Alle moderne nettlesere lekkasje extension informasjon til nettsteder hvis nettstedene kjøre skript for å trekke ut informasjon. Vi snakket om funn av en forskning begrep som publiserte sine funn nylig i en artikkel.
Med mindre skript er blokkert, nettsteder kan kjøre skript som sjekker responstid nettleser som det er forskjellige når du sjekker er gjort for falske utvidelser og falske ressurser, og eksisterende utvidelser og falske ressurser.
Firefox situasjon er spesiell, siden den støtter eldre add-on system og den nye WebExtensions system. Forskeren testet nettleseren arv add-on system, men foreslo at Firefox ‘ s nye systemet vil også være sårbare.
En anonym leser påpekte at Firefox er WebExtensions systemet bruker tilfeldig Id-ene, og at dette innebar at metoden for å spesifisere utvidelser ville ikke jobbe i det tilfellet (i motsetning til i Chrome og andre Krom-baserte nettlesere).
Mens det er riktig, Mozilla implementering introduserer et nytt problem som gjør det mulig nettsteder til å identifisere brukere hvis WebExtensions utsette innhold til nettsteder som tilfeldig Id-er permanent.
“… særlig de [Mozilla] endret den opprinnelige ordningen (moz-extension://[extID]/[bane]) for å moz-extension://[random-UUID]/[bane]. Dessverre, mens denne endringen gjør faktisk vanskeligere å spesifisere bruker utvidelser, introduserer en langt mer farlig problem. Faktisk, random-UUID token kan nå brukes til å nettopp fingeravtrykk brukere hvis det er lekket av en extensions. Et nettsted kan hente dette UUID og bruke den til å identifisere brukeren, som når den er generert tilfeldig ID aldri endringer. Vi rapporterte dette design-relaterte bug i Firefox utviklere så vel.”
Hvis et nettsted klarer å få tak i ID-en, kan det spor Firefox installasjon som ID aldri endringer.
Les også: Firefox 52: Adobe Primetime CDM fjerning
Dette er ikke bare teoretisk enten; Jordisk, en av utviklere av Ghacks Firefox user.js fil, har skapt en proof of concept som fremhever en lekkasje i Firefox sitt Skjermbilde verktøyet.
Mens dette eksempelet krever at brukere klikker på skjermbildet knappen i Firefox-grensesnitt for å gjøre den unike ID-en som er tilgjengelige på nettstedet, kan andre utvidelser kan utsette innhold uten brukermedvirkning.
Apples Safari bruker en tilfeldig UUID systemet så godt, og forskerne oppdaget at de kunne spesifisere om lag 40% av alle utvidelser som gjennomføringen er feil.
Hvis WebExtension eksponerer innhold til nettsteder fordi de har gjennomføringen feil, nettsteder, kan fingeravtrykk brukere basert på den unike ID-en som blir eksponert i prosessen.
Avsluttende Ord
Mozilla har behov for å bearbeide implementering for å beskytte brukere av nettleseren fra dette. Selv om du ikke bruker WebExtensions i det hele tatt, kan du være utsatt for dette som Firefox skip med flere system add-ons som kan utsette ID for å nettsteder. (Takk Bukser og Jordisk)