Et websted kan få adgang til et udvalg af Firefox ressource filer for at finde ud af mere om web browser, der bruges til at oprette forbindelse til webstedet.
Firefox og add-ons bruge den ressource:// ordning til at indlæse ressourcer internt, men nogle af de oplysninger, der er tilgængelige på websteder browser forbinder så godt.
Det er uklart, hvorfor websteder vil have adgang til ressource:// ressourcer.
Lækagen synes at være begrænset til standard-filer Firefox skibe med, og ikke bruger ændrede filer, og det er nok den vigtigste grund til, at Mozilla har ikke løst problemet, selvom det blev rapporteret for mere end tre år siden for første gang.
Et script på Browserleaks sætter fokus på, hvad Firefox afslører, når de forespørges ved et simpelt script, der kører på stedet.
Bemærk, at scriptet er brudt i de seneste Nightly og Udvikler versioner af Firefox, men spørgsmålet er stadig.
Scriptet kan afsløre følgende oplysninger om Firefox web browser:
- Platform browseren kører på.
- Standard locale og update-locale.
- Om Tor Browser der bruges.
- Firefox-kanal, og om det er et officielt build.
- Hvis PDF.js er til rådighed, og den version af filen.
- Standard præference-filer, elementer på listen, og deres checksum (firefox.js, firefox-branding.js, firefox-l10n.js, webide-prefs.js, greprefs.js, services-sync.js, 000-tor-browser.js
Det script, der kører på Browserleak hjemmeside registrerer landestandard på to måder. For det første forsøger at få adgang til ressource:///chrome/*/locale/for alle mulige Firefox konventioner, at identificere de ord, der bruges.
Hvis resource:///chrome/da-dk/ er opdaget, for eksempel, betyder det, at Firefox landestandard er engelsk-AMERIKANSK. Derudover, er det forsøg på at få adgang til ressource://gre/update.landestandard, der afslører, Firefox ‘ brugerflade sprog på alle operativsystemer, undtagen på Linux, når der er installeret fra et repository.
Scriptet tjekker filen resource:///defaults/preferences/firefox.js bagefter at opdage den platform, kanal-og andre oplysninger ved at analysere filernes indhold og sammenligne det med kendte versioner af filen.
Forskellige udgaver af Firefox bruger forskellige sæt af standard præferencer og indstillinger, og det er, hvad lækagen script bruger til at bestemme, platform, kanal-og andre oplysninger.
For at opsummere: websites kan bruge en basic-script, der i øjeblikket er for at få oplysninger om browseren Firefox. De oplysninger, der er begrænset til platform, kanal og landestandard.
Fix
Den add-on, Ingen Ressource-URI ‘ Lækagen er blevet oprettet for at blokere websteder i at få adgang til filer ressource. Du skal blot installere det i Firefox til at blokere websteder i at få adgang til filer ressource. Den nemmeste måde at kontrollere, at scriptet er faktisk fungerer, er at køre Browserleak test. Hvis det giver ingen oplysninger, add-on, virker efter hensigten.