Google Chrome показывает расширения для сайтов

by Опубликовано

Возможно, я старомоден в этом отношении, но я предпочитаю, чтобы веб-сайты и компании знали обо мне как можно меньше, если только информация не используется для службы, которой я активно пользуюсь. Я не против, что Amazon знает, что я взрослый мужчина, поскольку это блокирует рекомендации и предложения, нацеленные на женскую аудиторию на сайте.

В идеале сайты, на которых у меня нет учетной записи, не должны ничего обо мне знать. Польский исследователь безопасности Кшиштоф Котович обнаружил возможность считывать надстройки Chrome с помощью нескольких строк кода JavaScript.

Используемый метод проверяет, установлены ли в браузере определенные расширения, что отличается от перечисления всех установленных расширений. Вот технические подробности того, как это можно сделать:

У каждого аддона есть файл manifest.json. На странице http [s]: // вы можете попробовать загрузить кросс-схему скрипта из URL chrome-extension: //, в данном случае — файла манифеста. Вам просто нужен уникальный идентификатор аддона, который нужно вставить в URL. Если расширение установлено, загрузится манифест и сработает событие onload. Если нет — событие onerror для вас.

Вы все еще можете помнить Утечка истории CSS Проблема заключалась в том, что на веб-сайтах использовался список популярных веб-адресов, чтобы узнать, посещал ли посетитель эти сайты в прошлом. Принцип тот же, только исполнение другое.

Была создана страница с проверкой концепции, которую пользователи Chrome могут посетить для демонстрации. На пользователей Chrome без установленных расширений или других пользователей браузера это никак не влияет.

Перечисление надстроек Chrome

Это имеет два следствия. Во-первых, конфиденциальность, поскольку веб-сайты могут использовать информацию для различных целей. Например, они могут проверить, установлен ли блокировщик рекламы, социальные сети, магазины или расширения для беременных. Другое дело — безопасность. Вредоносные веб-сайты могут проверять, установлены ли надстройки с известными уязвимостями, которые больше не поддерживаются автором.

Согласно информации, опубликованной в разделе комментариев, надстройки, установленные из файла расширения, упакованного пользователем, или загруженные распакованными, не распознаются скриптом.

Кажется что Firefox также дает утечку информации по этому поводу. Блокировка кода JavaScript предотвращает это.

Опубликовано admin

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *