Fingprintjs գրադարանի մշակողները, որը թույլ է տալիս պասիվ ռեժիմում բրաուզերի նույնացուցիչներ ստեղծել՝ հիմնվելով անուղղակի նշանների վրա, ինչպիսիք են էկրանի լուծումը, WebGL առանձնահատկությունները, տեղադրված փլագինների և տառատեսակների ցուցակները, ներկայացրել են նույնականացման նոր մեթոդ՝ հիմնված տեղադրված տիպիկ հավելվածների գնահատման վրա: օգտագործողի վրա և աշխատել զննարկիչի լրացուցիչ արձանագրությունների մշակիչներում աջակցությունը ստուգելու միջոցով: Մեթոդի ներդրմամբ սցենարի կոդը հրապարակվում է MIT լիցենզիայի ներքո:
Ստուգումն իրականացվում է 32 հանրաճանաչ հավելվածների հետ մշակողների կապակցման վերլուծության հիման վրա: Օրինակ, բրաուզերում որոշելով URL սխեմայի մշակողների առկայությունը՝ telegram://, slack:// և skype://, կարող եք եզրակացնել, որ համակարգն ունի telegram, slack և skype հավելվածներ և օգտագործել այս տեղեկատվությունը որպես նշան: համակարգի նույնացուցիչ ստեղծելիս: Քանի որ մշակողների ցանկը նույնն է համակարգի բոլոր բրաուզերների համար, նույնացուցիչը չի փոխվում բրաուզերները փոխելիս և կարող է օգտագործվել Chrome, Firefox, Safari, Brave, Yandex Browser, Edge և նույնիսկ Tor Browser-ում:
Մեթոդը թույլ է տալիս ստեղծել 32-բիթանոց նույնացուցիչներ, այսինքն. առանձին-առանձին թույլ չի տալիս հասնել մեծ ճշգրտության, բայց դա իմաստ ունի որպես լրացուցիչ հատկանիշ՝ այլ պարամետրերի հետ համատեղ: Մեթոդի նկատելի թերությունը օգտագործողի համար նույնականացման փորձի տեսանելիությունն է. առաջարկվող ցուցադրական էջում նույնացուցիչ ստեղծելիս ներքևի աջ անկյունում բացվում է մի փոքր, բայց ակնհայտորեն նկատելի պատուհան, որում կառավարիչները բավականին երկար պտտվում են: Այս թերությունը չի հայտնվում Tor Browser-ում, որտեղ նույնացուցիչը կարող է աննկատ հաշվարկվել:
Հավելվածի առկայությունը որոշելու համար սկրիպտը փորձում է բացել արտաքին մշակողի հետ կապված հղումը թռուցիկ պատուհանում, որից հետո զննարկիչը ցուցադրում է երկխոսություն՝ խնդրելով բացել բովանդակությունը կապված հավելվածում, եթե ստուգվող հավելվածը ներկա է կամ ցուցադրում է սխալի էջ, եթե հավելվածը համակարգում չէ: Տիպիկ արտաքին մշակողների հաջորդական որոնման և սխալների վերադարձի վերլուծության միջոցով կարելի է եզրակացնել, որ համակարգը պարունակում է փորձարկվող ծրագրեր:
Chrome 90-ում Linux-ի համար մեթոդը չաշխատեց, և զննարկիչը ցուցադրեց ստանդարտ գործողության հաստատման երկխոսություն՝ կարգավորիչը ստուգելու բոլոր փորձերի համար (Chrome-ում Windows-ի և macOS-ի համար մեթոդն աշխատում է): Linux-ի համար Firefox 88-ում, ինչպես նորմալ, այնպես էլ ինկոգնիտո ռեժիմում, սկրիպտը հայտնաբերել է ցանկից տեղադրված լրացուցիչ հավելվածների առկայությունը, և նույնականացման ճշգրտությունը գնահատվել է 99.87% (35 նմանատիպ համընկնում 26 հազար թեստից): Նույն համակարգով աշխատող Tor դիտարկիչում ստեղծվել է նույնացուցիչ, որը համապատասխանում է Firefox-ի թեստին:
Հետաքրքիր է, որ Tor Browser-ի լրացուցիչ պաշտպանությունը դաժան կատակ է խաղացել և վերածվել օգտատիրոջ կողմից աննկատ նույնականացում իրականացնելու հնարավորության։ Tor Browser-ում արտաքին մշակիչների օգտագործման հաստատման երկխոսությունների անջատման պատճառով պարզվեց, որ հաստատման հարցումները կարող են բացվել iframe-ում, այլ ոչ թե թռուցիկ պատուհանում (գործարկիչների առկայությունը և բացակայությունը առանձնացնելու համար, նույն ծագման կանոնները արգելափակել մուտքը սխալներով էջեր և թույլ տալ մուտք գործել about:blank էջեր): Ջրհեղեղից պաշտպանության շնորհիվ Tor Browser-ում ստուգումը զգալիորեն ավելի երկար է տևում (10 վայրկյան յուրաքանչյուր հավելվածի համար):
Source: opennet.ru