Mozilla, Ayova universiteti va Kaliforniya universiteti tadqiqotchilari guruhi maxfiy foydalanuvchi identifikatsiyasi uchun veb-saytlarda koddan foydalanishni o'rganish natijalari. Yashirin identifikatsiya brauzerning ishlashi haqidagi bilvosita ma'lumotlarga asoslangan identifikatorlarni yaratishni anglatadi, masalan , qoʻllab-quvvatlanadigan MIME turlari roʻyxati, sarlavhaga xos variantlar ( и ), o'rnatilgan tahlil , video kartalarga xos bo'lgan ba'zi veb-APIlar mavjudligi WebGL bilan renderlash va , CSS bilan, , tarmoq portlari, ular bilan ishlash xususiyatlarini tahlil qilish и .
Alexa reytingiga ko'ra 100 ming eng ommabop saytlarni o'rganish shuni ko'rsatdiki, ulardan 9040 10.18 tasi (30.60%) tashrif buyuruvchilarni yashirincha aniqlash uchun koddan foydalanadi. Bundan tashqari, mingta eng ommabop saytlarni hisobga oladigan bo'lsak, bunday kod 266% hollarda (24.45 ta sayt) va reytingda mingdan o'n minginchigacha bo'lgan o'rinlarni egallagan saytlar orasida 2010% hollarda (XNUMX yildagi saytlar) aniqlangan. . Yashirin identifikatsiya asosan tashqi xizmatlar tomonidan taqdim etilgan skriptlarda qo'llaniladi va botlarni, shuningdek, reklama tarmoqlarini va foydalanuvchi harakatini kuzatish tizimlarini skrining qilish.
Yashirin identifikatsiyani amalga oshiradigan kodni aniqlash uchun asboblar to'plami ishlab chiqilgan , kimning kodi MIT litsenziyasi ostida. Asboblar to'plami JavaScript kodini statik va dinamik tahlil qilish bilan birgalikda mashinani o'rganish usullaridan foydalanadi. Mashinani o'rganishdan foydalanish yashirin identifikatsiyalash uchun kodni aniqlashning aniqligini sezilarli darajada oshirgan va 26% ko'proq muammoli skriptlarni aniqlaganligi da'vo qilinadi.
qo'lda belgilangan evristika bilan solishtirganda.
Ko'pgina aniqlangan identifikatsiya skriptlari odatdagi bloklash ro'yxatiga kiritilmagan. , ,DuckDuckGo, и .
Yuborishdan keyin EasyPrivacy bloklari ro'yxatini ishlab chiquvchilar edi yashirin identifikatsiya skriptlari uchun alohida bo'lim. Bundan tashqari, FP-Inspektor bizga identifikatsiya qilish uchun Web API-dan foydalanishning amalda ilgari uchramagan yangi usullarini aniqlash imkonini berdi.
Masalan, klaviatura tartibi (getLayoutMap), keshdagi qoldiq ma'lumotlar haqidagi ma'lumotlar ma'lumotni aniqlash uchun ishlatilganligi aniqlandi (Performance API yordamida, ma'lumotlarni etkazib berishdagi kechikishlar tahlil qilinadi, bu esa foydalanuvchining kirish yoki yo'qligini aniqlash imkonini beradi. ma'lum domen yoki yo'qligi, shuningdek, sahifa ilgari ochilganmi yoki yo'qmi), brauzerda o'rnatilgan ruxsatlar (xabarnoma, Geolocation va Camera API-ga kirish haqida ma'lumot), ixtisoslashgan periferik qurilmalar va noyob sensorlarning mavjudligi (geympadlar, virtual haqiqat dubulg'alari, yaqinlik sensorlari). Bundan tashqari, ma'lum brauzerlar uchun ixtisoslashtirilgan API mavjudligini va API xatti-harakatlaridagi farqlarni (AudioWorklet, setTimeout, mozRTCSessionDescription) aniqlashda, shuningdek, ovoz tizimining xususiyatlarini aniqlash uchun AudioContext API-dan foydalanish qayd etildi.
Tadqiqot, shuningdek, tarmoq so'rovlarini blokirovka qilishga yoki APIga kirishni cheklashga olib keladigan yashirin identifikatsiyadan himoya qilish usullaridan foydalanganda saytlarning standart funksionalligini buzish masalasini ham ko'rib chiqdi. APIni faqat FP-Inspector tomonidan aniqlangan skriptlar bilan tanlab cheklash Brave va Tor brauzerlariga qaraganda kamroq buzilishlarga olib kelishi ko'rsatilgan, bu esa API qo'ng'iroqlariga nisbatan qattiqroq umumiy cheklovlarni qo'llaydi va bu ma'lumotlarning sizib chiqishiga olib kelishi mumkin.
Manba: opennet.ru