Mozilla-medewerkers Resultaten van een onderzoek naar de mogelijkheid om gebruikers te identificeren op basis van een browserprofiel dat mogelijk zichtbaar is voor derden en websites. Een analyse van 52 browserprofielen van Firefox-gebruikers die deelnamen aan het experiment, toonde aan dat voorkeuren bij het bezoeken van websites kenmerkend zijn voor elke gebruiker en constant zijn. De verkregen profielen met browsegeschiedenis waren voor 99% uniek. Tegelijkertijd blijft de hoge mate van uniekheid van de profielen behouden, zelfs als de steekproef beperkt is tot slechts honderd populaire websites.
De heridentificatiemogelijkheid werd getest in een experiment van twee weken, waarbij de bezoekgegevens van de eerste week werden vergeleken met die van de tweede week. Het bleek dat 50% van de gebruikers die 50 of meer verschillende domeinen bezochten, opnieuw geïdentificeerd kon worden. Bij een bezoek aan 150 of meer verschillende domeinen steeg de heridentificatiedekking tot 80%. De test werd uitgevoerd op een steekproef van 10 websites om de gegevens te simuleren die grote contentaanbieders zouden kunnen ontvangen (Google kan bijvoorbeeld bezoeken aan 9823 van deze 10000 websites monitoren, Facebook aan 7348, Verizon aan 5500).
Deze functie stelt grote eigenaren van populaire bronnen in staat om gebruikers met een vrij hoge waarschijnlijkheid te identificeren. Zo kunnen Google, Facebook en Twitter, waarvan de widgets op websites van derden worden geplaatst, theoretisch ongeveer 80% van de gebruikers heridentificeren.
Het is ook mogelijk om eerder geopende sites te bepalen met behulp van indirecte methoden, bijvoorbeeld door populaire domeinen in JavaScript-code te inventariseren met een beoordeling van het verschil in vertragingen bij het laden van bronnen. Als de site onlangs door de gebruiker is geopend, wordt de bron vrijwel direct uit de browsercache opgehaald. Voorheen konden geopende pagina's worden bepaald met behulp van HSTS-instellingencaching (bij het openen van een site met HSTS werd de HTTP-aanvraag onmiddellijk omgeleid naar HTTPS zonder dat er via HTTP toegang werd geprobeerd) en toestanden van de CSS-eigenschap "bezocht".
In een soortgelijk onderzoek werden vergelijkbare CSS-gebaseerde methoden voor het detecteren van de browsegeschiedenis gebruikt, van 2009 tot 2011. Dit onderzoek toonde aan dat 42% van de gebruikers geïdentificeerd kon worden bij het controleren van 50 pagina's en 70% bij het controleren van 500 pagina's. Mozilla-onderzoek en verduidelijkte de bevindingen van de vorige publicatie, terwijl de nauwkeurigheid van het bepalen van de bezoekgeschiedenis aanzienlijk werd verbeterd en de dekking van gecontroleerde domeinen werd verhoogd van 6000 naar 10000 (in totaal werden gegevens over 660000 domeinen verkregen, maar er werd een steekproef van 10 van de populairste domeinen gebruikt bij het beoordelen van de identificatie).
Bron: opennet.ru
