Na-publish ang isang toolkit na nagpapatupad ng paraan para sa pagtukoy ng mga add-on na naka-install sa Chrome browser. Ang resultang listahan ng mga add-on ay maaaring gamitin upang mapataas ang katumpakan ng passive identification ng isang partikular na instance ng browser, kasama ng iba pang hindi direktang indicator, gaya ng screen resolution, mga feature ng WebGL, mga listahan ng mga naka-install na plugin at mga font. Sinusuri ng iminungkahing pagpapatupad ang pag-install ng higit sa 1000 mga add-on. Ang isang online na demonstrasyon ay inaalok upang subukan ang iyong system.
Ang kahulugan ng mga add-on ay ginawa sa pamamagitan ng pagsusuri ng mga mapagkukunang ibinigay ng mga add-on, na magagamit para sa mga panlabas na kahilingan. Karaniwan, ang mga add-on ay may kasamang iba't ibang mga file, tulad ng mga larawan, na tinukoy sa add-on na manifest ng web_accessible_resources property. Sa unang bersyon ng manifest ng Chrome, hindi pinaghigpitan ang access sa mga mapagkukunan at maaaring i-download ng anumang site ang mga mapagkukunang ibinigay. Sa pangalawang bersyon ng manifest, ang pag-access sa mga naturang mapagkukunan bilang default ay pinapayagan lamang para sa add-on mismo. Sa ikatlong bersyon ng manifesto, posibleng matukoy kung aling mga mapagkukunan ang maaaring ibigay sa kung aling mga add-on, domain at pahina.
Maaaring hilingin ng mga web page ang mga mapagkukunang ibinigay ng extension gamit ang paraan ng pagkuha (halimbawa, "fetch('chrome-extension://okb....nd5/test.png')"), na karaniwang nagsasaad ng "false" na hindi naka-install ang add-on. Upang harangan ang isang add-on sa pagtukoy ng pagkakaroon ng isang mapagkukunan, ang ilang mga add-on ay bumubuo ng isang token sa pag-verify na kinakailangan upang ma-access ang mapagkukunan. Palaging nabigo ang pagtawag sa fetch nang walang tinukoy na token.
Tulad ng lumalabas, ang proteksyon ng pag-access sa mga add-on na mapagkukunan ay maaaring ma-bypass sa pamamagitan ng pagtantya sa oras ng pagpapatupad ng operasyon. Sa kabila ng katotohanan na ang fetch ay palaging nagbabalik ng error kapag humihiling nang walang token, ang oras ng pagpapatupad ng operasyon na may at walang add-on ay iba - kung ang add-on ay naroroon, ang kahilingan ay mas magtatagal kaysa kung ang add-on ay hindi naka-install. Sa pamamagitan ng pagtatasa ng oras ng reaksyon, maaari mong tumpak na matukoy ang pagkakaroon ng suplemento.
Ang ilang mga add-on na hindi kasama ang mga external na naa-access na mapagkukunan ay maaaring matukoy ng mga karagdagang katangian. Halimbawa, ang MetaMask add-on ay maaaring tukuyin sa pamamagitan ng pagsusuri sa kahulugan ng window.ethereum property (kung hindi nakatakda ang add-on, ibabalik ng "typeof window.ethereum" ang value na "undefined").
Pinagmulan: opennet.ru