Alle moderne webbrowsers lek uitbreiding van de informatie op sites als de sites in het uitvoeren van scripts te trekken van de informatie. We spraken over de bevindingen van een onderzoek term die gepubliceerd zijn bevindingen onlangs in een papier.
Tenzij scripts zijn geblokkeerd, kan het zijn dat sites het uitvoeren van scripts die de reactiesnelheid van de browser als het wordt anders als de controles zijn gemaakt voor nep-extensies en valse middelen, en bestaande extensies en valse middelen.
Firefox situatie is bijzonder, want het ondersteunt het legacy-systeem en de nieuwe WebExtensions systeem. De onderzoeker getest in de browser van de erfenis van add-on systeem alleen maar gesuggereerd dat Firefox een nieuw systeem zou ook kwetsbaar.
Een anonieme lezer erop gewezen dat Firefox WebExtensions systeem maakt gebruik van willekeurige Id ‘ s is, en dat dit betekende dat de methode voor het inventariseren van extensies niet zou werken in dat geval (in tegenstelling tot Chrome en andere Chroom gebaseerde browsers).
Terwijl dat juist is, Mozilla ‘s uitvoering introduceert een nieuw probleem waarmee websites om gebruikers te identificeren als WebExtensions bloot inhoud aan sites als de random-Id’ s zijn permanent.
“… in het bijzonder, ze [Mozilla] veranderde de oorspronkelijke regeling (moz-extensie://[extID]/[pad]) moz-extensie://[random-UUID]/[pad]. Helaas, terwijl deze wijziging maakt het immers moeilijker om het inventariseren van de gebruiker extensies, introduceert een veel gevaarlijker probleem. In feite, de random-UUID-token kan nu gebruikt worden om precies vingerafdruk gebruikers als het gelekt door een extensies. Een website kan het ophalen van deze UUID en te gebruiken als unieke identificatie van de gebruiker, als het eenmaal is gegenereerd, de willekeurige ID verandert nooit. We hebben dit gemeld design-gerelateerde bug te Firefox-ontwikkelaars.”
Als een website weet te bemachtigen van het ID, kan het bijhouden van de Firefox installatie als die ID verandert nooit.
Lees ook: het doel van De Web-Compat systeem add-on voor Firefox
Dit is niet alleen theoretisch, Aardling, een van de beheerders van de Ghacks Firefox user.js bestand heeft gemaakt van een ‘proof of concept’ dat wijst op een lek in Firefox native Screenshot tool.
Terwijl dit specifieke voorbeeld is vereist dat de gebruikers klik op de screenshot-knop in de interface van Firefox te maken van de unieke ID beschikbaar op de site, andere extensies kunnen blootstellen inhoud zonder interactie van de gebruiker.
Apple ‘ s Safari maakt gebruik van een random UUID systeem, en de onderzoekers hebben ontdekt dat ze kunnen opsommen ongeveer 40% van alle uitbreidingen als de uitvoering ervan is gebrekkig.
Als de WebExtension bloot inhoud aan sites, omdat ze de uitvoering gebreken kunnen sites vingerafdruk gebruikers op basis van het unieke ID die wordt blootgesteld in het proces.
Slotwoord
Mozilla moet herwerken van de uitvoering van de gebruikers te beschermen van de browser. Zelfs als u geen gebruik WebExtensions helemaal niet, kunt u kwetsbaar zijn voor deze Firefox schepen met verschillende add-ons die u kunnen blootstellen van de ID-sites. (Met dank Broek en Aardling)