Employés de Mozilla résultats d'une étude sur la possibilité d'identifier les utilisateurs sur la base d'un profil de visites dans le navigateur, qui peut être visible par des tiers et des sites Internet. Une analyse de 52 99 profils de navigation fournis par les utilisateurs de Firefox ayant participé à l'expérience a montré que les préférences de visite des sites sont caractéristiques de chaque utilisateur et sont constantes. Le caractère unique des profils d'historique de navigation obtenus était de XNUMX %. Dans le même temps, un degré élevé d'unicité des profils est maintenu même si l'on limite l'échantillon à seulement une centaine de sites populaires.
La possibilité de réidentification a été testée au cours d'une expérience de deux semaines - une tentative a été faite pour comparer les données des visites de la première semaine avec celles de la deuxième semaine. Il s'est avéré qu'il était possible de réidentifier 50 % des utilisateurs ayant visité 50 domaines différents ou plus. Lors de la visite de 150 domaines différents ou plus, la couverture de ré-identification a augmenté jusqu'à 80 %. Le test a été réalisé sur un échantillon de 10 9823 sites pour simuler les données que les grands fournisseurs de contenu peuvent obtenir (par exemple, Google peut contrôler l'accès à 10000 7348 de ces 5500 XNUMX sites, Facebook - XNUMX XNUMX, Verizon - XNUMX XNUMX).
Cette fonctionnalité permet aux grands propriétaires de ressources populaires d'identifier les utilisateurs avec une probabilité assez élevée. Par exemple, Google, Facebook et Twitter, dont les widgets sont hébergés sur des sites tiers, pourraient théoriquement réidentifier environ 80 % des utilisateurs.
Vous pouvez également déterminer les sites précédemment ouverts par des méthodes indirectes, par exemple en recherchant des domaines populaires dans le code JavaScript et en évaluant la différence de délais lors du chargement des ressources - si le site a été récemment ouvert par l'utilisateur, la ressource sera récupérée à partir du navigateur. cache presque instantanément. Auparavant, pour déterminer les pages ouvertes, on pouvait utiliser mise en cache des paramètres HSTS (lors de l'ouverture d'un site avec HSTS, la requête HTTP était immédiatement redirigée vers HTTPS sans tenter d'accéder à HTTP) et état de la propriété CSS « visité ».
Des méthodes similaires d'historique de navigation basées sur CSS ont été utilisées dans une étude similaire, de 2009 à 2011. Ce chercheur a montré la capacité d'identifier 42% des utilisateurs lors de la vérification de 50 pages et 70% lors de la vérification de 500 pages. Recherche Mozilla et a clarifié les conclusions de la publication précédente, tandis que la précision de la détermination de l'historique de navigation a été considérablement augmentée et que la couverture des domaines vérifiés est passée de 6000 10000 à 660000 10 (au total, des données ont été obtenues sur XNUMX XNUMX domaines, mais lors de l'évaluation de l'identification, un un échantillon de XNUMX XNUMX domaines parmi les plus populaires a été utilisé).
Source: opennet.ru