Chrome、Edge扩展插件可用于辨认用户?插件愈多愈容易认出来
source link: https://os.51cto.com/article/712125.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
Chrome、Edge扩展插件可用于辨认用户?插件愈多愈容易认出来-51CTO.COM
最近有人发现,Chrome以及Edge用户安装的扩展插件可以用于生成独特的“指纹”,配合其他数据诸如GPU性能表现、已安网的Windows应用、屏幕分辨率、硬件配置甚至已安装的字体等,可以用于准确追踪用户在在线浏览的痕迹。
一位网名为“zoccc”的网页开发者制作了一个名为“Extension Fingerprints”的网页,这个网页就是基于追踪用户安装的插件设计而成。里面包括了1000多种常见及热门的Chrome插件,用户只需要点击进去,网页就可以自动推算出用户安装了哪些插件,并且同时算出有多少访问过这网页的用户是安装了同样的插件。
这里要先说明一下网页一般是怎样得知用户装了哪些Chrome扩展插件。当开发者开发出一款Chrome扩展插件时,他们可以申明哪些资产是属于“web accessible resources”,而这些申明了的资产是可以被其他网页或者插件访问。早在2019年就有人发现,可以利用这些“web accessible resources”来检查用户安装了哪些Chrome插件,并且以此来生成用户的指纹。zoccc表示,有的插件为了防止被侦测出来,会秘密加入一个凭证,其他插件或网页想要访问这些“web accessible resources”就需要先有这个凭证。不过研究人员之后就发现,加入了秘密凭证的插件,比起没有加入的插件,访问“web accessible resources”的时间要更长。因此只需要对比一下两者的时间差异,就可以得知用户有没有安装这些插件。
在与BleepingComputer的沟通中zoccc也表示,安装了3个或以上的Chrome插件就已经可以让用户生成独一无二的插件指纹。如果把这些插件纪录与其他用户数据例如时区或者代理一起使用,就可以非常容易地分辨出用户,而Edge的插件也可以用同样的方法来检测出来。
笔者也点开了这个网页,里面显示只有0.004%用户是与我有同样的插件。当然,随着访问这个页面的人数增加,那这个比例也会有所升高,不过即便是0.01%也算是可以很准确的辨认出不同用户。因此,笔者建议大家还是尽量少安装插件,只安装对于自己真正有用的插件就好,或者干脆换用Firefox,因为Firefox插件在每个浏览实例上的ID都不一样
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK