Tout site web peut accéder à une sélection de Firefox fichiers de ressources pour en savoir plus sur le navigateur web qui est utilisé pour se connecter au site.
Firefox et add-ons utilisation de la ressource:// charger les ressources à l’interne, mais certaines informations sont disponibles aux sites le navigateur se connecte aussi bien.
Il est difficile de comprendre pourquoi les sites web ont besoin d’accéder à la ressource:// ressources.
La fuite semble être limité à des fichiers par défaut de Firefox est livré avec, et non pas de l’utilisateur des fichiers modifiés, et c’est probablement la raison principale pourquoi Mozilla n’a pas résolu le problème, même si il a été signalé plus de trois ans, pour la première fois.
Un script sur Browserleaks met en évidence ce que Firefox révèle lorsqu’il est interrogé par un simple script en cours d’exécution sur le site.
Veuillez noter que le script est interrompue au cours des dernières Nightly et Développeur versions de Firefox, mais que le problème demeure.
Le script peut révéler les informations suivantes sur le navigateur web Firefox:
- Plate-forme le navigateur est exécuté.
- Paramètres régionaux par défaut et mettre à jour les paramètres régionaux.
- Si le Navigateur Tor est utilisé.
- Firefox canal et si c’est un officiel de construire.
- Si PDF.js est disponible et la version du fichier.
- Fichiers de préférences par défaut, les éléments énumérés, et leur somme de contrôle (firefox.js, firefox-branding.js, firefox-l10n.js, webide-prefs.js, greprefs.js, services-sync.js, 000-tor-browser.js
Le script qui s’exécute sur le Browserleak site web détecte les paramètres régionaux de deux façons. Tout d’abord, il tente d’accéder à la ressource:///chrome/*/locale/pour tous les possible de Firefox locales pour identifier les paramètres régionaux utilisés.
Si resource:///chrome/en-US/ est détecté, par exemple, cela signifie que le Firefox des paramètres régionaux anglais-états-unis. En outre, il tente d’accéder à la ressource://gre/mise à jour.locale, qui révèle le Firefox la langue de l’interface sur tous les systèmes d’exploitation sauf sur Linux quand installé à partir d’un référentiel.
Le script vérifie le fichier resource:///defaults/preferences/firefox.js par la suite afin de détecter la plate-forme, de canaux et d’autres informations en analysant le contenu du fichier, et de le comparer aux versions connues du fichier.
Les différentes versions de Firefox utiliser de différents ensembles de préférences par défaut et les paramètres, et c’est ce que la fuite script utilise pour déterminer la plate-forme, le canal et d’autres informations.
Pour résumer: les sites web peuvent utiliser un script de base actuellement pour obtenir des informations sur le navigateur Firefox. Les informations sont limitées à la plate-forme, le canal et les paramètres régionaux.
Fix
L’add-on Aucune Ressource URI Fuite a été créé pour bloquer des sites web d’accéder à des fichiers de ressources. Suffit de l’installer dans Firefox pour bloquer des sites web d’accéder à des fichiers de ressources. La façon la plus simple pour vérifier que le script est en effet à travailler est de lancer le Browserleak test. Si elle ne renvoie aucune information, l’add-on fonctionne comme prévu.