موزیلا، آئیووا یونیورسٹی اور کیلیفورنیا یونیورسٹی کے محققین کی ایک ٹیم پوشیدہ صارف کی شناخت کے لیے ویب سائٹس پر کوڈ کے استعمال کا مطالعہ کرنے کے نتائج۔ پوشیدہ شناخت سے مراد براؤزر کے آپریشن کے بارے میں بالواسطہ ڈیٹا پر مبنی شناخت کنندگان کی نسل ہے، جیسے ، معاون MIME اقسام کی فہرست، ہیڈر میں مخصوص پیرامیٹرز ( и )، نصب کا تجزیہ مخصوص ویب APIs کی دستیابی، ویڈیو کارڈز کے لیے مخصوص WebGL کا استعمال کرتے ہوئے رینڈرنگ اور , سی ایس ایس کے ساتھ، , نیٹ ورک پورٹس، کام کرنے کی خصوصیات کا تجزیہ и .
الیکسا کی درجہ بندی کے مطابق 100 ہزار سب سے زیادہ مقبول سائٹس کے مطالعے سے پتہ چلتا ہے کہ ان میں سے 9040 (10.18%) خفیہ طور پر دیکھنے والوں کی شناخت کے لیے کوڈ کا استعمال کرتے ہیں۔ مزید برآں، اگر ہم ہزار مقبول ترین سائٹس پر غور کریں، تو اس طرح کا کوڈ 30.60% کیسز (266 سائٹس) میں پایا گیا، اور ہزارویں سے دس ہزارویں نمبر پر جگہوں پر قبضہ کرنے والی سائٹس میں، 24.45% کیسز میں (2010 سائٹس) . پوشیدہ شناخت بنیادی طور پر اسکرپٹ میں استعمال ہوتی ہے جو بیرونی خدمات کے ذریعے فراہم کی جاتی ہیں۔ اور بوٹس کی اسکریننگ کے ساتھ ساتھ ایڈورٹائزنگ نیٹ ورکس اور یوزر موومنٹ ٹریکنگ سسٹم۔
اس کوڈ کی شناخت کے لیے جو پوشیدہ شناخت کو انجام دیتا ہے، ایک ٹول کٹ تیار کی گئی تھی۔ ، جس کا کوڈ ایم آئی ٹی لائسنس کے تحت۔ ٹول کٹ جاوا اسکرپٹ کوڈ کے جامد اور متحرک تجزیہ کے ساتھ مل کر مشین لرننگ تکنیک کا استعمال کرتی ہے۔ یہ دعویٰ کیا جاتا ہے کہ مشین لرننگ کے استعمال نے پوشیدہ شناخت کے لیے شناختی کوڈ کی درستگی میں نمایاں اضافہ کیا ہے اور 26 فیصد زیادہ مشکل اسکرپٹس کی نشاندہی کی ہے۔
دستی طور پر مخصوص heuristics کے مقابلے میں۔
بہت سے شناخت شدہ شناختی اسکرپٹس کو عام بلاکنگ لسٹوں میں شامل نہیں کیا گیا تھا۔ , ,DuckDuckGo и .
بھیجنے کے بعد ایزی پرائیویسی بلاک لسٹ کے ڈویلپر تھے۔ پوشیدہ شناختی اسکرپٹس کے لیے ایک الگ سیکشن۔ اس کے علاوہ، FP-انسپکٹر نے ہمیں شناخت کے لیے ویب API کو استعمال کرنے کے کچھ نئے طریقوں کی نشاندہی کرنے کی اجازت دی جو پہلے عملی طور پر سامنے نہیں آئے تھے۔
مثال کے طور پر، یہ پتہ چلا کہ کی بورڈ لے آؤٹ (getLayoutMap) کے بارے میں معلومات، کیشے میں موجود بقایا ڈیٹا کو معلومات کی شناخت کے لیے استعمال کیا گیا تھا (پرفارمنس API کا استعمال کرتے ہوئے، ڈیٹا کی ترسیل میں تاخیر کا تجزیہ کیا جاتا ہے، جس سے یہ طے کرنا ممکن ہوتا ہے کہ آیا صارف نے ایک تک رسائی حاصل کی ہے یا نہیں۔ کچھ ڈومین یا نہیں، نیز آیا صفحہ پہلے کھولا گیا تھا، براؤزر میں سیٹ کی گئی اجازتیں (اطلاعات، جغرافیائی محل وقوع اور کیمرہ API تک رسائی کے بارے میں معلومات)، خصوصی پیریفرل ڈیوائسز اور نایاب سینسر کی موجودگی (گیم پیڈز، ورچوئل رئیلٹی ہیلمیٹ، قربت کے سینسر)۔ اس کے علاوہ، مخصوص براؤزرز کے لیے مخصوص APIs کی موجودگی اور API رویے میں فرق (AudioWorklet، setTimeout، mozRTCSessionDescription) کے ساتھ ساتھ ساؤنڈ سسٹم کی خصوصیات کا تعین کرنے کے لیے AudioContext API کے استعمال کی نشاندہی کرتے وقت، اسے ریکارڈ کیا گیا۔
مطالعہ نے پوشیدہ شناخت کے خلاف تحفظ کے طریقوں کو استعمال کرنے کے معاملے میں سائٹس کی معیاری فعالیت میں رکاوٹ کے مسئلے کا بھی جائزہ لیا، جس کے نتیجے میں نیٹ ورک کی درخواستوں کو روکنا یا APIs تک رسائی کو محدود کرنا۔ منتخب طور پر API کو صرف FP-انسپکٹر کے ذریعہ شناخت کردہ اسکرپٹس تک محدود کرنے کے نتیجے میں بریو اور ٹور براؤزر کے مقابلے میں کم خلل پیدا ہوتا ہے جو کہ ممکنہ طور پر ڈیٹا کے اخراج کا باعث بننے والی عام API کال پابندیوں کا استعمال کرتے ہیں۔
ماخذ: opennet.ru