Sawijining toolkit wis diterbitake sing ngetrapake cara kanggo ndeteksi tambahan sing diinstal ing browser Chrome. Dhaptar tambahan sing diasilake bisa digunakake kanggo nambah akurasi identifikasi pasif saka conto browser tartamtu, kanthi kombinasi karo indikator ora langsung liyane, kayata resolusi layar, fitur WebGL, dhaptar plugin lan font sing diinstal. Implementasi sing diusulake mriksa instalasi luwih saka 1000 tambahan. Demonstrasi online ditawakake kanggo nyoba sistem sampeyan.
Definisi tambahan digawe liwat analisis sumber daya sing diwenehake dening tambahan, kasedhiya kanggo panjalukan eksternal. Biasane, add-ons kalebu macem-macem file sing diiringi, kayata gambar, sing ditetepake ing manifes tambahan dening properti web_accessible_resources. Ing versi pisanan saka manifest Chrome, akses menyang sumber daya ora diwatesi lan situs apa wae bisa ngundhuh sumber daya sing diwenehake. Ing versi liya saka manifest, akses menyang sumber daya kasebut minangka standar mung diidini kanggo tambahan kasebut. Ing versi katelu saka manifesto, sampeyan bisa nemtokake sumber daya sing bisa diwenehake kanggo tambahan, domain lan kaca.
Kaca web bisa njaluk sumber daya sing disedhiyakake dening ekstensi nggunakake metode njupuk (contone, "fetch('chrome-extension://okb....nd5/test.png')"), sing ngasilake "palsu" biasane nuduhake sing tambahan ora diinstal. Kanggo mblokir add-on saka ndeteksi ana sumber daya, sawetara add-on ngasilake token verifikasi sing dibutuhake kanggo ngakses sumber daya. Nelpon njupuk tanpa nemtokake token tansah gagal.
Ternyata, proteksi akses menyang sumber daya tambahan bisa dilewati kanthi ngira wektu eksekusi operasi kasebut. Senadyan kasunyatan manawa fetch tansah ngasilake kesalahan nalika njaluk tanpa token, wektu eksekusi operasi kanthi lan tanpa tambahan beda - yen ana tambahan, panyuwunan bakal luwih suwe tinimbang yen nambahake. ora diinstal. Kanthi netepake wektu reaksi, sampeyan bisa nemtokake kanthi tepat anane suplemen kasebut.
Sawetara tambahan sing ora kalebu sumber daya sing bisa diakses saka njaba bisa diidentifikasi kanthi properti tambahan. Contone, MetaMask add-on bisa ditetepake kanthi ngevaluasi definisi saka property window.ethereum (yen add-on ora disetel, "typeof window.ethereum" bakal ngasilake nilai "undefined").
Source: opennet.ru