Une équipe de chercheurs de Mozilla, de l'Université de l'Iowa et de l'Université de Californie résultats de l'étude de l'utilisation du code sur les sites Web pour l'identification cachée des utilisateurs. L'identification cachée fait référence à la génération d'identifiants basés sur des données indirectes sur le fonctionnement du navigateur, telles que , liste des types MIME pris en charge, options spécifiques à l'en-tête ( и ), analyse des établis , disponibilité de certaines API Web spécifiques aux cartes vidéo rendu avec WebGL et , avec CSS, , ports réseau, analyse des fonctionnalités de travail avec и .
Une étude des 100 9040 sites les plus populaires selon les évaluations Alexa a montré que 10.18 30.60 d'entre eux (266 %) utilisent un code pour identifier secrètement les visiteurs. De plus, si l'on considère les mille sites les plus populaires, alors un tel code a été détecté dans 24.45 % des cas (2010 sites), et parmi les sites occupant des places dans le classement du millième au dix millième, dans XNUMX % des cas (sites XNUMX) . L'identification cachée est principalement utilisée dans les scripts fournis par des services externes pour et filtrer les robots, ainsi que les réseaux publicitaires et les systèmes de suivi des mouvements des utilisateurs.
Pour identifier le code qui effectue l'identification cachée, une boîte à outils a été développée , dont le code sous licence MIT. La boîte à outils utilise des techniques d'apprentissage automatique en combinaison avec une analyse statique et dynamique du code JavaScript. On prétend que l'utilisation de l'apprentissage automatique a considérablement augmenté la précision de l'identification du code pour l'identification cachée et a identifié 26 % de scripts problématiques en plus.
par rapport aux heuristiques spécifiées manuellement.
La plupart des scripts d'identification identifiés n'étaient pas inclus dans les listes de blocage typiques. , ,DuckDuckGo, и .
Après l'envoi Les développeurs de la liste de blocage EasyPrivacy étaient une section séparée pour les scripts d'identification cachés. De plus, FP-Inspector nous a permis d'identifier de nouvelles façons d'utiliser l'API Web pour l'identification qui n'étaient pas rencontrées auparavant dans la pratique.
Par exemple, il a été découvert que des informations sur la disposition du clavier (getLayoutMap), des données résiduelles dans le cache étaient utilisées pour identifier des informations (à l'aide de l'API Performance, les délais de livraison des données sont analysés, ce qui permet de déterminer si l'utilisateur a accédé à un certain domaine ou non, ainsi que si la page a été précédemment ouverte), les autorisations définies dans le navigateur (informations sur l'accès aux API de notification, de géolocalisation et de caméra), la présence de périphériques spécialisés et de capteurs rares (manettes de jeu, casques de réalité virtuelle, Capteurs de proximité). De plus, lors de l'identification de la présence d'API spécialisées pour certains navigateurs et des différences de comportement des API (AudioWorklet, setTimeout, mozRTCSessionDescription), ainsi que de l'utilisation de l'API AudioContext pour déterminer les fonctionnalités du système audio, cela a été enregistré.
L'étude a également examiné la question de la perturbation des fonctionnalités standard des sites en cas d'utilisation de méthodes de protection contre l'identification cachée, conduisant au blocage des requêtes réseau ou à la restriction de l'accès à l'API. Il a été démontré que la restriction sélective de l'API aux seuls scripts identifiés par FP-Inspector entraîne moins de perturbations que Brave et Tor Browser en utilisant des restrictions générales plus strictes sur les appels d'API, conduisant potentiellement à des fuites de données.
Source: opennet.ru