Mozilla、アイオワ大学、カリフォルニア大学の研究者チーム ユーザー識別を隠すために Web サイト上でコードを使用することを研究した結果。 非表示の識別とは、ブラウザの動作に関する間接的なデータに基づいて識別子を生成することを指します。 、サポートされている MIME タイプのリスト、ヘッダー固有のオプション ( и )、確立された分析 、ビデオ カードに固有の特定の Web API の可用性 WebGL を使用したレンダリングと , CSSを使用すると、 , ネットワークポート、使用する機能の分析 и .
Alexa の評価による最も人気のある 100 万サイトを調査したところ、そのうち 9040 サイト (10.18%) がコードを使用して訪問者を密かに識別していることがわかりました。 さらに、最も人気のあるサイト 30.60 件を考慮すると、そのようなコードは 266% のケース (24.45 サイト) で検出され、ランキングの 2010 位から XNUMX 位までを占めているサイトでは XNUMX% のケース (XNUMX 年サイト) で検出されました。 。 非表示の ID は主に、外部サービスによって提供されるスクリプトで使用されます。 ボットだけでなく、広告ネットワークやユーザーの移動追跡システムも排除します。
隠された識別を実行するコードを識別するために、ツールキットが開発されました 、そのコード MITライセンスの下で。 このツールキットは、機械学習技術と JavaScript コードの静的および動的分析を組み合わせて使用します。 機械学習の使用により、隠された識別コードの識別精度が大幅に向上し、問題のあるスクリプトを 26% 多く識別できるようになったと主張されています。
手動で指定したヒューリスティックと比較します。
特定された識別スクリプトの多くは、一般的なブロック リストには含まれていませんでした。 , 、ダックダックゴー、 и .
送信後 EasyPrivacy ブロック リストの開発者は次のとおりです。 非表示の識別スクリプトについては別のセクションを参照してください。 さらに、FP-Inspector により、これまで実際には存在しなかった、識別に Web API を使用する新しい方法をいくつか特定することができました。
例えば、キーボードレイアウトに関する情報(getLayoutMap)や、キャッシュに残っているデータなどを利用して情報を特定していたことが判明(Performance APIを利用し、データ配信の遅延を分析することで、ユーザーがWebサイトにアクセスしたかどうかを判定できる)特定のドメインかどうか、ページが以前に開かれたかどうかなど)、ブラウザに設定されている権限(通知、位置情報、カメラ API へのアクセスに関する情報)、特殊な周辺機器やまれなセンサーの存在(ゲームパッド、仮想現実ヘルメット、近接センサー)。 さらに、特定のブラウザに特化した API の存在と API 動作の違い (AudioWorklet、setTimeout、mozRTCSessionDescription)、およびサウンド システムの機能を決定するための AudioContext API の使用を特定する際に記録されました。
この調査では、隠蔽された個人情報に対する保護方法を使用した場合に、サイトの標準機能が中断され、ネットワーク リクエストのブロックや API へのアクセスの制限につながる問題も調査されました。 API を FP-Inspector によって識別されたスクリプトのみに選択的に制限すると、API 呼び出しに対してより厳格な一般制限を使用する Brave や Tor Browser よりも中断が少なくなり、潜在的にデータ漏洩につながることが示されています。
出所: オープンネット.ru