Un equipo de investigadores de Mozilla, a Universidade de Iowa e a Universidade de California resultados do estudo do uso de código en sitios web para a identificación oculta de usuarios. A identificación oculta refírese á xeración de identificadores baseados en datos indirectos sobre o funcionamento do navegador, como , lista de tipos MIME admitidos, opcións específicas de cabeceira ( и ), análise do establecido , dispoñibilidade de certas API web específicas para tarxetas de vídeo renderizado con WebGL e , con CSS, , portos de rede, análise das características de traballar и .
Un estudo dos 100 mil sitios máis populares segundo as valoracións de Alexa mostrou que 9040 deles (10.18%) usan un código para identificar en segredo aos visitantes. Ademais, se temos en conta os mil sitios máis populares, entón un código deste tipo detectouse no 30.60% dos casos (266 sitios), e entre os sitios que ocupan lugares no ranking de milésimas a dez milésimas, no 24.45% dos casos (sitios de 2010) . A identificación oculta úsase principalmente nos scripts proporcionados por servizos externos para e eliminación de bots, así como redes de publicidade e sistemas de seguimento de movementos de usuarios.
Para identificar o código que realiza a identificación oculta, desenvolveuse un kit de ferramentas , cuxo código baixo licenza MIT. O conxunto de ferramentas usa técnicas de aprendizaxe automática en combinación coa análise estática e dinámica do código JavaScript. Afirma que o uso da aprendizaxe automática aumentou significativamente a precisión do código de identificación para a identificación oculta e identificou un 26% máis de scripts problemáticos.
en comparación coas heurísticas especificadas manualmente.
Moitos dos scripts de identificación identificados non se incluíron nas listas de bloqueo típicas. , , DuckDuckGo, и .
Despois de enviar Os desenvolvedores da lista de bloqueo EasyPrivacy foron unha sección separada para os scripts de identificación ocultos. Ademais, FP-Inspector permitiunos identificar algunhas formas novas de utilizar a Web API para a identificación que non se atopaban anteriormente na práctica.
Por exemplo, descubriuse que se utilizou información sobre a disposición do teclado (getLayoutMap), os datos residuais da caché para identificar a información (mediante a Performance API, analízanse os atrasos na entrega de datos, o que permite determinar se o usuario accedeu a un determinado dominio ou non, así como se a páxina foi aberta previamente), os permisos establecidos no navegador (información sobre o acceso á API de notificación, xeolocalización e cámara), a presenza de dispositivos periféricos especializados e sensores raros (gamepads, cascos de realidade virtual, sensores de proximidade). Ademais, ao identificar a presenza de API especializadas para determinados navegadores e as diferenzas no comportamento da API (AudioWorklet, setTimeout, mozRTCSessionDescription), así como o uso da API AudioContext para determinar as características do sistema de son, rexistrouse.
O estudo tamén examinou a cuestión da interrupción da funcionalidade estándar dos sitios no caso de utilizar métodos de protección contra a identificación oculta, que provoca o bloqueo de solicitudes de rede ou a restrición do acceso á API. Se demostrou que restrinxir selectivamente a API só aos scripts identificados por FP-Inspector provoca menos interrupcións que Brave e Tor Browser mediante restricións xerais máis estritas nas chamadas de API, o que pode provocar fugas de datos.
Fonte: opennet.ru