Tous les navigateurs web modernes de fuite informations d’extension de sites si les sites d’exécuter des scripts pour tirer de l’information. Nous avons parlé des résultats d’une recherche qui a publié ses résultats récemment dans un livre.
À moins que les scripts sont bloqués, les sites peuvent exécuter des scripts vérifier le temps de réponse du navigateur comme elle est différente lorsque des contrôles sont effectués pour les extensions fausses et faux de ressources, et les extensions existantes et de faux ressources.
Firefox situation est particulière, car elle prend en charge l’héritage add-on et le nouveau système WebExtensions système. Le chercheur a testé le navigateur de l’héritage du système de compléments seulement, mais a suggéré que Firefox le nouveau système serait également vulnérables.
Un lecteur anonyme a souligné que Firefox est WebExtensions système utilise aléatoire Id, et que cela signifiait que la méthode d’énumérer les extensions ne fonctionnerait pas dans ce cas (contrairement à Chrome de Chrome et d’autres navigateurs).
Tout cela est exact, Mozilla mise en œuvre introduit une nouvelle émission qui permet aux sites d’identifier les utilisateurs si WebExtensions exposer le contenu à des sites comme le hasard Id sont permanents.
“… en particulier, ils [Mozilla] a changé le schéma initial (moz-extension://[extID]/[chemin]) pour moz-extension://[random-UUID]/[chemin d’accès]. Malheureusement, bien que ce changement rend en effet plus difficile d’énumérer les extensions d’utilisateur, il introduit une bien plus dangereux problème. En fait, le hasard-UUID jeton peut maintenant être utilisé avec précision des empreintes digitales des utilisateurs si c’est une fuite par une des extensions. Un site web peut récupérer l’UUID et l’utiliser pour identifier de manière unique l’utilisateur, une fois qu’il est généré de façon aléatoire à l’ID ne change jamais. Nous avons signalé cette conception liés à un bug de Firefox, les développeurs.”
Si un site parvient à s’emparer de l’ID, il peut suivre l’installation Firefox en tant que ID ne change jamais.
Lire aussi: Firefox 49: deux nouveau système d’add-ons pour fixer le Flash et les problèmes graphiques
Ce n’est pas seulement théorique; Terrien, l’un des responsables de la Ghacks Firefox user.js fichier, a créé une preuve de concept qui met en évidence une fuite dans Firefox natif de l’outil de Capture d’écran.
Bien que cet exemple en particulier, exige que les utilisateurs cliquent sur le bouton de capture d’écran dans l’interface de Firefox pour faire de l’IDENTIFIANT unique de la disposition sur le site, d’autres extensions peuvent exposer le contenu sans interaction de l’utilisateur.
Apple Safari utilise un hasard UUID du système, et les chercheurs ont découvert qu’ils pouvaient énumérer environ 40% de toutes les extensions que sa mise en œuvre est imparfaite.
Si le WebExtension expose le contenu des sites parce qu’ils ont mise en œuvre des défauts, des sites peuvent empreintes digitales des utilisateurs basée sur l’ID unique qui est exposé dans le processus.
Le Mot De La Fin
Mozilla doit retravailler la mise en œuvre afin de protéger les utilisateurs du navigateur à partir de cette. Même si vous n’utilisez pas WebExtensions à tous, vous avez peut-être vulnérables à ce que Firefox est livré avec plusieurs système d’add-ons qui peut exposer l’ID de sites. (Merci Pantalons et Terrien)