Mozilla, Айовагийн их сургууль, Калифорнийн их сургуулийн судлаачдын баг Хэрэглэгчийн далд таних кодыг вэб сайтад ашиглах талаар судалсан үр дүн. Далд таних нь хөтчийн ажиллагааны талаарх шууд бус өгөгдөлд үндэслэн танигч үүсгэхийг хэлнэ. , дэмжигдсэн MIME төрлүүдийн жагсаалт, толгой хэсэгт тодорхой параметрүүд ( и ), суулгасан шинжилгээ , видео картуудад зориулсан тодорхой вэб API-ийн бэлэн байдал WebGL ашиглан дүрслэх ба , CSS-тэй, , сүлжээний портууд, ажиллах онцлог шинж чанаруудын дүн шинжилгээ и .
Alexa үнэлгээний дагуу хамгийн алдартай 100 мянган сайтыг судлахад тэдний 9040 (10.18%) нь зочдыг нууцаар таних код ашигладаг болохыг харуулж байна. Түүнээс гадна, хэрэв бид хамгийн алдартай мянган сайтыг авч үзвэл ийм код нь тохиолдлын 30.60% -д (266 сайт), 24.45% -д (2010 сайт) мянгаас арван мянга хүртэлх жагсаалтад байр эзэлдэг сайтуудын дунд илэрсэн байна. . Далд танилтыг голчлон гадны үйлчилгээнүүдийн скриптүүдэд ашигладаг мөн роботуудыг шалгах, түүнчлэн сурталчилгааны сүлжээ, хэрэглэгчийн хөдөлгөөнийг хянах систем.
Далд таних кодыг тодорхойлохын тулд багаж хэрэгслийг боловсруулсан , хэний код MIT лицензийн дагуу. Хэрэгслийн хэрэгсэл нь JavaScript кодын статик болон динамик шинжилгээтэй хослуулан машин сургалтын техникийг ашигладаг. Машин сургалтын хэрэглээ нь далд таних кодыг тодорхойлох нарийвчлалыг мэдэгдэхүйц нэмэгдүүлж, 26% илүү асуудалтай скриптийг тодорхойлсон гэж мэдэгджээ.
гараар тодорхойлсон эвристиктэй харьцуулахад.
Тодорхойлсон таних скриптүүдийн ихэнх нь блоклох ердийн жагсаалтад ороогүй болно. , ,DuckDuckGo, и .
Илгээсний дараа EasyPrivacy блокийн жагсаалтыг хөгжүүлэгчид байсан далд таних скриптүүдэд зориулсан тусдаа хэсэг. Нэмж дурдахад, FP-Inspector нь өмнө нь практикт тохиолдож байгаагүй вэб API-г таних зорилгоор ашиглах шинэ аргуудыг тодорхойлох боломжийг бидэнд олгосон.
Жишээлбэл, гарны зохион байгуулалт (getLayoutMap), кэш дэх үлдэгдэл өгөгдлийн талаархи мэдээллийг мэдээллийг тодорхойлоход ашигласан (Performance API ашиглан өгөгдөл дамжуулах сааталд дүн шинжилгээ хийдэг бөгөөд энэ нь хэрэглэгч өөрийн тохиргоонд нэвтэрсэн эсэхийг тодорхойлох боломжтой болгодог. тодорхой домэйн эсэх, түүнчлэн хуудсыг өмнө нь нээсэн эсэх), хөтөч дээр тохируулсан зөвшөөрөл (мэдэгдэл, газарзүйн байршил, камерын API-д хандах тухай мэдээлэл), тусгай захын төхөөрөмж, ховор мэдрэгч (тоглоомын самбар, виртуал бодит байдлын дуулга, ойрын мэдрэгч). Нэмж дурдахад, зарим хөтчүүдэд зориулагдсан API-ууд байгаа эсэх, API үйлдлийн ялгаа (AudioWorklet, setTimeout, mozRTCSessionDescription), түүнчлэн дууны системийн онцлогийг тодорхойлоход AudioContext API ашиглах зэргийг тодорхойлохдоо үүнийг бүртгэсэн.
Судалгааны явцад далд танихаас хамгаалах аргыг ашиглах, сүлжээний хүсэлтийг хаах эсвэл API-д хандах хандалтыг хязгаарлахад хүргэж байгаа тохиолдолд сайтуудын стандарт үйл ажиллагааг тасалдуулах асуудлыг судалж үзсэн. API-г зөвхөн FP-Inspector-ийн тодорхойлсон скриптээр сонгон хязгаарлах нь API дуудлагад илүү хатуу ерөнхий хязгаарлалтыг ашигладаг Brave болон Tor Browser-аас бага тасалдал үүсгэдэг бөгөөд энэ нь өгөгдөл алдагдахад хүргэж болзошгүй юм.
Эх сурвалж: opennet.ru