Firefox-Addon-Detektor ist ein web-Dienst, der zeigt, wenn Firefox-Nutzer mit dem Dienst verbunden haben spezifische Firefox-add-ons installiert.
Wenn Sie den Firefox web-browser können Sie wissen, dass Firefox nutzt lokale Ressourcen, wie Bilder oder Stylesheets. Ein einfaches Beispiel ist about:logo zeigt das Firefox-logo, wenn verwendet, als ein image-tag auf eine website, aber nur, wenn die website besucht wird mit dem Firefox-browser.
Über:logo ist ein Verweis auf ein Bild, und da ist es eine Firefox-spezifische Referenz, es funktioniert nur, wenn der browser verwendet wird, als andere Browser wie Chrome oder Microsoft Rand weiß nichts über den Bezug oder Schiff mit dem Bild verknüpft ist.
Ein Problem, das daraus entsteht ist, dass das Scannen missbraucht werden können. Erstens, es ermöglicht eine website zu identifizieren, dass Firefox verwendet wird, mit 100% Genauigkeit. Zweitens kann es auch verwendet werden, zu identifizieren, die add-ons des Browsers, wenn Sie lokale Dateien referenzieren.
Nicht alle Firefox add-ons aufgelistet werden können, die auf einer web-Seite mit dem hack. Technisch gesehen, jeder Firefox-add-on, das den parameter verwendet contentaccessible=yes in seinen chrome.manifest-Datei kann.
Firefox-Addon-Detektor
Firefox-Addon-Detektor ist eine Kostenlose web-service, demonstriert den hack. Es wird überprüft, ob Firefox der browser verwendet, um die website zu öffnen und, ob eine oder mehrere der mehr als 400 add-ons im browser installiert.
Der Autor gescannt, mehr als 12.000 add-ons und fand die Flagge in mehr als 400 von Ihnen, darunter auch die beliebten Erweiterungen wie Adblock. Das ist zwar nicht viel, wenn man bedenkt, dass es weniger als 4% aller add-ons, der hack ist nicht die einzige, die Websites verwenden, um herauszufinden, ob bestimmte add-ons im browser installiert.
Update: Der Adblock-Erkennung verwendet einen anderen Mechaniker. Es erkennt, ob eine Ressource, die es versucht zu Holen ist blockiert, und wenn es ist, wird davon ausgegangen, dass Adblock verwendet wird.
Die Technik ist nicht neu, und die ersten Erwähnungen, die es Datum wieder so früh wie 2007. Andere Artikel, in denen es gefunden werden kann hier und hier. Die situation wurde noch schlimmer, vorher und änderte sich erst, nachdem Mozilla erforderlichen Verlängerung Entwickler explizit die contentaccessible parameter in der manifest-Datei zu ermöglichen, lokale Dateien verwiesen werden, die auf remote-Internet-Seiten.
Erweiterungen wie NoScript wird nicht helfen, schützen gegen diese, da die Aufzählung nicht benötigen JavaScript.
Was Firefox-Nutzer tun können, ist zu prüfen, ob die installierten Erweiterungen verwenden Sie die parameter so, dass Sie zumindest bewusst.
Die Informationen, die verwendet werden können, um Fingerabdruck-Systeme, und vielleicht auch in den Angriffen.