來自 Mozilla、愛荷華大學和加州大學的研究團隊 研究在網站上使用程式碼進行隱藏使用者識別的結果。 隱藏標識是指根據有關瀏覽器操作的間接資料產生標識符,例如 , 支持的 MIME 類型列表, 標頭特定選項 ( и ), 建立的分析 ,特定於視頻卡的某些 Web API 的可用性 使用 WebGL 渲染和 , 與CSS, , 網路端口,使用特點分析 и .
根據 Alexa 評級對 100 萬個最受歡迎的網站進行的研究表明,其中 9040 個網站(10.18%)使用代碼來秘密識別訪客。 此外,如果我們考慮前千個最受歡迎的網站,則在30.60% 的案例(266 個網站)中檢測到此類程式碼,而在排名第24.45 位的網站中,有2010% 的案例(XNUMX 個網站)檢測到此類代碼。 。 隱藏標識主要用於外部服務提供的腳本中 篩選機器人,以及廣告網路和使用者行動追蹤系統。
為了識別進行隱藏識別的程式碼,開發了一個工具包 ,其程式碼 根據麻省理工學院的許可。 該工具包結合使用機器學習技術和 JavaScript 程式碼的靜態和動態分析。 據稱,利用機器學習顯著提高了隱藏識別代碼的準確率,識別出的有問題的腳本數量增加了26%
與手動指定的啟發式相比。
許多已識別的識別腳本並未包含在典型的封鎖清單中。 , ,鴨鴨Go, и .
發送後 EasyPrivacy 黑名單的開發者是 隱藏識別腳本的單獨部分。 此外,FP-Inspector 使我們能夠發現一些以前在實踐中沒有遇到過的使用 Web API 進行識別的新方法。
例如,發現有關鍵盤佈局的資訊(getLayoutMap)、快取中的殘留資料被用來識別資訊(使用Performance API,分析資料傳遞的延遲,這使得可以確定使用者是否存取了是否存在特定網域,以及該頁面之前是否開啟)、瀏覽器中設定的權限(有關存取通知、地理位置和相機API 的資訊)、是否存在專用週邊設備和罕見感測器(遊戲手把、虛擬實境頭盔、接近感應器)。 此外,在識別是否存在專門針對某些瀏覽器的 API 以及 API 行為的差異(AudioWorklet、setTimeout、mozRTCSessionDescription),以及使用 AudioContext API 來確定聲音系統的功能時,都會進行記錄。
該研究還研究了在使用針對隱藏識別的保護方法的情況下破壞網站標準功能的問題,從而導致阻止網路請求或限制對 API 的存取。 與 Brave 和 Tor 瀏覽器相比,選擇性地將 API 限制為僅由 FP-Inspector 識別的腳本可以減少對 API 呼叫使用更嚴格的一般限制的干擾,從而可能導致資料外洩。
來源: opennet.ru