Ekran o'lchamlari, WebGL xususiyatlari va o'rnatilgan plaginlar va shriftlar ro'yxati kabi bilvosita xususiyatlarga asoslanib, brauzer identifikatorlarini passiv ravishda yaratadigan fingerprintjs kutubxonasini ishlab chiquvchilar foydalanuvchining o'rnatilgan ilovalarini baholash va brauzerning qo'shimcha protokol ishlov beruvchilarini qo'llab-quvvatlashini tekshirishga asoslangan yangi identifikatsiya usulini taqdim etdilar. Usulni amalga oshiruvchi skript MIT litsenziyasi ostida nashr etilgan.
Tekshirish 32 ta mashhur ilovaga ishlov beruvchilarning bog'lanishlarini tahlil qilishga asoslangan. Masalan, brauzerda telegram://, slack:// va skype:// URL sxemalari uchun ishlov beruvchilarning mavjudligini aniqlash orqali tizimda Telegram, Slack va Skype ilovalarining mavjudligini taxmin qilish va tizim identifikatorini yaratishda bu ma'lumotdan bayroq sifatida foydalanish mumkin. Ishlovchilar ro'yxati tizimdagi barcha brauzerlar uchun bir xil bo'lgani uchun, identifikator brauzerlarni almashtirishda o'zgarmaydi va Chrome, Firefox, Safari, Brave, Yandex Browser, Edge va hatto Tor Browserda ham ishlatilishi mumkin.
Bu usul 32-bitli identifikatorlarni yaratadi, ya'ni u o'z-o'zidan yuqori aniqlikka erisha olmaydi, lekin uni boshqa parametrlar bilan birgalikda qo'shimcha xususiyat sifatida ishlatish mumkin. Ushbu usulning muhim kamchiligi foydalanuvchi tomonidan identifikatsiyalash urinishining ko'rinishidir: taqdim etilgan demo sahifasida identifikatorni yaratishda pastki o'ng burchakda kichik, ammo aniq ko'rinadigan oyna ochiladi, bu yerda ishlov beruvchilar jarayonni ancha vaqt davomida aylantirib o'tishadi. Bu kamchilik Tor brauzerida uchramaydi, bu yerda identifikatorni aniqlanmagan holda hisoblash mumkin.
Ilovaning mavjudligini aniqlash uchun skript tashqi ishlov beruvchi bilan bog'liq havolani qalqib chiquvchi oynada ochishga harakat qiladi. Keyin brauzer tekshirilayotgan ilova mavjud bo'lsa, foydalanuvchiga tegishli ilovadagi tarkibni ochishni taklif qiluvchi dialog oynasini yoki ilova mavjud bo'lmasa, xato sahifasini ko'rsatadi. Odatdagi tashqi ishlov beruvchilarni ketma-ket sinab ko'rish va qaytarilgan xatoni tahlil qilish orqali tekshirilayotgan dasturlar tizimda mavjudligini aniqlash mumkin.
Chrome 90 da Linux Usul ishlamadi va brauzer operatsiyani tasdiqlash uchun standart dialog oynasini ko'rsatdi (ishlov beruvchini tekshirishga urinishlar uchun Chrome'da) Windows и macOS usul ishlaydi). Firefox 88 da LinuxOddiy va inkognito rejimlarida skript ro'yxatdan o'rnatilgan qo'shimcha ilovalarning mavjudligini aniqladi, identifikatsiya aniqligi 99.87% ni tashkil etdi (26 000 ta testdan 35 tasi shunday mos keladi). Tor brauzerini xuddi shu tizimda ishga tushirib, u Firefox testiga mos keladigan identifikatorni yaratdi.
Qizig'i shundaki, Tor brauzeridagi qo'shimcha himoya foydalanuvchining xabarisiz identifikatsiyani amalga oshirishga imkon berib, teskari natija berdi. Tor brauzerida tashqi ishlov beruvchilar uchun tasdiqlash dialoglarini o'chirib qo'yish tasdiqlash so'rovlarini qalqib chiquvchi oynada emas, balki iframeda ochish mumkinligini anglatardi (bir xil kelib chiqish qoidalari xato sahifalariga kirishni bloklaydi va ishlov beruvchilarning mavjudligi va yo'qligini farqlash uchun about:blank sahifalariga kirishga imkon beradi). Suv toshqini himoyasi tufayli Tor brauzerida tasdiqlash ancha ko'proq vaqt talab etadi (har bir ilova uchun 10 soniya).
Manba: opennet.ru
