Alle moderne web-browsere lækage udvidelse oplysninger til websteder, hvis de websteder, der køres scripts til at trække de oplysninger. Vi talte om resultaterne af et forsknings-begreb, der offentliggjorde sine resultater for nylig i en artikel.
Medmindre scripts er blokeret, websteder kan køre scripts, der ind responstid browser, da den er anderledes, når der er foretaget kontrol af falske udvidelser og falske ressourcer, og eksisterende udvidelser og falske ressourcer.
Firefox ‘ s situation er speciel, da det understøtter den arv, add-on system, og det nye WebExtensions system. Forskeren testet browseren arv add-on system, men foreslog, at Firefox ‘ s nye system vil også være sårbare.
En anonym læser påpegede, at Firefox er WebExtensions system bruger tilfældige id ‘ er, og at det betød, at den metode til at optælle extensions ville ikke arbejde i denne sag (i modsætning til i Chrome og andre Chrom-baserede browsere).
Selv om det er korrekt, Mozilla ‘s gennemførelse introducerer et nyt emne, der tillader steder at identificere brugere, hvis WebExtensions udsætte indhold til websteder som det tilfældige id’ er er permanent.
“… de [Mozilla] ændret den oprindelige ordning (moz-extension://[extID]/[sti]), moz-extension://[tilfældig-UUID]/[sti]. Desværre, mens denne ændring gør faktisk mere vanskeligt at optælle bruger extensions, det introducerer en langt mere farligt problem. Faktisk tilfældige-UUID token kan nu bruges til at netop fingeraftryk brugere, hvis det er lækket af en extensions. En hjemmeside kan hente denne UUID og bruge det til at identificere brugeren, som, når den er genereret tilfældigt ID ændrer sig aldrig. Vi rapporterede dette design-relaterede fejl, at Firefox udviklerne så godt.”
Hvis et websted formår at få fat i ID ‘ et, kan det spor Firefox installationen, da det ID, der aldrig ændrer sig.
Læs også: Hvordan du ændrer Firefox ‘ s Sandbox sikkerhedsniveau
Dette er ikke blot teoretisk enten; Earthling, en af vedligeholderne af Ghacks Firefox user.js fil, har skabt et proof of concept, der fremhæver en lækage i Firefox ‘ s oprindelige Skærmbillede værktøj.
Mens denne bestemt eksempel, kræver, at brugerne til at klikke på screenshot knap i Firefox ‘ brugerflade til at gøre den unik ID til rådighed til stedet, andre udvidelser kan udsætte indhold uden brugerens interaktion.
Apple ‘ s Safari bruger en tilfældig UUID-system så godt, og forskerne opdagede, at de kunne opregne omkring 40% af alle udvidelser som dets implementering er mangelfuld.
Hvis WebExtension udsætter indhold til websteder, fordi de har gennemførelse fejl, websteder kan fingeraftryk brugere, der er baseret på et unikt ID, der bliver udsat for i processen.
Afsluttende Ord
Mozilla nødt til at omarbejde gennemførelse for at beskytte brugere af browseren fra dette. Selv hvis du ikke bruger WebExtensions på alle, kan du være sårbar over for dette som Firefox skibe med flere system-add-ons, der kan vise ID til websteder. (Tak Bukser og Earthling)