Tim istraživača iz Mozille, Sveučilišta Iowa i Sveučilišta Kalifornija rezultati proučavanja korištenja koda na web stranicama za skrivenu identifikaciju korisnika. Skrivena identifikacija odnosi se na generiranje identifikatora na temelju neizravnih podataka o radu preglednika, kao što su , popis podržanih tipova MIME, specifični parametri u zaglavljima ( и ), analiza instaliranih , dostupnost određenih Web API-ja, specifičnih za video kartice iscrtavanje pomoću WebGL-a i , sa CSS-om, , mrežni priključci, analiza značajki rada s и .
Istraživanje 100 tisuća najpopularnijih stranica prema Alexa ocjenama pokazalo je da njih 9040 (10.18%) koristi kod za tajnu identifikaciju posjetitelja. Štoviše, ako uzmemo u obzir tisuću najpopularnijih stranica, tada je takav kod otkriven u 30.60% slučajeva (266 stranica), a među stranicama koje zauzimaju mjesta na ljestvici od tisućitog do desettisućitog, u 24.45% slučajeva (2010 stranica) . Skrivena identifikacija uglavnom se koristi u skriptama koje pružaju vanjske usluge za i provjera botova, kao i oglašivačkih mreža i sustava za praćenje kretanja korisnika.
Za identifikaciju koda koji provodi skrivenu identifikaciju razvijen je alat , čiji kod pod licencom MIT-a. Skup alata koristi tehnike strojnog učenja u kombinaciji sa statičkom i dinamičkom analizom JavaScript koda. Tvrdi se da je korištenje strojnog učenja značajno povećalo točnost identificiranja koda za skrivenu identifikaciju i identificiralo 26% više problematičnih skripti
u usporedbi s ručno određenim heuristikama.
Mnoge identificirane identifikacijske skripte nisu bile uključene u tipične popise za blokiranje. , ,DuckDuckGo, и .
Nakon slanja Programeri EasyPrivacy liste blokiranih bili su zaseban odjeljak za skrivene identifikacijske skripte. Osim toga, FP-Inspector nam je omogućio da identificiramo neke nove načine korištenja Web API-ja za identifikaciju koji se dosad nisu susreli u praksi.
Na primjer, otkriveno je da su informacije o rasporedu tipkovnice (getLayoutMap), preostali podaci u predmemoriji korišteni za identifikaciju informacija (pomoću Performance API-ja analiziraju se kašnjenja u isporuci podataka, što omogućuje utvrđivanje je li korisnik pristupio određena domena ili ne, kao i je li stranica prethodno bila otvorena), dopuštenja postavljena u pregledniku (informacije o pristupu Notification, Geolocation i Camera API), prisutnost specijaliziranih perifernih uređaja i rijetkih senzora (gamepadovi, kacige za virtualnu stvarnost, senzori blizine). Osim toga, evidentirano je prisustvo API-ja specijaliziranih za određene preglednike i razlike u ponašanju API-ja (AudioWorklet, setTimeout, mozRTCSessionDescription), kao i korištenje AudioContext API-ja za određivanje značajki zvučnog sustava.
Studija je također ispitala pitanje poremećaja standardne funkcionalnosti stranica u slučaju korištenja metoda zaštite od skrivene identifikacije, što dovodi do blokiranja mrežnih zahtjeva ili ograničavanja pristupa API-ju. Pokazalo se da selektivno ograničavanje API-ja samo na skripte koje je identificirao FP-Inspector rezultira manjim smetnjama od Brave i Tor Browsera koji koriste stroža opća ograničenja na API pozive, što potencijalno dovodi do curenja podataka.
Izvor: opennet.ru