Sebuah tim peneliti dari Mozilla, University of Iowa dan University of California hasil mempelajari penggunaan kode pada situs web untuk identifikasi pengguna tersembunyi. Identifikasi tersembunyi mengacu pada pembuatan pengidentifikasi berdasarkan data tidak langsung tentang pengoperasian browser, seperti , daftar jenis MIME yang didukung, opsi khusus tajuk ( ΠΈ ), analisis didirikan , ketersediaan API Web tertentu khusus untuk kartu video rendering dengan WebGL dan , dengan CSS, , port jaringan, analisis fitur bekerja dengan ΠΈ .
Sebuah studi terhadap 100 ribu situs terpopuler menurut peringkat Alexa menunjukkan bahwa 9040 di antaranya (10.18%) menggunakan kode untuk mengidentifikasi pengunjung secara diam-diam. Selain itu, jika kita mempertimbangkan seribu situs paling populer, maka kode tersebut terdeteksi pada 30.60% kasus (266 situs), dan di antara situs yang menempati peringkat dari seperseribu hingga sepuluh ribu, pada 24.45% kasus (2010 situs) . Identifikasi tersembunyi terutama digunakan dalam skrip yang disediakan oleh layanan eksternal untuk dan menyaring bot, serta jaringan periklanan dan sistem pelacakan pergerakan pengguna.
Untuk mengidentifikasi kode yang melakukan identifikasi tersembunyi, sebuah toolkit dikembangkan , kode siapa di bawah lisensi MIT. Toolkit ini menggunakan teknik pembelajaran mesin yang dikombinasikan dengan analisis kode JavaScript statis dan dinamis. Penggunaan pembelajaran mesin diklaim telah meningkatkan akurasi identifikasi kode untuk identifikasi tersembunyi secara signifikan dan 26% lebih banyak mengidentifikasi skrip bermasalah
dibandingkan dengan heuristik yang ditentukan secara manual.
Banyak dari skrip identifikasi yang teridentifikasi tidak termasuk dalam daftar pemblokiran pada umumnya. , ,BebekBebekPergi, ΠΈ .
Setelah mengirim Pengembang daftar blokir EasyPrivacy adalah bagian terpisah untuk skrip identifikasi tersembunyi. Selain itu, FP-Inspector memungkinkan kami mengidentifikasi beberapa cara baru dalam menggunakan Web API untuk identifikasi yang sebelumnya tidak ditemui dalam praktik.
Misalnya, ditemukan bahwa informasi tentang tata letak keyboard (getLayoutMap), data sisa dalam cache digunakan untuk mengidentifikasi informasi (menggunakan Performance API, penundaan pengiriman data dianalisis, yang memungkinkan untuk menentukan apakah pengguna mengakses a domain tertentu atau tidak, serta apakah halaman tersebut sebelumnya dibuka), izin yang ditetapkan di browser (informasi tentang akses ke Notifikasi, Geolokasi, dan API Kamera), keberadaan perangkat periferal khusus dan sensor langka (gamepad, helm realitas virtual, sensor jarak). Selain itu, saat mengidentifikasi keberadaan API khusus untuk browser tertentu dan perbedaan perilaku API (AudioWorklet, setTimeout, mozRTCSessionDescription), serta penggunaan AudioContext API untuk menentukan fitur sistem suara, hal itu dicatat.
Studi ini juga mengkaji masalah gangguan fungsionalitas standar situs jika menggunakan metode perlindungan terhadap identifikasi tersembunyi, yang menyebabkan pemblokiran permintaan jaringan atau pembatasan akses ke API. Membatasi API secara selektif hanya pada skrip yang diidentifikasi oleh FP-Inspector telah terbukti menghasilkan lebih sedikit gangguan dibandingkan Brave dan Tor Browser yang menggunakan pembatasan umum yang lebih ketat pada panggilan API, yang berpotensi menyebabkan kebocoran data.
Sumber: opennet.ru