Ilaro estis publikigita, kiu efektivigas metodon por detekti aldonaĵojn instalitajn en la Chrome-retumilo. La rezulta listo de aldonaĵoj povas esti uzata por pliigi la precizecon de pasiva identigo de aparta retumila kazo, en kombinaĵo kun aliaj nerektaj indikiloj, kiel ekranrezolucio, WebGL-ecoj, listoj de instalitaj kromaĵoj kaj tiparoj. La proponita efektivigo kontrolas la instaladon de pli ol 1000 aldonaĵoj. Interreta pruvo estas ofertita por testi vian sistemon.
La difino de aldonaĵoj estas farita per analizo de la rimedoj provizitaj de la aldonaĵoj, disponeblaj por eksteraj petoj. Tipe, aldonaĵoj inkluzivas diversajn akompanajn dosierojn, kiel bildojn, kiuj estas difinitaj en la aldonaĵa manifesto per la propraĵo web_accessible_resources. En la unua versio de la Chrome manifesto, aliro al rimedoj ne estis limigita kaj ajna retejo povis elŝuti la provizitajn rimedojn. En la dua versio de la manifesto, aliro al tiaj rimedoj defaŭlte estis permesita nur por la aldonaĵo mem. En la tria versio de la manifesto, eblis determini, kiujn rimedojn oni povas doni al kiuj aldonaĵoj, domajnoj kaj paĝoj.
TTT-paĝoj povas peti la rimedojn provizitajn de la etendaĵo uzante la fonto-metodon (ekzemple "fetch('chrome-extension://okb....nd5/test.png')"), kiu redonante "false" kutime indikas ke la aldonaĵo ne estas instalita. Por bloki aldonaĵon de detektado de la ĉeesto de rimedo, kelkaj aldonaĵoj generas konfirmĵetonon necesan por aliri la rimedon. Voki fetch sen specifi ĵetonon ĉiam malsukcesas.
Kiel ĝi rezultas, protekto de aliro al aldonaj rimedoj povas esti preterpasita taksante la ekzekuttempon de la operacio. Malgraŭ tio, ke fetch ĉiam resendas eraron kiam oni petas sen signo, la ekzekuttempo de la operacio kun kaj sen la aldonaĵo estas malsama - se la aldonaĵo ĉeestas, la peto daŭros pli longe ol se la aldonaĵo. ne estas instalita. Taksante la reagotempon, vi povas sufiĉe precize determini la ĉeeston de la suplemento.
Iuj aldonaĵoj, kiuj ne inkluzivas ekstere alireblajn rimedojn, povas esti identigitaj per kromaj propraĵoj. Ekzemple, la aldonaĵo MetaMask povas esti difinita per taksado de la difino de la posedaĵo window.ethereum (se la aldonaĵo ne estas agordita, "typeof window.ethereum" resendos la valoron "nedifinita").
fonto: opennet.ru