The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Опубликован инструментарий для определения дополнений, установленных в Chrome

20.06.2022 22:51

Опубликован инструментарий с реализацией метода определения дополнений, установленных в браузере Chrome. Полученный список дополнений может использоваться для увеличения точности пассивной идентификации конкретного экземпляра браузера, в сочетании с другими косвенными признаками, такими как разрешение экрана, особенности WebGL, списки установленных плагинов и шрифтов. Предложенная реализация проверяет установку более 1000 дополнений. Для проверки своей системы предложена online-демонстрация.

Определение дополнений производится через анализ предоставляемых дополнениями ресурсов, доступных для внешних запросов. Как правило, дополнения включают различные сопутствующие файлы, такие как изображения, которые определяются в манифесте дополнения свойством web_accessible_resources. В первой версии манифеста Chrome доступ к ресурсам не ограничивался и любой сайт мог загрузить предоставляемые ресурсы. Во второй версии манифеста доступ к подобным ресурсам по умолчанию был разрешён только для самого дополнения. В третьей версии манифеста была предоставлен возможность определить, какие ресурсы можно отдавать каким дополнениям, доменам и страницам.

Web-страницы могут запрашивать поставляемые в дополнении ресурсы при помощи метода fetch (например "fetch('chrome-extension://okb....nd5/test.png')"), возвращение которым значения "false" обычно свидетельствует о том, что дополнение не установлено. Для блокирования определения дополнения по наличию ресурсов некоторые дополнения генерируют проверочный токен, необходимый для доступа к ресурсу. Вызов fetch без указания токена всегда завершается неудачей.

Как оказалось, защиту доступа к ресурсам дополнений можно обойти, оценивая время выполнения операции. Несмотря на то, что fetch при запросе без токена всегда возвращает ошибку, время выполнения операции при наличии и отсутствии дополнения отличается: если дополнение присутствует, то запрос потребует больше времени, чем если дополнение не установлено. Оценивая время реакции, можно достаточно точно определить наличие дополнения.

Некоторые дополнения, которые не включают доступные извне ресурсы, можно определить по дополнительным свойствам. Например, дополнение MetaMask можно определить через оценку определения свойства window.ethereum (если дополнение не установлено, "typeof window.ethereum" вернёт значение "undefined").

  1. Главная ссылка к новости (https://github.com/z0ccc/exten...)
  2. OpenNews: Техника идентификации смартфонов по широковещательной активности Bluetooth
  3. OpenNews: Идентификация через анализ внешних обработчиков протоколов в браузере
  4. OpenNews: Метод идентификации браузера через манипуляции с кэшированием Favicon
  5. OpenNews: Сопротивление внедрению API FLoC, продвигаемого Google вместо отслеживающих Cookie
  6. OpenNews: 0.77% крупнейших сайтов используют Canvas для скрытой идентификации посетителей
Лицензия: CC-BY
Наводку на новость прислал Artem S. Tashkinov
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/57379-chrome
Ключевые слова: chrome, fingerprint
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (53) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, А где же каменты (?), 23:08, 20/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –9 +/
    И какой от этого профит? Адблок уже давно детектить научились и даже блочат контент, если он установлен, какой прок от того, что будут знать какие экстеншены установлены?
     
     
  • 2.2, Аноним (2), 23:13, 20/06/2022 [^] [^^] [^^^] [ответить]  
  • +16 +/
    Дополнительная инфа для слежки за пользователем.
     
     
  • 3.4, А где же каменты (?), 23:25, 20/06/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Да это глупость все - у меня высветилось 2% - если пользователей хрома 1 млрд, это 20 млн - не отследишь.
     
     
  • 4.14, Аноним (14), 01:35, 21/06/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > если пользователей хрома 1 млрд

    Вот только этот миллиард не ходит равномерно абсолютно на все сайты. Сколько вот тут посетителей?

     
  • 4.18, Аноним (18), 04:41, 21/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А должно быть в районе больше 95%.
     
  • 3.56, barmaglot (??), 21:23, 21/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    uBlock Origin гарантировано блокирует эту хрень. Ни одно дополнение не определилось.
     
     
  • 4.60, Аноним (60), 17:15, 22/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Юблок не способен такие запросы блокировать.
     
  • 2.3, microsoft (?), 23:25, 20/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Запрет ublock и nojs при их наличии.
     
  • 2.17, Аноним (18), 04:40, 21/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот по твоим собственным спискам адблока тебя и отследят. Если ресурс не сможет достучаться до заблокированного тобой элемента, то будет знать, наряду с другими опечатками, куда заходишь и что делаешь.
     
  • 2.30, Жироватт (ok), 08:38, 21/06/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Готовят почву для тотальной обрезки расширений до некоего "стандартного" набора. Это всего лишь кирпичик в будущую (~год-три) истерию, расширяющую и усугубляющую слежкофобию простого массового хомячка интеллектом повыше обычного юзера-работяги.

    Вангую далее массированный и длительный по времени вброс, нацеленный на западного мыдло-хомяка, который реально сольёт данные случайных пусть даже одной тысячи жертв (которых, как там умеют представят полными мразями и неадекватами) с их историями в СПЕЦИАЛЬНО и ЗАГОДЯ раздутый инфоштром из инфоповодов. Ну и травля, опять-таки, как там умеют - а кто за обычное мыдло заступится? Он вам не Ричардушка, мать его, Мэттью - с фатальными для мыдла последствиями. Как в прочем там любят. А потом приходит ГУГЕЛ не белом коне и всем все чинит, обрезая браузер до локнутого стандартного веб-терминала. Как, впрочем, он используется, уже сейчас, у юзерей-"работяг".

     
     
     
    Часть нити удалена модератором

  • 4.47, Аноним (47), 13:02, 21/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Брин - русский.

    Он еврей

     
     
  • 5.49, Аноним (49), 15:54, 21/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Он евроамериканец.
     
     
  • 6.52, anonymous (??), 19:01, 21/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Обычно таких называют просто "американец". Дефолтовый, так сказать. Ванильный.
     
  • 3.38, Аноним (38), 10:12, 21/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >Он вам не Ричардушка, мать его, Мэттью - с фатальными для мыдла последствиями.

    На мыдло вообще всем нαсрать. Столлмана затравили потому, что он известен. Петиция по отмене Johnа Smitha даже 2 голосов не набрала бы.

     
     
  • 4.46, Жироватт (ok), 12:15, 21/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Собственно поэтому его и будут травить. Тут дело в том, что грамотно это подадут. Плюс эффект массовости, писал же.
     

  • 1.5, Степан (?), 23:26, 20/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кстати, есть ли простой способ борьбы с идентификацией пользователя с помощью списка аудиоустройств и шрифтов?
     
     
  • 2.9, Аноним (9), 23:43, 20/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пару лет назад для этого достаточно флэш отключить было
     
     
  • 3.44, Аноним (38), 10:34, 21/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Флеша уже более как 10 лет в живых нет.
     
  • 2.33, Аноним (38), 09:17, 21/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Firefox.
     
     
  • 3.45, Аноним (45), 10:35, 21/06/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Что, серьёзно? Надеюсь это был юмор такой.
     
     
  • 4.51, Аноним (51), 16:54, 21/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Это умение в ответ на вопрос рандомно выбрасывыть первое попавшееся слово.
     
  • 3.50, Аноним (51), 16:52, 21/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Moulinex
     
     
  • 4.61, Шлангоним (?), 22:09, 30/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    но-шпа
     
  • 2.53, Аноним (53), 20:20, 21/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    О чём вы беспокоитесь ? https://3dnews.ru/1068536/ - скоро на сайты будут пускать после предъявления паспорта и сдачи отпечатков пальцев .
     

  • 1.6, Аноним (6), 23:35, 20/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > Only Chromium desktop browsers are supported

    Ok.
    На самом деле - это не важно и не нужно. Если жабаскрипт включен - тебя иднтифицируют с точностью до волоска на пятке. А если выключен - то ты в современные интернеты не ходишь ибо не можешь.

     
     
  • 2.10, Жлобс (?), 00:19, 21/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А в интернет надо ходить с айфончика из сафария. Новенького, чтобы батарея не сносилась и по тормозам нельзя было узнать. И без адблока.

    Тогда идентифицировать будет сложно и жс будет работать (но хорошую работу вам никто не обещал)

     
  • 2.20, Бывалый смузихлёб (?), 05:56, 21/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    да и без жс вполне раскусят
    другое дело, что множество проблем связаны не с самим ЯП или технологией а с откровенной дырявостью браузера
     
  • 2.22, КО (?), 06:14, 21/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    JS белым списком и идентифицируют только по делу, а не маркетологи гугла.
     

  • 1.7, Аноним (7), 23:39, 20/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А если дополнения установлены вручную через самостоятельно созданные архивы через "режим разработчика"?

    Подобным образом устанавливают дополнения, которые хромой удалённо сносит.

     
     
  • 2.11, Аноним (11), 00:26, 21/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Прочитай про метод детектирования. Ему всё равно, как дополнения стоят. Определяется факт их наличия. Точнее время ответа на определенные запросы, которое отличается при установленных дополнениях и без них.
     
     
  • 3.13, Аноним (7), 01:24, 21/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Прочитай про метод детектирования. Ему всё равно, как дополнения стоят. Определяется факт
    > их наличия. Точнее время ответа на определенные запросы, которое отличается при
    > установленных дополнениях и без них.

    Прочитал ещё до написания того сообщения. У меня тогда вопрос. Если хромой определял дополнения, присутствия которых он не желает в браузерах и удалённо удаляет их, то каким образом он определяет дополнения, которые ставились особым образом, чтобы google про них не знал, но он о них всё равно знает, но не удаляет. Это как, типа они начинают быть в курсе, что ты установил таким способом, а раз пошёл на такой квест, то и ладно, пусть будут, живи, так уж и быть, так штoлe?!

     
     
  • 4.19, Kuromi (ok), 05:08, 21/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Все проще, если чел один раз поставил так аддон, значит и второй раз поставит. Если хром будет удалять каждый раз - может даже скрипт напишет автоматизирующий процесс. На таких умников Гуглу проще махнуть рукой, все равно вывернутся.
    Это как Firefox Nightly в котором можно выключить проверку подписи аддонов и ставить все что угодно. Почему? А потому что если человек ставит Nightly он уже не ЦА.
     
     
  • 5.35, Аноним (7), 09:55, 21/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Все проще, если чел один раз поставил так аддон, значит и второй
    > раз поставит. Если хром будет удалять каждый раз - может даже
    > скрипт напишет автоматизирующий процесс. На таких умников Гуглу проще махнуть рукой,
    > все равно вывернутся.
    > Это как Firefox Nightly в котором можно выключить проверку подписи аддонов и
    > ставить все что угодно. Почему? А потому что если человек ставит
    > Nightly он уже не ЦА.

    Хорошо, если так и есть, не хотелось бы извращаться. По поводу "индивидуального отпечатка", очень неприятно, конечно, но вполне ожидаемо от гугла. В любом случае, лично я не пользуюсь хромиумом не для чего чувствительного, только для пользования сомнительными дополнениями для доступа на конкретные ресурсы для более беспроблемной добычи бесплатного контента.

     
     
  • 6.43, Аноним (38), 10:32, 21/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >только для пользования сомнительными дополнениями для доступа на конкретные ресурсы для более беспроблемной добычи бесплатного контента.

    Они и на Firefox пойдут, WebExtensions же типа стандарт.

     
     
  • 7.58, Аноним (7), 09:01, 22/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >>только для пользования сомнительными дополнениями для доступа на конкретные ресурсы для более беспроблемной добычи бесплатного контента.
    > Они и на Firefox пойдут, WebExtensions же типа стандарт.

    Этот стандарт только "на бумаге" стандарт, по факту, в реальном мире, многие современные дополнения от двух браузер взаимно несовместимы. Я также, однажды понадеявшись на эту сказку пробовал установить нужные мне дополнения, а после неудачи выяснился этот печальный момент, об этом даже статье где-то в сети есть, что стандарт стандартом, "но, всем как всегда..."

     

  • 1.8, Аноним (8), 23:40, 20/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Сначала агрессивно заставили переходить всех на HTML5, а теперь разгребают что натворили.
     
  • 1.12, Аноним (12), 00:58, 21/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Видимо, мала ещё библиотека расширений. Их всего набора только 3 расширения показало.
     
     
  • 2.16, Sw00p aka Jerom (?), 03:25, 21/06/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    uBlock Origin не определил
     
     
  • 3.29, Аноним (29), 08:18, 21/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В моем случае нашел.
     

  • 1.21, sergey (??), 06:09, 21/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    А что, кто-то ещё пользуется Chrome?
     
     
  • 2.24, penetrator (?), 06:35, 21/06/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    хороший троллинг, но да, хомяки жрут

    но я только лису, хотя ее приходится серьезно допиливать напильником

     
     
  • 3.27, ыы (?), 06:45, 21/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Жестко вы себя...
     
  • 3.31, anonymous (??), 08:50, 21/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    как допиливаешь?
     
     
  • 4.54, penetrator (?), 20:23, 21/06/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    сначала настройки, потом about:config (минус всякая шляпа, телеметрия, реклама, тюн UI, форматов и тд), потом UI (возвращаю табы через CSS и другие твики), Smart Referer, uBlock и кое-какие другие плюшки
     

  • 1.32, Александр (??), 08:51, 21/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    адблок установлен давным давно, тестовая страница говорит что у меня его нет.
     
  • 1.34, Аноним (38), 09:19, 21/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Для блокирования определения дополнения по наличию ресурсов некоторые дополнения генерируют проверочный токен, необходимый для доступа к ресурсу. Вызов fetch без указания токена всегда завершается неудачей.

    Это не дополнения должны делать.

    Кстати, техника атакует Хром, потому что в Firefox URI рандомизированы.

     
  • 1.36, Попандопала (?), 10:08, 21/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Зашуганые телеметрией под самый плинтус,но при этом Хромомом пользуются. Одно другому наверное не мешает. Вопрос лишь в том кому сливаться. я выбрал яндекс браузер и чет не жмет и майору на меня плевать,а я уж мешок сухарей насушил. Кому сухариков ноунэймы? D
     
     
  • 2.39, Аноним (39), 10:18, 21/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    "Я" в начале предложения русскоязычными большой пишется. Браузер этот слишком надоедлив.
     
     
  • 3.40, Попандопала (?), 10:23, 21/06/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Согласен на удовлетворительно, я офисами не пользуюсь и общаюсь тут по простому. Рублю правду-матку в моем понимании.XD При этом вижу про Хромого норм зашло,а я* не угодил.XDD
     

  • 1.41, Попандопала (?), 10:25, 21/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Сорян,ненамеренно Я* с малой написал повторно.%
     
  • 1.48, Аноним (48), 15:52, 21/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А потому нас спасет только noscript
     
  • 1.55, Аноним (-), 21:22, 21/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Неплохо. Кстати, радует, что самые эффективные инструменты для таргетирование рекламы всегда опенсорс. Что эта приблуда, что весь хромиум или телеметрефокс. Реклама - двигатель прогресса, опенсорс - двигатель рекламы!
     
  • 1.59, hefenud (ok), 09:57, 22/06/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    55.190% of users share the same extensions

    Ну… Пользователей инета по данным ООН в мире больше 4 миллиардов, по разным данным Хром в районе 80% рынка, 55% от этого… Так себе точность, прямо скажем. Я бы даже сказал «никакой точности» и ничего к фингерпринту это не даст, он на основе других данных сильно точней

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру