Google Chrome avslører Extensions til Websites

Google Chrome avslører Extensions til nettsteder

Jeg kan være gammeldags i denne forbindelse, men jeg foretrekker nettsteder og selskaper å vite så lite om meg som mulig, med mindre de opplysninger brukes for en tjeneste som Jeg gjør aktiv bruk av. Jeg har ikke noe imot Amazon vite at jeg er en voksen mann, som denne blokkerer anbefalinger og tilbud rettet mot et kvinnelig publikum på nettstedet.

Ideelt sett nettsteder som jeg ikke har en konto hos bør vite noe om meg. Den polske sikkerhetsforsker Krzysztof Kotowicz oppdaget en mulighet å fingeravtrykk Chrome add-ons med noen få linjer med Javascript-kode.

Metoden brukes tester dersom visse utvidelser er installert i nettleseren, som er forskjellig fra notering alle installerte utvidelser . Her er de tekniske detaljene om hvordan dette kan gjøres:

Hver addon har en manifest.json fil. I http [s]: //side du kan prøve å laste inn et script cross-ordningen fra forlengelse chrome-: //URL, i dette tilfellet - manifestfilen. Du trenger bare den addon unike id å sette inn URL. Hvis utvidelsen er installert, vil manifest laste og onload hendelsen vil brann. Hvis ikke -. Onerror arrangementet er der for deg

Du kan fremdeles huske CSS Historie Leak problemet var en liste over populære nettadresser ble brukt på nettsteder for å finne ut om en besøkende fikk besøke disse nettstedene i fortiden. Prinsippet er det samme, bare utførelsen er annerledes.

En proof-of-concept siden er opprettet som Chrome-brukere kan besøke for en demonstrasjon. Chrome-brukere uten utvidelser installert, eller andre nettleserbrukere, er ikke berørt av dette i det hele tatt.


Dette har to implikasjoner. Først en personvern en, som nettsteder kan bruke informasjonen til en rekke formål. De kan for eksempel teste om en adblocker er installert, eller sosiale nettverk, shopping eller graviditet extensions. Sikkerhet er den andre. Ondsinnede nettsteder kan sjekke om add-ons med kjente sårbarheter er installert som ikke lenger vedlikeholdt av forfatteren.

Ifølge informasjon postet i kommentarfeltet, add-ons installert fra en spesialpakket forlengelse fil eller som er lastet utpakket er ikke anerkjent av manuset.

Det ser ut til at Firefox er også lekker ut informasjon i denne forbindelse. Blokkering Javascript-kode forhindrer at dette skjer. Anmeldelser



Previous:
Next Page: