Është publikuar një paketë veglash që zbaton një metodë për zbulimin e shtesave të instaluara në shfletuesin Chrome. Lista rezultuese e shtesave mund të përdoret për të rritur saktësinë e identifikimit pasiv të një shembulli të caktuar të shfletuesit, në kombinim me tregues të tjerë indirektë, si rezolucioni i ekranit, veçoritë e WebGL, listat e shtojcave dhe shkronjave të instaluara. Zbatimi i propozuar kontrollon instalimin e më shumë se 1000 shtesave. Ofrohet një demonstrim në internet për të testuar sistemin tuaj.
Përcaktimi i shtesave bëhet përmes një analize të burimeve të ofruara nga shtesat, të disponueshme për kërkesat e jashtme. Në mënyrë tipike, shtesat përfshijnë skedarë të ndryshëm shoqërues, si p.sh. imazhe, të cilat përcaktohen në manifestin shtesë nga vetia web_accessible_resources. Në versionin e parë të manifestit Chrome, qasja në burime nuk ishte e kufizuar dhe çdo sajt mund të shkarkonte burimet e ofruara. Në versionin e dytë të manifestit, qasja në burime të tilla si parazgjedhje lejohej vetëm për vetë shtesën. Në versionin e tretë të manifestit, ishte e mundur të përcaktohej se cilat burime mund t'u jepen atyre shtesave, domeneve dhe faqeve.
Faqet e internetit mund të kërkojnë burimet e ofruara nga shtesa duke përdorur metodën e marrjes (për shembull, "fetch('chrome-extension://okb....nd5/test.png')"), e cila kthen "false" zakonisht tregon se shtesa nuk është e instaluar. Për të bllokuar një shtesë nga zbulimi i pranisë së një burimi, disa shtesa gjenerojnë një shenjë verifikimi që kërkohet për të hyrë në burim. Marrja e thirrjeve pa specifikuar një shenjë dështon gjithmonë.
Siç rezulton, mbrojtja e aksesit në burimet shtesë mund të anashkalohet duke vlerësuar kohën e ekzekutimit të operacionit. Pavarësisht nga fakti që fetch kthen gjithmonë një gabim kur kërkon pa një shenjë, koha e ekzekutimit të operacionit me dhe pa shtesë është e ndryshme - nëse shtesa është e pranishme, kërkesa do të zgjasë më shumë sesa nëse shtesa nuk është i instaluar. Duke vlerësuar kohën e reagimit, mund të përcaktoni mjaft saktë praninë e suplementit.
Disa shtesa që nuk përfshijnë burime të aksesueshme nga jashtë mund të identifikohen nga vetitë shtesë. Për shembull, shtesa MetaMask mund të përcaktohet duke vlerësuar përkufizimin e vetive window.ethereum (nëse shtesa nuk është vendosur, "typeof window.ethereum" do të kthejë vlerën "të papërcaktuar").
Burimi: opennet.ru