మొజిల్లా, యూనివర్శిటీ ఆఫ్ అయోవా మరియు యూనివర్శిటీ ఆఫ్ కాలిఫోర్నియా నుండి పరిశోధకుల బృందం దాచిన వినియోగదారు గుర్తింపు కోసం వెబ్సైట్లలో కోడ్ వినియోగాన్ని అధ్యయనం చేసిన ఫలితాలు. దాచిన గుర్తింపు అనేది బ్రౌజర్ యొక్క ఆపరేషన్ గురించి పరోక్ష డేటా ఆధారంగా ఐడెంటిఫైయర్ల ఉత్పత్తిని సూచిస్తుంది. , మద్దతు ఉన్న MIME రకాల జాబితా, హెడర్-నిర్దిష్ట ఎంపికలు ( и ), స్థాపించబడిన విశ్లేషణ , వీడియో కార్డ్లకు నిర్దిష్టమైన నిర్దిష్ట వెబ్ APIల లభ్యత WebGLతో రెండరింగ్ మరియు , CSS తో, , నెట్వర్క్ పోర్ట్లు, పని చేసే లక్షణాల విశ్లేషణ и .
అలెక్సా రేటింగ్ల ప్రకారం 100 వేల అత్యంత జనాదరణ పొందిన సైట్ల అధ్యయనంలో వాటిలో 9040 (10.18%) సందర్శకులను రహస్యంగా గుర్తించడానికి కోడ్ను ఉపయోగిస్తున్నట్లు తేలింది. అంతేకాకుండా, మేము వెయ్యి అత్యంత జనాదరణ పొందిన సైట్లను పరిశీలిస్తే, అటువంటి కోడ్ 30.60% కేసులలో (266 సైట్లు) కనుగొనబడింది మరియు 24.45% కేసులలో (2010 సైట్లు) వెయ్యి నుండి పది వేల వరకు ర్యాంకింగ్లో స్థలాలను ఆక్రమించిన సైట్లలో కనుగొనబడింది. . దాచిన గుర్తింపు ప్రధానంగా బాహ్య సేవల ద్వారా అందించబడిన స్క్రిప్ట్లలో ఉపయోగించబడుతుంది మరియు బాట్లను స్క్రీనింగ్ చేయడం, అలాగే అడ్వర్టైజింగ్ నెట్వర్క్లు మరియు యూజర్ మూవ్మెంట్ ట్రాకింగ్ సిస్టమ్లు.
దాచిన గుర్తింపును నిర్వహించే కోడ్ను గుర్తించడానికి, టూల్కిట్ అభివృద్ధి చేయబడింది , దీని కోడ్ MIT లైసెన్స్ కింద. టూల్కిట్ జావాస్క్రిప్ట్ కోడ్ యొక్క స్టాటిక్ మరియు డైనమిక్ విశ్లేషణతో కలిపి మెషిన్ లెర్నింగ్ టెక్నిక్లను ఉపయోగిస్తుంది. మెషిన్ లెర్నింగ్ ఉపయోగం దాచిన గుర్తింపు కోసం కోడ్ను గుర్తించే ఖచ్చితత్వాన్ని గణనీయంగా పెంచిందని మరియు 26% ఎక్కువ సమస్యాత్మక స్క్రిప్ట్లను గుర్తించిందని పేర్కొన్నారు.
మాన్యువల్గా పేర్కొన్న హ్యూరిస్టిక్స్తో పోలిస్తే.
గుర్తించబడిన అనేక గుర్తింపు స్క్రిప్ట్లు సాధారణ బ్లాకింగ్ జాబితాలలో చేర్చబడలేదు. , ,డక్డక్గో, и .
పంపిన తర్వాత ఈజీ ప్రైవసీ బ్లాక్ లిస్ట్ డెవలపర్లు దాచిన గుర్తింపు స్క్రిప్ట్ల కోసం ప్రత్యేక విభాగం. అదనంగా, FP-ఇన్స్పెక్టర్ గతంలో ఆచరణలో లేని గుర్తింపు కోసం వెబ్ APIని ఉపయోగించడానికి కొన్ని కొత్త మార్గాలను గుర్తించడానికి మాకు అనుమతినిచ్చింది.
ఉదాహరణకు, కీబోర్డ్ లేఅవుట్ (getLayoutMap), కాష్లోని అవశేష డేటా సమాచారాన్ని గుర్తించడానికి ఉపయోగించబడిందని కనుగొనబడింది (పనితీరు APIని ఉపయోగించి, డేటా డెలివరీలో జాప్యాలు విశ్లేషించబడతాయి, ఇది వినియోగదారు యాక్సెస్ చేశారో లేదో నిర్ధారించడం సాధ్యం చేస్తుంది. నిర్దిష్ట డొమైన్ లేదా పేజీ మునుపు తెరవబడిందా లేదా అనే దానితో పాటుగా, బ్రౌజర్లో అనుమతులు సెట్ చేయబడ్డాయి (నోటిఫికేషన్, జియోలొకేషన్ మరియు కెమెరా APIకి యాక్సెస్ గురించి సమాచారం), ప్రత్యేకమైన పరిధీయ పరికరాలు మరియు అరుదైన సెన్సార్ల ఉనికి (గేమ్ప్యాడ్లు, వర్చువల్ రియాలిటీ హెల్మెట్లు, సామీప్య సెన్సార్లు). అదనంగా, నిర్దిష్ట బ్రౌజర్ల కోసం ప్రత్యేకమైన APIల ఉనికిని గుర్తించినప్పుడు మరియు API ప్రవర్తనలో తేడాలు (AudioWorklet, setTimeout, mozRTCSessionDescription), అలాగే సౌండ్ సిస్టమ్ యొక్క లక్షణాలను గుర్తించడానికి ఆడియోకాంటెక్స్ట్ APIని ఉపయోగించినప్పుడు, అది రికార్డ్ చేయబడింది.
దాచిన గుర్తింపుకు వ్యతిరేకంగా రక్షణ పద్ధతులను ఉపయోగించడం, నెట్వర్క్ అభ్యర్థనలను నిరోధించడం లేదా APIకి ప్రాప్యతను పరిమితం చేయడం వంటి వాటి విషయంలో సైట్ల ప్రామాణిక కార్యాచరణకు అంతరాయం కలిగించే సమస్యను కూడా అధ్యయనం పరిశీలించింది. FP-ఇన్స్పెక్టర్ ద్వారా గుర్తించబడిన స్క్రిప్ట్లకు మాత్రమే APIని పరిమితం చేయడం వలన API కాల్లపై మరింత కఠినమైన సాధారణ పరిమితులను ఉపయోగించడం వల్ల బ్రేవ్ మరియు టోర్ బ్రౌజర్ కంటే తక్కువ అంతరాయం ఏర్పడుతుందని చూపబడింది, ఇది డేటా లీకేజీకి దారితీయవచ్చు.
మూలం: opennet.ru