Tutti i moderni browser web di perdita di informazioni di estensione di siti, se i siti eseguire gli script per estrarre le informazioni. Abbiamo parlato dei risultati di una ricerca condotta a termine che ha pubblicato le sue scoperte di recente in un foglio di carta.
A meno che gli script sono bloccati, i siti possono eseguire gli script che controlla il tempo di risposta del browser come diverso è quando i controlli vengono effettuati per estensioni fasulle e falso risorse, e le estensioni esistenti e falso risorse.
Firefox situazione è particolare, in quanto supporta l’eredità add-on e le nuove WebExtensions sistema. Il ricercatore testato il browser l’eredità di un sistema di aggiunta solo, ma ha suggerito che Firefox è il nuovo sistema dovrebbe anche essere vulnerabili.
Un lettore anonimo ha sottolineato che Firefox WebExtensions sistema utilizza Id casuali, e che questo significava che il metodo per enumerare le estensioni non funzionano in questo caso (a differenza di Chrome e altri browser basato su Chromium).
Mentre questo è corretto, Mozilla attuazione introduce una questione nuova, che consente ai siti di identificare gli utenti WebExtensions esporre il contenuto di siti come Id casuali sono permanenti.
“… in particolare, essi [Mozilla] cambiato lo schema iniziale (moz-estensione://[extID]/[percorso]) moz-estensione://[casuale-UUID]/[percorso]. Purtroppo, mentre questo cambiamento rende infatti più difficile enumerare le estensioni utente, introduce un sistema molto più pericoloso problema. Infatti, casuale-UUID token possono essere usati per la precisione utenti di impronte digitali se è trapelato da un estensioni. Un sito web può recuperare questo UUID e si usa per identificare in modo univoco l’utente, una volta generato l’ID random e non cambia mai. Abbiamo segnalato questo design bug correlati a sviluppatori di Firefox.”
Se un sito riesce a entrare in possesso di ID, si può tracciare l’installazione di Firefox che ID non cambia mai.
Leggi anche: Mozilla sta facendo bene finanziariamente (2015)
Questo non è solo teorica, Terrestre, uno dei gestori del Ghacks Firefox user.js file, ha creato un proof of concept che evidenzia una perdita di Firefox nativo strumento di Screenshot.
Mentre questo particolare esempio è necessario che gli utenti fanno clic sul pulsante nella schermata di Firefox, interfaccia per rendere l’ID univoco disponibili al sito, altre estensioni possono esporre il contenuto senza l’interazione dell’utente.
Safari di Apple utilizza un casuale UUID sistema, e i ricercatori hanno scoperto che potrebbero enumerare circa il 40% di tutte le estensioni come la sua attuazione è viziata.
Se il WebExtension espone il contenuto di siti, perché hanno l’attuazione difetti, siti di impronte digitali, gli utenti in base all’ID univoco che viene esposta nel processo.
Parole Di Chiusura
Mozilla è necessario rielaborare la realizzazione di proteggere gli utenti del browser. Anche se non uso WebExtensions a tutti, si potrebbe essere vulnerabile a questo come Firefox viene fornito con diversi add-ons che possono esporre l’ID di siti. (Grazie Pantaloni e Terrestre)