Alla moderna webbläsare läcka förlängning information till webbplatser om platserna kör skript för att dra informationen. Vi pratade om resultaten av forskning sikt som publicerade sina rön nyligen i ett papper.
Om skript är blockerade webbplatser kan köra skript för att kontrollera svaret av webbläsare eftersom det är olika när kontroll görs för falska tillägg och falska resurser och befintliga anknytningar och falska resurser.
Firefox situationen är speciell, eftersom den stöder den äldre add-on system och nya WebExtensions system. Forskaren testade webbläsare är äldre add-on system bara, men föreslog att Firefox nya systemet skulle också vara sårbara.
En anonym läsare har påpekat att Firefox WebExtensions systemet använder slumpmässiga Id, och att detta innebar att metoden att räkna upp förlängningar inte skulle fungera i detta fall (till skillnad från i Krom och andra Krom-baserade webbläsare).
Även om det är korrekt, Mozilla genomförande införs en ny fråga som tillåter webbplatser för att identifiera användare om WebExtensions utsätta innehåll på webbplatser som slumpmässiga Id är permanent.
“… i synnerhet de [Mozilla] ändrade det ursprungliga systemet (moz-extension://[extID]/[sökväg]) för att moz-extension://[random-UUID -]/[sökväg]. Tyvärr, medan denna förändring gör faktiskt svårare att räkna användare tillägg införs en långt mer farliga problem. I själva verket, random-UUID-token kan nu användas för att just fingeravtryck användare om det läckt ut genom ett tillägg. En webbplats kan hämta denna UUID och använda den för att identifiera användaren, som när det är som genereras slumpmässiga ID förändras aldrig. Vi rapporterade detta design-relaterade fel att Firefox utvecklare.”
Om en webbplats som lyckas få tag på ID, det kan spåra Firefox installationen som ID förändras aldrig.
Läs också: Firefox 49: två nya systemet add-ons för att fixa Flash och grafik frågor
Detta är inte bara teoretisk heller, Jordling, en av de ansvariga för den Ghacks Firefox user.js filen, har skapat en proof of concept som belyser en läcka i Firefox native Skärmdump verktyg.
Även om detta exempel som kräver att användare klicka på skärmdumpen knappen i Firefox gränssnitt för att göra det unika ID som finns på webbplatsen, andra tillägg kan utsätta innehåll utan interaktion med användaren.
Apples Safari använder en slumpmässig UUID också, och forskarna upptäckte att de kunde räkna upp ca 40% av alla tillägg som dess genomförande är bristfällig.
Om WebExtension exponerar innehåll på webbplatser eftersom de har genomförandet brister kan webbplatser fingeravtryck användare baserat på den unika ID som blir synliga i processen.
Avslutande Ord
Mozilla behov att omarbeta genomförandet för att skydda användare av webbläsaren från detta. Även om du inte använder WebExtensions alls, du kan vara utsatt för detta som Firefox fartyg med flera tillägg som kan utsätta ID till webbplatser. (Tack Byxor och Earthling)