Zana ya zana imechapishwa ambayo hutumia mbinu ya kugundua programu jalizi zilizosakinishwa kwenye kivinjari cha Chrome. Orodha inayotokana ya programu-jalizi inaweza kutumika kuongeza usahihi wa utambulisho tulivu wa mfano fulani wa kivinjari, pamoja na viashirio vingine visivyo vya moja kwa moja, kama vile azimio la skrini, vipengele vya WebGL, orodha za programu-jalizi na fonti zilizosakinishwa. Utekelezaji uliopendekezwa hukagua usakinishaji wa nyongeza zaidi ya 1000. Maonyesho ya mtandaoni yanatolewa ili kujaribu mfumo wako.
Ufafanuzi wa nyongeza unafanywa kupitia uchambuzi wa rasilimali zinazotolewa na nyongeza, zinazopatikana kwa maombi ya nje. Kwa kawaida, programu jalizi hujumuisha faili mbalimbali zinazoambatana, kama vile picha, ambazo zimefafanuliwa katika faili ya maelezo ya nyongeza na kipengele cha web_accessible_resources. Katika toleo la kwanza la faili ya maelezo ya Chrome, ufikiaji wa rasilimali haukuzuiwa na tovuti yoyote inaweza kupakua rasilimali zilizotolewa. Katika toleo la pili la faili ya maelezo, ufikiaji wa rasilimali kama hizo kwa chaguo-msingi uliruhusiwa kwa programu jalizi yenyewe. Katika toleo la tatu la manifesto, iliwezekana kuamua ni rasilimali gani zinaweza kutolewa kwa nyongeza, vikoa na kurasa.
Kurasa za wavuti zinaweza kuomba rasilimali zinazotolewa na kiendelezi kwa kutumia mbinu ya kuleta (kwa mfano, "fetch('chrome-extension://okb....nd5/test.png')"), ambayo kurudisha "false" kwa kawaida huonyesha. kwamba programu jalizi haijasakinishwa. Ili kuzuia programu-jalizi kutambua uwepo wa rasilimali, baadhi ya programu-jalizi hutoa tokeni ya uthibitishaji inayohitajika ili kufikia rasilimali. Kupiga simu bila kutaja tokeni huwa haifaulu.
Kama inavyotokea, ulinzi wa ufikiaji wa rasilimali za nyongeza unaweza kupitishwa kwa kukadiria wakati wa utekelezaji wa operesheni. Licha ya ukweli kwamba kuchota kila wakati kunarudisha kosa wakati wa kuomba bila ishara, wakati wa utekelezaji wa operesheni na bila nyongeza ni tofauti - ikiwa programu-jalizi iko, ombi litachukua muda mrefu kuliko ikiwa nyongeza. haijasakinishwa. Kwa kutathmini wakati wa majibu, unaweza kuamua kwa usahihi uwepo wa nyongeza.
Baadhi ya nyongeza ambazo hazijumuishi rasilimali zinazoweza kufikiwa nje zinaweza kutambuliwa na sifa za ziada. Kwa mfano, nyongeza ya MetaMask inaweza kuelezwa kwa kutathmini ufafanuzi wa mali ya window.ethereum (ikiwa nyongeza haijawekwa, "typeof window.ethereum" itarudisha thamani "isiyojulikana").
Chanzo: opennet.ru