ทีมนักวิจัยจาก Mozilla, มหาวิทยาลัยไอโอวา และมหาวิทยาลัยแคลิฟอร์เนีย
การศึกษาไซต์ที่ได้รับความนิยมสูงสุด 100 แห่งตามการจัดอันดับของ Alexa พบว่า 9040 แห่ง (10.18%) ใช้รหัสเพื่อระบุผู้เยี่ยมชมอย่างลับๆ ยิ่งไปกว่านั้น หากเราพิจารณาไซต์ที่ได้รับความนิยมสูงสุดนับพันไซต์ โค้ดดังกล่าวจะถูกตรวจพบใน 30.60% ของกรณี (266 ไซต์) และในบรรดาไซต์ที่มีตำแหน่งในการจัดอันดับตั้งแต่พันถึงหมื่นใน 24.45% ของกรณี (ไซต์ 2010) . การระบุตัวตนที่ซ่อนอยู่ส่วนใหญ่จะใช้ในสคริปต์ที่ให้บริการภายนอกสำหรับ
เพื่อระบุรหัสที่ดำเนินการระบุตัวตนที่ซ่อนอยู่ ชุดเครื่องมือจึงได้รับการพัฒนา
เปรียบเทียบกับการวิเคราะห์พฤติกรรมที่ระบุด้วยตนเอง
สคริปต์ระบุตัวตนที่ระบุจำนวนมากไม่รวมอยู่ในรายการบล็อกทั่วไป
หลังจากส่ง
ตัวอย่างเช่น พบว่าข้อมูลเกี่ยวกับรูปแบบแป้นพิมพ์ (getLayoutMap) ข้อมูลที่เหลืออยู่ในแคชถูกนำมาใช้เพื่อระบุข้อมูล (โดยใช้ Performance API ความล่าช้าในการส่งข้อมูลได้รับการวิเคราะห์ ซึ่งทำให้สามารถตรวจสอบได้ว่าผู้ใช้เข้าถึง a โดเมนบางโดเมนหรือไม่ เช่นเดียวกับว่าเพจนั้นถูกเปิดก่อนหน้านี้หรือไม่) การอนุญาตที่ตั้งไว้ในเบราว์เซอร์ (ข้อมูลเกี่ยวกับการเข้าถึงการแจ้งเตือน ตำแหน่งทางภูมิศาสตร์ และ API ของกล้อง) การมีอยู่ของอุปกรณ์ต่อพ่วงพิเศษ และเซ็นเซอร์หายาก (เกมแพด หมวกเสมือนจริง พรอกซิมิตี้เซนเซอร์) นอกจากนี้ เมื่อระบุการมีอยู่ของ API ที่พิเศษสำหรับเบราว์เซอร์บางตัวและความแตกต่างในลักษณะการทำงานของ API (AudioWorklet, setTimeout, mozRTCSessionDescription) รวมถึงการใช้ AudioContext API เพื่อกำหนดคุณสมบัติของระบบเสียง จะมีการบันทึกไว้
การศึกษายังตรวจสอบปัญหาการหยุดชะงักของฟังก์ชันมาตรฐานของไซต์ในกรณีที่ใช้วิธีการป้องกันการระบุตัวตนที่ซ่อนอยู่ ซึ่งนำไปสู่การบล็อกคำขอเครือข่ายหรือการจำกัดการเข้าถึง API การเลือกจำกัด API ไว้เฉพาะสคริปต์ที่ระบุโดย FP-Inspector แสดงให้เห็นว่าส่งผลให้เกิดการหยุดชะงักน้อยกว่า Brave และ Tor Browser โดยใช้ข้อจำกัดทั่วไปที่เข้มงวดมากขึ้นในการเรียก API ซึ่งอาจนำไปสู่การรั่วไหลของข้อมูล
ที่มา: opennet.ru