Tim peneliti ti Mozilla, Universitas Iowa sareng Universitas California
Panaliti ngeunaan 100 rébu situs anu pang populerna dumasar kana rating Alexa nunjukkeun yén 9040 di antarana (10.18%) ngagunakeun kode pikeun ngaidentipikasi sémah sacara rahasia. Sumawona, upami urang nganggap sarébu situs anu pang populerna, maka kode sapertos kitu dideteksi dina 30.60% kasus (266 situs), sareng diantara situs-situs anu ngeusian tempat-tempat dina réngking ti sarébu dugi ka sapuluh rébu, dina 24.45% kasus (situs 2010). . idéntifikasi disumputkeun utamana dipaké dina Aksara disadiakeun ku jasa éksternal pikeun
Pikeun ngaidentipikasi kodeu anu ngalaksanakeun idéntifikasi disumputkeun, toolkit dikembangkeun
dibandingkeun sareng heuristik anu ditangtukeun sacara manual.
Seueur skrip idéntifikasi anu diidentifikasi henteu kalebet dina daptar blokiran anu biasa.
Sanggeus ngirim
Contona, kapanggih yén informasi ngeunaan tata perenah keyboard (getLayoutMap), data residual dina cache dipaké pikeun ngaidentipikasi informasi (ngagunakeun Performance API, reureuh dina pangiriman data dianalisis, nu ngamungkinkeun pikeun nangtukeun naha pamaké diaksés a. domain tangtu atanapi henteu, kitu ogé naha kaca ieu dibuka saméméhna), idin diatur dina browser nu (inpormasi ngeunaan aksés ka Bewara, Geolocation jeung API kaméra), ayana alat periferal husus sarta sensor langka (gamepads, helmets kanyataanana maya,). sensor jarak). Salaku tambahan, nalika ngaidentipikasi ayana API khusus pikeun panyungsi sareng bédana dina paripolah API (AudioWorklet, setTimeout, mozRTCSessionDescription), kitu ogé panggunaan API AudioContext pikeun nangtukeun fitur sistem sora, éta dirékam.
Panaliti ogé nalungtik masalah gangguan tina fungsionalitas standar situs dina kasus ngagunakeun métode panyalindungan ngalawan idéntifikasi disumputkeun, ngarah ka blocking tina requests jaringan atawa restricting aksés ka API. Ngawatesan API sacara selektif pikeun ngan ukur naskah anu diidentipikasi ku FP-Inspektor parantos nunjukkeun kurang gangguan tibatan Brave and Tor Browser nganggo larangan umum anu langkung ketat dina telepon API, anu berpotensi nyababkeun bocor data.
sumber: opennet.ru