Un team di ricercatori di Mozilla, dell'Università dell'Iowa e dell'Università della California risultati dello studio sull'uso del codice sui siti web per l'identificazione nascosta dell'utente. L'identificazione nascosta si riferisce alla generazione di identificatori basati su dati indiretti sul funzionamento del browser, come ad esempio , elenco dei tipi MIME supportati, opzioni specifiche dell'intestazione ( и ), analisi di stabilito , disponibilità di determinate API Web specifiche per le schede video rendering con WebGL e , con i CSS, , porte di rete, analisi delle funzionalità con cui lavorare и .
Da uno studio sui 100mila siti più popolari secondo le valutazioni di Alexa è emerso che 9040 di essi (10.18%) utilizzano un codice per identificare segretamente i visitatori. Inoltre, se consideriamo i mille siti più popolari, tale codice è stato rilevato nel 30.60% dei casi (266 siti), e tra i siti che occupano posti nella classifica dal millesimo al decimillesimo, nel 24.45% dei casi (siti del 2010) . L'identificazione nascosta viene utilizzata principalmente negli script forniti da servizi esterni per ed escludere i bot, nonché le reti pubblicitarie e i sistemi di tracciamento dei movimenti degli utenti.
Per identificare il codice che effettua l'identificazione nascosta, è stato sviluppato un toolkit , il cui codice sotto licenza MIT. Il toolkit utilizza tecniche di apprendimento automatico in combinazione con l'analisi statica e dinamica del codice JavaScript. Si sostiene che l'uso dell'apprendimento automatico abbia aumentato significativamente la precisione dell'identificazione del codice per l'identificazione nascosta e identificato il 26% in più di script problematici
rispetto alle euristiche specificate manualmente.
Molti degli script di identificazione identificati non erano inclusi nei tipici elenchi di blocco. , ,DuckDuckGo, и .
Dopo l'invio Gli sviluppatori dell'elenco di blocco EasyPrivacy erano una sezione separata per gli script di identificazione nascosti. Inoltre, FP-Inspector ci ha permesso di identificare alcuni nuovi modi di utilizzare l'API Web per l'identificazione che non erano stati precedentemente riscontrati nella pratica.
Ad esempio, è stato scoperto che le informazioni sul layout della tastiera (getLayoutMap), i dati residui nella cache venivano utilizzati per identificare le informazioni (utilizzando la Performance API vengono analizzati i ritardi nella consegna dei dati, il che rende possibile determinare se l'utente ha effettuato l'accesso a un determinato dominio o meno, nonché se la pagina è stata precedentemente aperta), i permessi impostati nel browser (informazioni sull'accesso alle notifiche, alla geolocalizzazione e all'API della fotocamera), la presenza di dispositivi periferici specializzati e sensori rari (gamepad, caschi di realtà virtuale, sensori di prossimità). Inoltre, è stata registrata la presenza di API specializzate per determinati browser e le differenze nel comportamento delle API (AudioWorklet, setTimeout, mozRTCSessionDescription), nonché l'uso dell'API AudioContext per determinare le caratteristiche del sistema audio.
Nello studio è stata esaminata anche la questione dell'interruzione della funzionalità standard dei siti in caso di utilizzo di metodi di protezione contro l'identificazione nascosta, che portano al blocco delle richieste di rete o alla limitazione dell'accesso all'API. È stato dimostrato che limitare selettivamente l'API ai soli script identificati da FP-Inspector comporta meno interruzioni rispetto a Brave e Tor Browser che utilizzano restrizioni generali più rigorose sulle chiamate API, portando potenzialmente a una perdita di dati.
Fonte: opennet.ru