Mozilla-ի, Այովա համալսարանի և Կալիֆորնիայի համալսարանի հետազոտողների թիմը Օգտագործողի թաքնված նույնականացման համար կայքերում կոդի օգտագործման ուսումնասիրության արդյունքները: Թաքնված նույնականացումը վերաբերում է բրաուզերի աշխատանքի վերաբերյալ անուղղակի տվյալների վրա հիմնված նույնացուցիչների ստեղծմանը, ինչպիսիք են. , աջակցվող MIME տեսակների ցանկ, հատուկ պարամետրեր վերնագրերում ( и ), տեղադրվածի վերլուծություն , որոշակի վեբ API-ների առկայությունը՝ հատուկ վիդեո քարտերին մատուցում WebGL-ի միջոցով և , CSS-ով, , ցանցային նավահանգիստներ, հետ աշխատելու առանձնահատկությունների վերլուծություն и .
Ըստ Alexa-ի վարկանիշների 100 հազար ամենահայտնի կայքերի ուսումնասիրությունը ցույց է տվել, որ դրանցից 9040-ը (10.18%) օգտագործում է կոդ՝ այցելուներին գաղտնի բացահայտելու համար։ Ավելին, եթե հաշվի առնենք հազար ամենահայտնի կայքերը, ապա այդպիսի ծածկագիր հայտնաբերվել է դեպքերի 30.60%-ում (266 կայք), իսկ հազարերորդից մինչև տասը հազարերորդ հորիզոնականներում զբաղեցրած կայքերի մեջ՝ 24.45% դեպքերում (2010թ. կայքեր) . Թաքնված նույնականացումը հիմնականում օգտագործվում է արտաքին ծառայությունների կողմից տրամադրվող սկրիպտներում բոտերի, ինչպես նաև գովազդային ցանցերի և օգտատերերի տեղաշարժի հետևման համակարգերի ստուգում:
Թաքնված նույնականացում իրականացնող կոդը նույնականացնելու համար մշակվել է գործիքակազմ , որի կոդը MIT լիցենզիայի ներքո: Գործիքակազմն օգտագործում է մեքենայական ուսուցման տեխնիկա՝ JavaScript կոդի ստատիկ և դինամիկ վերլուծության հետ համատեղ: Պնդվում է, որ մեքենայական ուսուցման օգտագործումը զգալիորեն մեծացրել է թաքնված նույնականացման կոդի նույնականացման ճշգրտությունը և հայտնաբերել 26%-ով ավելի խնդրահարույց սցենարներ։
ձեռքով սահմանված էվրիստիկայի համեմատ:
Նույնականացման սկրիպտներից շատերը ներառված չեն եղել տիպիկ արգելափակման ցուցակներում: , DuckDuckGo, и .
Ուղարկելուց հետո EasyPrivacy-ի արգելափակման ցանկի մշակողները եղել են թաքնված նույնականացման սկրիպտների առանձին բաժին: Բացի այդ, FP-Inspector-ը մեզ թույլ տվեց բացահայտել որոշ նոր եղանակներ՝ օգտագործելու Web API-ն նույնականացման համար, որոնք նախկինում գործնականում չեն եղել:
Օրինակ, պարզվել է, որ ստեղնաշարի դասավորության (getLayoutMap), մնացորդային տվյալների մասին տեղեկատվությունը քեշում օգտագործվել է տեղեկատվության նույնականացման համար (օգտագործելով Performance API, տվյալների առաքման հետաձգումները վերլուծվում են, ինչը հնարավորություն է տալիս որոշել, թե արդյոք օգտագործողը մուտք է գործել որոշակի տիրույթ, թե ոչ, ինչպես նաև էջը նախկինում բացված լինելը), բրաուզերում սահմանված թույլտվությունները (Տեղեկություններ ծանուցման, աշխարհագրական տեղաբաշխման և տեսախցիկի API-ի հասանելիության մասին), մասնագիտացված ծայրամասային սարքերի և հազվագյուտ սենսորների առկայությունը (խաղի վահանակներ, վիրտուալ իրականության սաղավարտներ, հարևանության սենսորներ): Բացի այդ, որոշ բրաուզերների համար մասնագիտացված API-ների առկայությունը և API-ի վարքագծի տարբերությունները (AudioWorklet, setTimeout, mozRTCSessionDescription), ինչպես նաև ձայնային համակարգի առանձնահատկությունները որոշելու համար AudioContext API-ի օգտագործումը հայտնաբերելիս, այն ձայնագրվել է:
Հետազոտությունը նաև ուսումնասիրել է կայքերի ստանդարտ ֆունկցիոնալության խաթարման հարցը թաքնված նույնականացումից պաշտպանվելու մեթոդների կիրառման դեպքում՝ հանգեցնելով ցանցային հարցումների արգելափակմանը կամ մուտքի API-ի սահմանափակմանը: Պարզվել է, որ API-ի ընտրովի սահմանափակումը միայն FP-Inspector-ի կողմից բացահայտված սկրիպտներով ավելի քիչ խափանումների է հանգեցնում, քան Brave-ը և Tor զննարկիչը, որոնք օգտագործում են ավելի խիստ ընդհանուր սահմանափակումներ API-ի զանգերի վրա, ինչը կարող է հանգեցնել տվյալների արտահոսքի:
Source: opennet.ru