来自 Mozilla、爱荷华大学和加利福尼亚大学的研究团队 研究在网站上使用代码进行隐藏用户识别的结果。 隐藏标识是指根据有关浏览器操作的间接数据生成标识符,例如 , 支持的 MIME 类型列表, 标头特定选项 ( и ), 建立的分析 ,特定于视频卡的某些 Web API 的可用性 使用 WebGL 渲染和 , 与CSS, , 网络端口,使用特点分析 и .
根据 Alexa 评级对 100 万个最受欢迎的网站进行的研究表明,其中 9040 个网站(10.18%)使用代码来秘密识别访问者。 此外,如果我们考虑前千名最受欢迎的网站,则在 30.60% 的案例(266 个网站)中检测到此类代码,而在排名第 24.45 位的网站中,有 2010% 的案例(XNUMX 个网站)检测到此类代码。 。 隐藏标识主要用于外部服务提供的脚本中 筛选机器人,以及广告网络和用户移动跟踪系统。
为了识别进行隐藏识别的代码,开发了一个工具包 ,其代码 根据麻省理工学院的许可。 该工具包结合使用机器学习技术和 JavaScript 代码的静态和动态分析。 据称,利用机器学习显着提高了隐藏识别代码的准确率,识别出的有问题的脚本数量增加了26%
与手动指定的启发式相比。
许多已识别的识别脚本并未包含在典型的阻止列表中。 , ,鸭鸭Go, и .
发送后 EasyPrivacy 黑名单的开发者是 隐藏识别脚本的单独部分。 此外,FP-Inspector 使我们能够发现一些以前在实践中没有遇到过的使用 Web API 进行识别的新方法。
例如,发现有关键盘布局的信息(getLayoutMap)、缓存中的残留数据被用来识别信息(使用Performance API,分析数据传递的延迟,这使得可以确定用户是否访问了是否存在特定域,以及该页面之前是否打开)、浏览器中设置的权限(有关访问通知、地理位置和相机 API 的信息)、是否存在专用外围设备和罕见传感器(游戏手柄、虚拟现实头盔、接近传感器)。 此外,在识别是否存在专门针对某些浏览器的 API 以及 API 行为的差异(AudioWorklet、setTimeout、mozRTCSessionDescription),以及使用 AudioContext API 来确定声音系统的功能时,都会进行记录。
该研究还研究了在使用针对隐藏识别的保护方法的情况下破坏网站标准功能的问题,从而导致阻止网络请求或限制对 API 的访问。 与 Brave 和 Tor 浏览器相比,选择性地将 API 限制为仅由 FP-Inspector 识别的脚本可以减少对 API 调用使用更严格的一般限制的干扰,从而可能导致数据泄漏。
来源: opennet.ru