Isang pangkat ng mga mananaliksik mula sa Mozilla, sa Unibersidad ng Iowa at sa Unibersidad ng California resulta ng pag-aaral ng paggamit ng code sa mga website para sa nakatagong pagkakakilanlan ng user. Ang nakatagong pagkakakilanlan ay tumutukoy sa pagbuo ng mga identifier batay sa hindi direktang data tungkol sa pagpapatakbo ng browser, gaya ng , listahan ng mga sinusuportahang uri ng MIME, mga opsyon na tukoy sa header ( ΠΈ ), pagsusuri ng itinatag , pagkakaroon ng ilang partikular na Web API na partikular sa mga video card pag-render gamit ang WebGL at , gamit ang CSS, , mga port ng network, pagsusuri ng mga tampok ng pagtatrabaho sa ΠΈ .
Ang isang pag-aaral ng 100 libong pinakasikat na site ayon sa mga rating ng Alexa ay nagpakita na 9040 sa kanila (10.18%) ang gumagamit ng code upang lihim na makilala ang mga bisita. Bukod dito, kung isasaalang-alang namin ang libong pinakasikat na mga site, kung gayon ang naturang code ay nakita sa 30.60% ng mga kaso (266 na site), at kabilang sa mga site na sumasakop sa mga lugar sa ranggo mula sa ika-libo hanggang sampung libo, sa 24.45% ng mga kaso (mga site ng 2010) . Ang nakatagong pagkakakilanlan ay pangunahing ginagamit sa mga script na ibinigay ng mga panlabas na serbisyo para sa at pag-screen ng mga bot, pati na rin ang mga network ng advertising at mga sistema ng pagsubaybay sa paggalaw ng gumagamit.
Upang matukoy ang code na nagdadala ng nakatagong pagkakakilanlan, binuo ang isang toolkit , kaninong code sa ilalim ng lisensya ng MIT. Gumagamit ang toolkit ng mga diskarte sa machine learning kasama ng static at dynamic na pagsusuri ng JavaScript code. Sinasabing ang paggamit ng machine learning ay makabuluhang nagpapataas ng katumpakan ng pagtukoy ng code para sa nakatagong pagkakakilanlan at natukoy ang 26% na mas maraming problemang script
kumpara sa manu-manong tinukoy na heuristics.
Marami sa mga natukoy na script ng pagkakakilanlan ay hindi kasama sa karaniwang mga listahan ng pagharang. , ,DuckDuckGo, ΠΈ .
Pagkatapos ipadala Ang mga developer ng EasyPrivacy block list ay isang hiwalay na seksyon para sa mga nakatagong script ng pagkakakilanlan. Bilang karagdagan, pinahintulutan kami ng FP-Inspector na tumukoy ng ilang mga bagong paraan upang magamit ang Web API para sa pagkakakilanlan na hindi pa nakatagpo sa pagsasanay.
Halimbawa, natuklasan na ang impormasyon tungkol sa layout ng keyboard (getLayoutMap), ang natitirang data sa cache ay ginamit upang matukoy ang impormasyon (gamit ang Performance API, ang mga pagkaantala sa paghahatid ng data ay sinusuri, na ginagawang posible upang matukoy kung ang user ay nag-access ng isang ilang domain o hindi, pati na rin kung dati nang binuksan ang page), mga pahintulot na itinakda sa browser (impormasyon tungkol sa pag-access sa Notification, Geolocation at Camera API), ang pagkakaroon ng mga espesyal na peripheral device at mga bihirang sensor (mga gamepad, virtual reality helmet, proximity sensor). Bilang karagdagan, kapag tinutukoy ang pagkakaroon ng mga API na dalubhasa para sa ilang mga browser at mga pagkakaiba sa pag-uugali ng API (AudioWorklet, setTimeout, mozRTCSessionDescription), pati na rin ang paggamit ng AudioContext API upang matukoy ang mga feature ng sound system, ito ay naitala.
Sinuri din ng pag-aaral ang isyu ng pagkagambala sa karaniwang functionality ng mga site sa kaso ng paggamit ng mga paraan ng proteksyon laban sa nakatagong pagkakakilanlan, na humahantong sa pagharang ng mga kahilingan sa network o paghihigpit sa pag-access sa mga API. Ang piling paghihigpit sa API sa mga script lamang na tinukoy ng FP-Inspector ay ipinakita na nagreresulta sa mas kaunting pagkagambala kaysa sa Brave at Tor Browser gamit ang mas mahigpit na pangkalahatang paghihigpit sa mga tawag sa API, na posibleng humantong sa pagtagas ng data.
Pinagmulan: opennet.ru