیووا و دانشگاه کالیفرنیا نتایج مطالعه استفاده از کد در وب سایت ها برای شناسایی پنهان کاربر. شناسایی پنهان به تولید شناسه هایی بر اساس داده های غیرمستقیم در مورد عملکرد مرورگر اشاره دارد، مانند ، لیست انواع MIME پشتیبانی شده، پارامترهای خاص در هدر ( и ، تجزیه و تحلیل نصب شده است ، در دسترس بودن برخی از API های وب خاص، مخصوص کارت های ویدئویی رندر با استفاده از WebGL و , با CSS، , پورت های شبکه، تجزیه و تحلیل ویژگی های کار با и .
مطالعه 100 هزار سایت محبوب بر اساس رتبه بندی الکسا نشان داد که 9040 سایت (10.18٪) از کدی برای شناسایی مخفیانه بازدیدکنندگان استفاده می کنند. علاوه بر این، اگر هزار سایت پرطرفدار را در نظر بگیریم، چنین کدی در 30.60 درصد موارد (266 سایت) و در بین سایت هایی که در رتبه بندی هزارم تا ده هزارم قرار دارند، در 24.45 درصد موارد (سایت های 2010) شناسایی شده است. . شناسایی پنهان عمدتاً در اسکریپت های ارائه شده توسط سرویس های خارجی برای استفاده می شود و غربالگری ربات ها و همچنین شبکه های تبلیغاتی و سیستم های ردیابی حرکت کاربران.
برای شناسایی کدی که شناسایی پنهان را انجام می دهد، یک جعبه ابزار توسعه یافت ، کد آن تحت مجوز MIT این جعبه ابزار از تکنیک های یادگیری ماشین در ترکیب با تجزیه و تحلیل استاتیک و پویا کد جاوا اسکریپت استفاده می کند. ادعا می شود که استفاده از یادگیری ماشین به طور قابل توجهی دقت شناسایی کد برای شناسایی پنهان را افزایش داده و 26٪ اسکریپت های مشکل ساز بیشتری را شناسایی کرده است.
در مقایسه با اکتشافی مشخص شده دستی.
بسیاری از اسکریپت های شناسایی شناسایی شده در لیست های مسدود کننده معمولی گنجانده نشده اند. , DuckDuckGo، и .
بعد از ارسال توسعه دهندگان لیست بلوک EasyPrivacy بودند یک بخش جداگانه برای اسکریپت های شناسایی پنهان. علاوه بر این، FP-Inspector به ما این امکان را داد تا راههای جدیدی را برای استفاده از Web API برای شناسایی شناسایی کنیم که قبلاً در عمل با آنها مواجه نشده بودیم.
به عنوان مثال، مشخص شد که اطلاعات مربوط به چیدمان صفحه کلید (getLayoutMap)، داده های باقی مانده در حافظه پنهان برای شناسایی اطلاعات استفاده شده است (با استفاده از Performance API، تأخیر در تحویل داده ها تجزیه و تحلیل می شود، که این امکان را فراهم می کند تا مشخص شود آیا کاربر به یک دسترسی داشته است یا خیر. دامنه خاص یا نه، و همچنین اینکه آیا صفحه قبلاً باز شده است)، مجوزهای تنظیم شده در مرورگر (اطلاعات مربوط به دسترسی به Notification، Geolocation و Camera API)، وجود دستگاه های جانبی تخصصی و حسگرهای کمیاب (گیم پد، کلاه ایمنی مجازی، سنسورهای مجاورت). علاوه بر این، هنگام شناسایی وجود API های تخصصی برای مرورگرهای خاص و تفاوت در رفتار API (AudioWorklet، setTimeout، mozRTCSessionDescription)، و همچنین استفاده از AudioContext API برای تعیین ویژگی های سیستم صوتی، ضبط شد.
این مطالعه همچنین موضوع اختلال در عملکرد استاندارد سایتها را در مورد استفاده از روشهای محافظت در برابر شناسایی پنهان، که منجر به مسدود کردن درخواستهای شبکه یا محدود کردن دسترسی به API میشود، بررسی کرد. نشان داده شده است که محدود کردن انتخابی API فقط به اسکریپتهایی که توسط FP-Inspector شناسایی شدهاند باعث اختلال کمتری نسبت به مرورگر Brave و Tor با استفاده از محدودیتهای عمومی سختگیرانهتر در تماسهای API میشود که به طور بالقوه منجر به نشت داده میشود.
منبع: opennet.ru