Một nhóm các nhà nghiên cứu từ Mozilla, Đại học Iowa và Đại học California kết quả nghiên cứu việc sử dụng mã trên các trang web để nhận dạng người dùng ẩn. Nhận dạng ẩn đề cập đến việc tạo số nhận dạng dựa trên dữ liệu gián tiếp về hoạt động của trình duyệt, chẳng hạn như , danh sách các loại MIME được hỗ trợ, các tham số cụ thể trong tiêu đề ( и ), phân tích cài đặt , tính khả dụng của một số API Web nhất định, dành riêng cho thẻ video kết xuất bằng WebGL và , với CSS, , cổng mạng, phân tích các tính năng làm việc với и .
Một nghiên cứu về 100 nghìn trang web phổ biến nhất theo xếp hạng của Alexa cho thấy 9040 trang web trong số đó (10.18%) sử dụng mã để bí mật nhận dạng khách truy cập. Hơn nữa, nếu chúng ta xem xét một nghìn trang web phổ biến nhất, thì mã như vậy được phát hiện trong 30.60% trường hợp (266 trang web) và trong số các trang web chiếm vị trí trong bảng xếp hạng từ thứ một nghìn đến thứ mười nghìn, trong 24.45% trường hợp (trang web năm 2010) . Nhận dạng ẩn chủ yếu được sử dụng trong các tập lệnh được cung cấp bởi các dịch vụ bên ngoài cho và sàng lọc các bot, cũng như các mạng quảng cáo và hệ thống theo dõi chuyển động của người dùng.
Để xác định mã thực hiện nhận dạng ẩn, một bộ công cụ đã được phát triển , mã của ai theo giấy phép MIT. Bộ công cụ sử dụng các kỹ thuật máy học kết hợp với phân tích tĩnh và động của mã JavaScript. Người ta khẳng định rằng việc sử dụng máy học đã làm tăng đáng kể độ chính xác của việc xác định mã để nhận dạng ẩn và xác định được nhiều tập lệnh có vấn đề hơn 26%
so với các phương pháp phỏng đoán được chỉ định thủ công.
Nhiều tập lệnh nhận dạng được xác định không được đưa vào danh sách chặn thông thường. , ,DuckDuckGo, и .
Sau khi đa gửi Các nhà phát triển danh sách chặn EasyPrivacy đã một phần riêng biệt dành cho các tập lệnh nhận dạng ẩn. Ngoài ra, FP-Inspector cho phép chúng tôi xác định một số cách mới để sử dụng API Web để nhận dạng mà trước đây chưa từng gặp trong thực tế.
Ví dụ: người ta đã phát hiện ra rằng thông tin về bố cục bàn phím (getLayoutMap), dữ liệu còn lại trong bộ đệm được sử dụng để xác định thông tin (sử dụng API hiệu suất, độ trễ trong việc cung cấp dữ liệu sẽ được phân tích, giúp xác định xem người dùng có truy cập vào một tên miền nhất định hay không, cũng như trang đã được mở trước đó hay chưa), các quyền được đặt trong trình duyệt (thông tin về quyền truy cập vào API Thông báo, Định vị địa lý và Camera), sự hiện diện của các thiết bị ngoại vi chuyên dụng và cảm biến hiếm (tay cầm chơi game, mũ bảo hiểm thực tế ảo, Cảm biến tiệm cận). Ngoài ra, khi xác định sự hiện diện của các API chuyên dụng cho một số trình duyệt nhất định và sự khác biệt trong hành vi API (AudioWorklet, setTimeout, mozRTCSessionDescription), cũng như việc sử dụng API AudioContext để xác định các tính năng của hệ thống âm thanh, nó đã được ghi lại.
Nghiên cứu cũng xem xét vấn đề gián đoạn chức năng tiêu chuẩn của các trang web trong trường hợp sử dụng các phương pháp bảo vệ chống lại nhận dạng ẩn, dẫn đến việc chặn các yêu cầu mạng hoặc hạn chế quyền truy cập vào API. Việc hạn chế có chọn lọc API chỉ ở các tập lệnh được FP-Inspector xác định đã được chứng minh là ít gây gián đoạn hơn so với Brave và Tor Browser bằng cách sử dụng các hạn chế lệnh gọi API chung hạn chế hơn có khả năng dẫn đến rò rỉ dữ liệu.
Nguồn: opennet.ru