Mozilla, Айова университеті және Калифорния университетінің зерттеушілер тобы жасырын пайдаланушы сәйкестендіру үшін веб-сайттардағы кодты пайдалануды зерттеу нәтижелері. Жасырын сәйкестендіру браузердің жұмысы туралы жанама деректерге негізделген идентификаторларды генерациялауды білдіреді, мысалы , қолдау көрсетілетін MIME түрлерінің тізімі, тақырыпқа қатысты опциялар ( и ), белгіленген талдау , бейне карталарға тән белгілі бір Web API интерфейстерінің болуы WebGL көмегімен көрсету және , CSS көмегімен, , желі порттары, жұмыс істеу ерекшеліктерін талдау и .
Alexa рейтингі бойынша ең танымал 100 мың сайтты зерттеу олардың 9040 10.18-ы (30.60%) келушілерді жасырын анықтау үшін кодты қолданатынын көрсетті. Сонымен қатар, егер ең танымал мың сайтты қарастыратын болсақ, онда мұндай код 266% жағдайда (24.45 сайт), ал мыңнан он мыңға дейінгі орындарды алатын сайттар арасында, 2010% жағдайда (XNUMX сайт) анықталды. . Жасырын сәйкестендіру негізінен сыртқы қызметтер ұсынатын сценарийлерде қолданылады және боттарды, сондай-ақ жарнама желілерін және пайдаланушы қозғалысын бақылау жүйелерін скринингтен өткізу.
Жасырын сәйкестендіруді жүзеге асыратын кодты анықтау үшін құралдар жинағы әзірленді , кімнің коды MIT лицензиясы бойынша. Құралдар жинағы JavaScript кодының статикалық және динамикалық талдауымен бірге машиналық оқыту әдістерін пайдаланады. Машиналық оқытуды пайдалану жасырын сәйкестендіру үшін кодты анықтау дәлдігін айтарлықтай арттырды және 26% көп проблемалық сценарийлерді анықтады деп мәлімделді.
қолмен анықталған эвристикамен салыстырғанда.
Анықталған сәйкестендіру сценарийлерінің көпшілігі әдеттегі блоктау тізімдеріне қосылмаған. , ,DuckDuckGo, и .
Жібергеннен кейін EasyPrivacy блок тізімін әзірлеушілер болды жасырын сәйкестендіру сценарийлеріне арналған бөлек бөлім. Сонымен қатар, FP-Inspector бізге бұрын тәжірибеде кездеспейтін идентификация үшін Web API пайдаланудың кейбір жаңа жолдарын анықтауға мүмкіндік берді.
Мысалы, пернетақта орналасуы (getLayoutMap) туралы ақпарат, кэштегі қалдық деректер ақпаратты анықтау үшін пайдаланылғаны анықталды (Performance API көмегімен, деректерді жеткізудегі кідірістер талданады, бұл пайдаланушының кіру мүмкіндігін анықтауға мүмкіндік береді. белгілі бір домен немесе жоқ, сондай-ақ беттің бұрын ашылғаны ма), шолғышта орнатылған рұқсаттар (Хабарландыру, геолокация және Camera API кіру туралы ақпарат), мамандандырылған перифериялық құрылғылар мен сирек сенсорлардың болуы (геймпадтар, виртуалды шындық дулығалары, жақындық сенсорлары). Сонымен қатар, белгілі бір браузерлер үшін мамандандырылған API интерфейстерінің болуын және API әрекетіндегі айырмашылықтарды (AudioWorklet, setTimeout, mozRTCSessionDescription) анықтау кезінде, сондай-ақ дыбыстық жүйенің мүмкіндіктерін анықтау үшін AudioContext API пайдалану жазылды.
Зерттеу сонымен қатар жасырын идентификациядан қорғау әдістерін қолдану жағдайында желілік сұрауларды бұғаттауға немесе API қолжетімділігін шектеуге әкелетін сайттардың стандартты функционалдығын бұзу мәселесін қарастырды. API-ді тек FP-Inspector анықтаған сценарийлермен таңдамалы түрде шектеу API қоңырауларына неғұрлым қатаң жалпы шектеулерді қолданатын Brave және Tor шолғышына қарағанда, деректердің ағып кетуіне әкелуі мүмкін.
Ақпарат көзі: opennet.ru