Tim peneliti saka Mozilla, Universitas Iowa lan Universitas California asil sinau panggunaan kode ing situs web kanggo identifikasi pangguna sing didhelikake. Identifikasi sing didhelikake nuduhake generasi pengenal adhedhasar data ora langsung babagan operasi browser, kayata , dhaptar jinis MIME sing didhukung, paramèter tartamtu ing header ( и ), analisis diinstal , kasedhiyan API Web tartamtu, khusus kanggo kertu video rendering nggunakake WebGL lan , nganggo CSS, , port jaringan, analisis fitur saka nggarap и .
Sinau babagan 100 ewu situs sing paling populer miturut peringkat Alexa nuduhake yen 9040 (10.18%) nggunakake kode kanggo ngenali pengunjung kanthi rahasia. Menapa malih, yen kita nimbang ewu situs sing paling populer, kode kasebut dideteksi ing 30.60% kasus (266 situs), lan ing antarane situs sing manggoni papan ing peringkat saka sewu nganti sepuluh ewu, ing 24.45% kasus (situs 2010) . Identifikasi sing didhelikake utamane digunakake ing skrip sing diwenehake dening layanan eksternal kanggo lan screening metu bot, uga jaringan iklan lan sistem nelusuri gerakan pangguna.
Kanggo ngenali kode sing nindakake identifikasi sing didhelikake, toolkit dikembangake , sing kode ing lisensi MIT. Toolkit nggunakake teknik machine learning ing kombinasi karo analisis statis lan dinamis kode JavaScript. Diklaim manawa panggunaan machine learning wis nambah akurasi identifikasi kode kanggo identifikasi sing didhelikake lan ngenali 26% luwih akeh skrip masalah.
dibandhingake karo heuristik sing ditemtokake kanthi manual.
Akeh skrip identifikasi sing diidentifikasi ora kalebu ing dhaptar pamblokiran sing khas. , , DuckDuckGo, ΠΈ .
Sawise ngirim Pangembang dhaptar blok EasyPrivacy yaiku bagean kapisah kanggo script identifikasi didhelikake. Kajaba iku, FP-Inspektur ngidini kita ngenali sawetara cara anyar kanggo nggunakake API Web kanggo identifikasi sing durung ditemoni sadurunge.
Contone, ditemokake yen informasi babagan tata letak keyboard (getLayoutMap), data residual ing cache digunakake kanggo ngenali informasi (nggunakake Performance API, wektu tundha pangiriman data dianalisis, sing ndadekake bisa nemtokake manawa pangguna ngakses a domain tartamtu utawa ora, uga apa kaca dibukak sadurunge), ijin sing disetel ing browser (informasi babagan akses menyang Notifikasi, Geolokasi lan API Kamera), ananΓ© piranti peripheral khusus lan sensor langka (gamepads, helm kasunyatan virtual, sensor jarak). Kajaba iku, nalika ngenali ananΓ© API khusus kanggo browser tartamtu lan beda ing prilaku API (AudioWorklet, setTimeout, mozRTCSessionDescription), uga nggunakake AudioContext API kanggo nemtokake fitur saka sistem swara, direkam.
Panliten kasebut uga nliti masalah gangguan fungsi standar situs ing kasus nggunakake cara proteksi marang identifikasi sing didhelikake, ndadΓ©kakΓ© pamblokiran panjalukan jaringan utawa matesi akses menyang API. Watesan selektif API kanggo mung skrip sing diidentifikasi dening FP-Inspektur wis ditampilake nyebabake gangguan sing luwih sithik tinimbang Browser Brave lan Tor nggunakake watesan umum sing luwih ketat ing telpon API, sing bisa nyebabake kebocoran data.
Source: opennet.ru