Hópur vísindamanna frá Mozilla, University of Iowa og University of California niðurstöður rannsókna á notkun kóða á vefsíðum til að auðkenna falinn notanda. Falin auðkenning vísar til myndun auðkenna sem byggjast á óbeinum gögnum um virkni vafrans, svo sem , listi yfir studdar MIME-gerðir, sérstakar breytur í hausum ( и ), greining á uppsettum , framboð á tilteknum vefforritaskilum, sérstaklega fyrir skjákort flutningur með því að nota WebGL og , með CSS, , nettengi, greining á eiginleikum þess að vinna með и .
Rannsókn á 100 þúsund vinsælustu síðunum samkvæmt einkunnum Alexa sýndi að 9040 þeirra (10.18%) nota kóða til að bera kennsl á gesti á laun. Þar að auki, ef við lítum á þúsund vinsælustu síðurnar, þá fannst slíkur kóði í 30.60% tilvika (266 síður) og meðal vefsvæða sem skipa sæti í röðinni frá þúsundasta til tíu þúsundasta, í 24.45% tilvika (2010 síður) . Falin auðkenning er aðallega notuð í forskriftum sem utanaðkomandi þjónustur veita og að skima út vélmenni, auk auglýsinganeta og eftirlitskerfi notendahreyfinga.
Til að bera kennsl á kóðann sem framkvæmir falinn auðkenningu var þróað verkfærasett , hvers kóða undir MIT leyfi. Verkfærakistan notar vélanámstækni ásamt kyrrstöðu og kraftmikilli greiningu á JavaScript kóða. Því er haldið fram að notkun vélanáms hafi aukið verulega nákvæmni auðkenningarkóða fyrir falinn auðkenningu og auðkennt 26% erfiðari forskriftir
miðað við handvirkt tilgreinda heuristics.
Mörg auðkenndu auðkenningarforskriftanna voru ekki með á dæmigerðum lokunarlistum. , ,DuckDuckGo, и .
Eftir sendingu Hönnuðir EasyPrivacy blokkalistans voru sér hluti fyrir falin auðkenningarforskriftir. Að auki leyfði FP-Inspector okkur að bera kennsl á nokkrar nýjar leiðir til að nota vef-API til auðkenningar sem ekki var áður komið upp í reynd.
Til dæmis kom í ljós að upplýsingar um lyklaborðsuppsetningu (getLayoutMap), leifar af gögnum í skyndiminni voru notaðar til að bera kennsl á upplýsingar (með því að nota Performance API eru tafir á afhendingu gagna greindar, sem gerir það mögulegt að ákvarða hvort notandinn hafi aðgang að a. ákveðið lén eða ekki, svo og hvort síðan hafi verið opnuð áður), heimildir settar í vafranum (upplýsingar um aðgang að Notification, Geolocation og Camera API), tilvist sérhæfðra jaðartækja og sjaldgæfra skynjara (spilavita, sýndarveruleika hjálma, nálægðarskynjara). Að auki, þegar greint var frá tilvist API sérhæfðra fyrir ákveðna vafra og mun á API hegðun (AudioWorklet, setTimeout, mozRTCSessionDescription), sem og notkun AudioContext API til að ákvarða eiginleika hljóðkerfisins, var það skráð.
Rannsóknin kannaði einnig vandamálið um truflun á stöðluðum virkni vefsvæða þegar um er að ræða að nota aðferðir til að vernda gegn falinni auðkenningu, sem leiðir til þess að netbeiðnir séu lokaðar eða aðgangur að API takmarkaður. Sýnt hefur verið fram á að það að takmarka forritaskilin valkvætt við aðeins forskriftir sem FP-Inspector greinir frá hefur leitt til minni truflunar en Brave og Tor Browser með því að nota strangari almennar takmarkanir á API símtölum, sem gæti leitt til gagnaleka.
Heimild: opennet.ru