Skupina raziskovalcev iz Mozille, Univerze v Iowi in Univerze v Kaliforniji rezultati proučevanja uporabe kode na spletnih mestih za skrito identifikacijo uporabnikov. Skrita identifikacija se nanaša na generiranje identifikatorjev na podlagi posrednih podatkov o delovanju brskalnika, kot npr , seznam podprtih tipov MIME, možnosti, specifične za glavo ( и ), analiza uveljavljenih , razpoložljivost nekaterih spletnih API-jev, specifičnih za grafične kartice upodabljanje z WebGL in , s CSS, , omrežna vrata, analiza značilnosti dela z и .
Študija 100 tisoč najbolj priljubljenih spletnih mest po ocenah Alexa je pokazala, da jih 9040 (10.18 %) uporablja kodo za skrivno identifikacijo obiskovalcev. Poleg tega, če upoštevamo tisoč najbolj priljubljenih spletnih mest, je bila taka koda zaznana v 30.60% primerov (266 spletnih mest), med spletnimi mesti, ki zasedajo mesta v razvrstitvi od tisočega do deset tisočega, pa v 24.45% primerov (2010 spletnih mest) . Skrita identifikacija se uporablja predvsem v skriptih, ki jih zagotavljajo zunanje storitve za in odkrivanje botov ter oglaševalskih omrežij in sistemov za sledenje gibanju uporabnikov.
Za identifikacijo kode, ki izvaja skrito identifikacijo, je bil razvit komplet orodij , čigar šifra pod licenco MIT. Komplet orodij uporablja tehnike strojnega učenja v kombinaciji s statično in dinamično analizo kode JavaScript. Trdi se, da je uporaba strojnega učenja znatno povečala natančnost identifikacijske kode za skrito identifikacijo in identificirala 26 % več problematičnih skriptov.
v primerjavi z ročno določeno hevristiko.
Veliko prepoznanih identifikacijskih skriptov ni bilo vključenih na tipične sezname za blokiranje. , ,DuckDuckGo, и .
Po pošiljanju Razvijalci seznama blokiranih EasyPrivacy so bili ločen razdelek za skrite identifikacijske skripte. Poleg tega nam je FP-Inspector omogočil identifikacijo nekaterih novih načinov uporabe spletnega API-ja za identifikacijo, ki jih prej v praksi nismo srečali.
Ugotovljeno je bilo na primer, da so bili podatki o razporeditvi tipkovnice (getLayoutMap), preostali podatki v predpomnilniku uporabljeni za identifikacijo informacij (z uporabo Performance API-ja se analizirajo zamude pri dostavi podatkov, kar omogoča ugotavljanje, ali je uporabnik dostopal do določena domena ali ne, pa tudi, ali je bila stran predhodno odprta), dovoljenja, nastavljena v brskalniku (podatki o dostopu do Notification, Geolocation in Camera API), prisotnost specializiranih perifernih naprav in redkih senzorjev (gamepads, čelade za navidezno resničnost, senzorji bližine). Poleg tega je bilo zabeleženo pri ugotavljanju prisotnosti API-jev, specializiranih za določene brskalnike, in razlik v obnašanju API-jev (AudioWorklet, setTimeout, mozRTCSessionDescription), pa tudi uporabe API-ja AudioContext za določanje funkcij zvočnega sistema.
Študija je preučila tudi vprašanje motenj standardne funkcionalnosti spletnih mest v primeru uporabe metod zaščite pred skrito identifikacijo, kar vodi do blokiranja omrežnih zahtev ali omejevanja dostopa do API-ja. Izkazalo se je, da selektivno omejevanje API-ja samo na skripte, ki jih identificira FP-Inspector, povzroča manj motenj kot Brave in Tor Browser, ki uporabljata strožje splošne omejitve klicev API-ja, kar lahko vodi do uhajanja podatkov.
Vir: opennet.ru