Një ekip studiuesish nga Mozilla, Universiteti i Iowa-s dhe Universiteti i Kalifornisë rezultatet e studimit të përdorimit të kodit në faqet e internetit për identifikimin e fshehur të përdoruesve. Identifikimi i fshehur i referohet gjenerimit të identifikuesve bazuar në të dhëna indirekte rreth funksionimit të shfletuesit, si p.sh. , lista e llojeve MIME të mbështetura, parametra specifikë në kokë ( и ), analiza e instaluar , disponueshmëria e disa API-ve të internetit, specifike për kartat video renderimi duke përdorur WebGL dhe , me CSS, , portet e rrjetit, analiza e veçorive të punës me të и .
Një studim i 100 mijë faqeve më të njohura sipas vlerësimeve të Alexa tregoi se 9040 prej tyre (10.18%) përdorin një kod për të identifikuar fshehurazi vizitorët. Për më tepër, nëse marrim parasysh mijëra faqet më të njohura, atëherë një kod i tillë u zbulua në 30.60% të rasteve (266 sajte), dhe midis faqeve që zinin vende në renditje nga e mijëta në të dhjetë të mijtët, në 24.45% të rasteve (faqet e 2010-ës) . Identifikimi i fshehur përdoret kryesisht në skriptet e ofruara nga shërbimet e jashtme për dhe shqyrtimi i robotëve, si dhe rrjetet e reklamave dhe sistemet e gjurmimit të lëvizjeve të përdoruesve.
Për të identifikuar kodin që kryen identifikimin e fshehur, u zhvillua një paketë veglash , kodi i të cilit me licencë MIT. Paketa e veglave përdor teknika të mësimit të makinerive në kombinim me analizën statike dhe dinamike të kodit JavaScript. Pretendohet se përdorimi i mësimit të makinerive ka rritur ndjeshëm saktësinë e identifikimit të kodit për identifikimin e fshehur dhe ka identifikuar 26% më shumë skripta problematikë
krahasuar me heuristikat e specifikuara manualisht.
Shumë nga skriptet e identifikuara të identifikimit nuk u përfshinë në listat tipike të bllokimit. , ,DuckDuckGo, и .
Pas dërgimit Zhvilluesit e listës së bllokut EasyPrivacy ishin një seksion të veçantë për skriptet e fshehura të identifikimit. Për më tepër, FP-Inspector na lejoi të identifikonim disa mënyra të reja për të përdorur Web API për identifikim që nuk ishin hasur më parë në praktikë.
Për shembull, u zbulua se informacioni në lidhje me paraqitjen e tastierës (getLayoutMap), të dhënat e mbetura në cache u përdorën për të identifikuar informacionin (duke përdorur API-në e performancës, analizohen vonesat në shpërndarjen e të dhënave, gjë që bën të mundur përcaktimin nëse përdoruesi ka akses në një domeni i caktuar apo jo, si dhe nëse faqja ishte hapur më parë), lejet e vendosura në shfletues (informacionet për aksesin në Njoftimin, Gjeolokacionin dhe API-në e kamerës), prania e pajisjeve periferike të specializuara dhe sensorëve të rrallë (gamepads, helmeta të realitetit virtual, sensorë të afërsisë). Për më tepër, gjatë identifikimit të pranisë së API-ve të specializuara për shfletues të caktuar dhe ndryshimeve në sjelljen e API (AudioWorklet, setTimeout, mozRTCSessionDescription), si dhe përdorimi i API AudioContext për të përcaktuar veçoritë e sistemit të zërit, ai u regjistrua.
Studimi shqyrtoi gjithashtu çështjen e ndërprerjes së funksionalitetit standard të faqeve në rastin e përdorimit të metodave të mbrojtjes kundër identifikimit të fshehur, duke çuar në bllokimin e kërkesave të rrjetit ose kufizimin e aksesit në API. Kufizimi selektiv i API-së vetëm në skriptet e identifikuara nga FP-Inspector është treguar se rezulton në më pak ndërprerje sesa Shfletuesi Brave dhe Tor duke përdorur kufizime të përgjithshme më të rrepta në thirrjet API, duke çuar potencialisht në rrjedhje të të dhënave.
Burimi: opennet.ru