Kit alat telah diterbitkan yang melaksanakan kaedah untuk mengesan alat tambah yang dipasang dalam penyemak imbas Chrome. Senarai alat tambah yang terhasil boleh digunakan untuk meningkatkan ketepatan pengenalan pasif bagi contoh penyemak imbas tertentu, dalam kombinasi dengan penunjuk tidak langsung lain, seperti resolusi skrin, ciri WebGL, senarai pemalam dan fon yang dipasang. Pelaksanaan yang dicadangkan menyemak pemasangan lebih daripada 1000 alat tambah. Demonstrasi dalam talian ditawarkan untuk menguji sistem anda.
Takrif alat tambah dibuat melalui analisis sumber yang disediakan oleh alat tambah, tersedia untuk permintaan luaran. Biasanya, alat tambah termasuk pelbagai fail yang disertakan, seperti imej, yang ditakrifkan dalam manifes alat tambah oleh harta web_accessible_resources. Dalam versi pertama manifes Chrome, akses kepada sumber tidak dihadkan dan mana-mana tapak boleh memuat turun sumber yang disediakan. Dalam versi kedua manifes, akses kepada sumber tersebut secara lalai hanya dibenarkan untuk alat tambah itu sendiri. Dalam versi ketiga manifesto, adalah mungkin untuk menentukan sumber yang boleh diberikan kepada alat tambah, domain dan halaman.
Halaman web boleh meminta sumber yang disediakan oleh sambungan menggunakan kaedah ambil (contohnya, "fetch('chrome-extension://okb....nd5/test.png')"), yang mengembalikan "false" biasanya menunjukkan bahawa alat tambah itu tidak dipasang. Untuk menyekat alat tambah daripada mengesan kehadiran sumber, beberapa alat tambah menjana token pengesahan yang diperlukan untuk mengakses sumber tersebut. Memanggil ambil tanpa menyatakan token sentiasa gagal.
Ternyata, perlindungan akses kepada sumber tambahan boleh dipintas dengan menganggarkan masa pelaksanaan operasi. Walaupun fakta bahawa fetch sentiasa mengembalikan ralat apabila meminta tanpa token, masa pelaksanaan operasi dengan dan tanpa add-on adalah berbeza - jika add-on hadir, permintaan akan mengambil masa lebih lama berbanding jika add-on tidak dipasang. Dengan menilai masa tindak balas, anda boleh menentukan dengan tepat kehadiran suplemen.
Sesetengah alat tambah yang tidak termasuk sumber yang boleh diakses secara luaran boleh dikenal pasti melalui sifat tambahan. Sebagai contoh, alat tambah MetaMask boleh ditakrifkan dengan menilai takrifan sifat window.ethereum (jika alat tambah tidak ditetapkan, "typeof window.ethereum" akan mengembalikan nilai "undefined").
Sumber: opennet.ru