മോസില്ല, അയോവ സർവകലാശാല, കാലിഫോർണിയ സർവകലാശാല എന്നിവിടങ്ങളിൽ നിന്നുള്ള ഗവേഷകരുടെ ഒരു സംഘം മറഞ്ഞിരിക്കുന്ന ഉപയോക്തൃ ഐഡന്റിഫിക്കേഷനായി വെബ്സൈറ്റുകളിൽ കോഡിന്റെ ഉപയോഗം പഠിക്കുന്നതിന്റെ ഫലങ്ങൾ. മറഞ്ഞിരിക്കുന്ന ഐഡന്റിഫിക്കേഷൻ എന്നത് ബ്രൗസറിന്റെ പ്രവർത്തനത്തെക്കുറിച്ചുള്ള പരോക്ഷ ഡാറ്റയെ അടിസ്ഥാനമാക്കിയുള്ള ഐഡന്റിഫയറുകൾ സൃഷ്ടിക്കുന്നതിനെ സൂചിപ്പിക്കുന്നു. , പിന്തുണയ്ക്കുന്ന MIME തരങ്ങളുടെ പട്ടിക, തലക്കെട്ടുകളിലെ പ്രത്യേക പാരാമീറ്ററുകൾ ( и ), ഇൻസ്റ്റാൾ ചെയ്തതിന്റെ വിശകലനം , വീഡിയോ കാർഡുകൾക്ക് പ്രത്യേകമായ ചില വെബ് API-കളുടെ ലഭ്യത WebGL ഉപയോഗിച്ച് റെൻഡറിംഗ് കൂടാതെ , CSS ഉപയോഗിച്ച്, , നെറ്റ്വർക്ക് പോർട്ടുകൾ, പ്രവർത്തിക്കുന്നതിന്റെ സവിശേഷതകളുടെ വിശകലനം и .
അലക്സാ റേറ്റിംഗുകൾ പ്രകാരം ഏറ്റവും പ്രചാരമുള്ള 100 സൈറ്റുകളിൽ നടത്തിയ ഒരു പഠനം കാണിക്കുന്നത് അവയിൽ 9040 (10.18%) സന്ദർശകരെ രഹസ്യമായി തിരിച്ചറിയാൻ ഒരു കോഡ് ഉപയോഗിക്കുന്നു എന്നാണ്. കൂടാതെ, ഞങ്ങൾ ഏറ്റവും ജനപ്രിയമായ ആയിരം സൈറ്റുകൾ പരിഗണിക്കുകയാണെങ്കിൽ, അത്തരമൊരു കോഡ് 30.60% കേസുകളിലും (266 സൈറ്റുകൾ) ആയിരം മുതൽ പതിനായിരം വരെയുള്ള റാങ്കിംഗിൽ സ്ഥാനമുള്ള സൈറ്റുകൾക്കിടയിൽ, 24.45% കേസുകളിലും (2010 സൈറ്റുകൾ) കണ്ടെത്തി. . മറഞ്ഞിരിക്കുന്ന ഐഡന്റിഫിക്കേഷൻ പ്രധാനമായും ഉപയോഗിക്കുന്നത് ബാഹ്യ സേവനങ്ങൾ നൽകുന്ന സ്ക്രിപ്റ്റുകളിൽ ആണ് കൂടാതെ ബോട്ടുകൾ, പരസ്യ ശൃംഖലകൾ, യൂസർ മൂവ്മെന്റ് ട്രാക്കിംഗ് സിസ്റ്റങ്ങൾ എന്നിവ സ്ക്രീനിംഗും.
മറഞ്ഞിരിക്കുന്ന ഐഡന്റിഫിക്കേഷൻ നടത്തുന്ന കോഡ് തിരിച്ചറിയാൻ, ഒരു ടൂൾകിറ്റ് വികസിപ്പിച്ചെടുത്തു , ആരുടെ കോഡ് MIT ലൈസൻസിന് കീഴിൽ. ജാവാസ്ക്രിപ്റ്റ് കോഡിന്റെ സ്റ്റാറ്റിക്, ഡൈനാമിക് അനാലിസിസ് സംയോജിപ്പിച്ച് ടൂൾകിറ്റ് മെഷീൻ ലേണിംഗ് ടെക്നിക്കുകൾ ഉപയോഗിക്കുന്നു. മെഷീൻ ലേണിംഗിന്റെ ഉപയോഗം, മറഞ്ഞിരിക്കുന്ന ഐഡന്റിഫിക്കേഷനുള്ള തിരിച്ചറിയൽ കോഡിന്റെ കൃത്യത ഗണ്യമായി വർദ്ധിപ്പിച്ചതായും 26% കൂടുതൽ പ്രശ്നകരമായ സ്ക്രിപ്റ്റുകൾ തിരിച്ചറിഞ്ഞതായും അവകാശപ്പെടുന്നു.
മാനുവലായി വ്യക്തമാക്കിയ ഹ്യൂറിസ്റ്റിക്സുമായി താരതമ്യം ചെയ്യുമ്പോൾ.
തിരിച്ചറിഞ്ഞ പല ഐഡന്റിഫിക്കേഷൻ സ്ക്രിപ്റ്റുകളും സാധാരണ തടയൽ ലിസ്റ്റുകളിൽ ഉൾപ്പെടുത്തിയിട്ടില്ല. , ,ഡക്ക്ഡക്ക്ഗോ, и .
അയച്ച ശേഷം ഈസി പ്രൈവസി ബ്ലോക്ക് ലിസ്റ്റിന്റെ ഡെവലപ്പർമാർ മറഞ്ഞിരിക്കുന്ന തിരിച്ചറിയൽ സ്ക്രിപ്റ്റുകൾക്കായി ഒരു പ്രത്യേക വിഭാഗം. കൂടാതെ, പ്രയോഗത്തിൽ മുമ്പ് കണ്ടിട്ടില്ലാത്ത തിരിച്ചറിയലിനായി വെബ് API ഉപയോഗിക്കുന്നതിനുള്ള ചില പുതിയ വഴികൾ തിരിച്ചറിയാൻ FP-ഇൻസ്പെക്ടർ ഞങ്ങളെ അനുവദിച്ചു.
ഉദാഹരണത്തിന്, കീബോർഡ് ലേഔട്ട് (getLayoutMap), കാഷെയിലെ ശേഷിക്കുന്ന ഡാറ്റ എന്നിവയെ കുറിച്ചുള്ള വിവരങ്ങൾ വിവരങ്ങൾ തിരിച്ചറിയാൻ ഉപയോഗിച്ചതായി കണ്ടെത്തി (പെർഫോമൻസ് API ഉപയോഗിച്ച്, ഡാറ്റ ഡെലിവറിയിലെ കാലതാമസം വിശകലനം ചെയ്യുന്നു, ഇത് ഉപയോക്താവ് ആക്സസ് ചെയ്തിട്ടുണ്ടോ എന്ന് നിർണ്ണയിക്കുന്നത് സാധ്യമാക്കുന്നു. നിശ്ചിത ഡൊമെയ്നാണോ അല്ലയോ, കൂടാതെ പേജ് മുമ്പ് തുറന്നിട്ടുണ്ടോ എന്നതും), ബ്രൗസറിൽ സജ്ജീകരിച്ച അനുമതികൾ (അറിയിപ്പ്, ജിയോലൊക്കേഷൻ, ക്യാമറ API എന്നിവയിലേക്കുള്ള ആക്സസിനെക്കുറിച്ചുള്ള വിവരങ്ങൾ), പ്രത്യേക പെരിഫറൽ ഉപകരണങ്ങളുടെയും അപൂർവ സെൻസറുകളുടെയും സാന്നിധ്യം (ഗെയിംപാഡുകൾ, വെർച്വൽ റിയാലിറ്റി ഹെൽമെറ്റുകൾ, പ്രോക്സിമിറ്റി സെൻസറുകൾ). കൂടാതെ, ചില ബ്രൗസറുകൾക്ക് പ്രത്യേകമായുള്ള API-കളുടെ സാന്നിധ്യവും API സ്വഭാവത്തിലെ വ്യത്യാസങ്ങളും (AudioWorklet, setTimeout, mozRTCSessionDescription) തിരിച്ചറിയുമ്പോൾ, ശബ്ദസംവിധാനത്തിന്റെ സവിശേഷതകൾ നിർണ്ണയിക്കാൻ ഓഡിയോ കോൺടെക്സ്റ്റ് API ഉപയോഗിക്കുമ്പോൾ, അത് രേഖപ്പെടുത്തി.
മറഞ്ഞിരിക്കുന്ന ഐഡന്റിഫിക്കേഷനിൽ നിന്നുള്ള പരിരക്ഷയുടെ രീതികൾ ഉപയോഗിക്കുന്നതിലും നെറ്റ്വർക്ക് അഭ്യർത്ഥനകൾ തടയുന്നതിലേക്കോ API-യിലേക്കുള്ള ആക്സസ് പരിമിതപ്പെടുത്തുന്നതിലേക്കോ നയിക്കുന്ന സാഹചര്യത്തിലും സൈറ്റുകളുടെ സ്റ്റാൻഡേർഡ് പ്രവർത്തനത്തെ തടസ്സപ്പെടുത്തുന്നതിന്റെ പ്രശ്നവും പഠനം പരിശോധിച്ചു. എഫ്പി-ഇൻസ്പെക്ടർ തിരിച്ചറിഞ്ഞ സ്ക്രിപ്റ്റുകൾക്ക് മാത്രമായി എപിഐയെ പരിമിതപ്പെടുത്തുന്നത്, എപിഐ കോളുകളിൽ കൂടുതൽ കർശനമായ പൊതു നിയന്ത്രണങ്ങൾ ഉപയോഗിക്കുന്ന ബ്രേവ്, ടോർ ബ്രൗസറിനേക്കാൾ കുറഞ്ഞ തടസ്സം സൃഷ്ടിക്കുന്നതായി കാണിക്കുന്നു, ഇത് ഡാറ്റ ചോർച്ചയ്ക്ക് കാരണമാകും.
അവലംബം: opennet.ru