The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Метод идентификации через определение дополнений, установленных в Chrome и Firefox

31.08.2017 23:20

Группа исследователей из университета Деусто (Испания) и исследовательского центра Eurecom (Франция) выявили две техники определения списка установленных браузерных дополнений, который можно использовать в качестве дополнительного источника данных для неявной идентификации пользователя. Методы применимы к Firefox, Safari и браузерам на кодовой базе Chromium. По заявлению исследователей точность определения как для старых дополнений Firefox, так и для дополнений к Chrome на базе WebExtensions составляет 100%.

Первый метод затрагивает все браузеры с поддержкой API WebExtensions (Chrome, Opera, Yandex Browser, Edge, Vivaldi) и основывается на получении информации по сторонним каналам (side-channel attack), а именно учёте различия времени обработки операций, при обработке файлов определённых дополнений. Правила доступа к файлам дополнения задаётся в файле manifest.json и приводят к небольшим, но уловимым, задержкам при попытке обращения к подпадающим под эти правила ресурсам.

В частности, время отзыва при попытке доступа к локальным файлам несуществующего дополнения немного дольше, чем при обращении к файлам установленного дополнения, при использовании изначально фиктивных файловых путей. Иными словами, время доступа к связкам "chrome-extension://[fakeExtID]/[fakePath]" и "chrome-extension://[realExtID]/[fakePath]" отличается, что позволяет методом перебора известных идентификаторов дополнений определить установленные в браузере дополнения. Если дополнение не установлено, время выполнения запроса будет совпадать, а если проверяемое дополнение присутствует - запрос будет выполнен быстрее.

Примечательно, что данной проблеме подвержен и старый API для построения дополнений к Firefox, на смену которому идёт WebExtensions. В случае старого API не требуется даже измерять время ответа, так как при запросе несуществующего файла в установленном и фиктивном дополнении выдаётся разный код ошибки. Новая система дополнений Firefox на базе WebExtensions не подвержена данной проблеме, так как в отличие от Chrome идентификаторы дополнений генерируются случайно.

При этом в ходе анализа выявлена другая проблема - случайный идентификатор дополнения Firefox сохраняется для всех версий дополнения в текущей системе и если дополнение допускает его утечку, то данный идентификатор дополнения можно рассматривать как уникальный идентификатор пользователя. Вероятно, данная проблема более опасна, чем изначально предложенный метод построения списка дополнений, так как в ходе проверки гипотезы удалось получить данные о случайном идентификаторе предустановленного дополнения Screenshot при нажатии кнопки создания снимка экрана на стороннем сайте. Для других популярных дополнений возможно будет определён метод, работающий без необходимости совершения пользователем определённых действий.

Второй метод получения списка дополнений специфичен для системы дополнений браузера Safari, в которой вместо manifest.json для разграничения доступа применяется случайно сгенерированные URL, привязываемые к текущему пользовательскому сеансу. Суть метода в том, что можно определить косвенные данные, которые используются при генерации случайного URL, и попытаться предсказать его. Проверка показала, что подобное удаётся для 40.5% протестированных дополнений.

  1. Главная ссылка к новости (https://www.ghacks.net/2017/08...)
  2. OpenNews: Расширенный метод идентификации системы и браузера без применения cookie
  3. OpenNews: Идентификация пользователей Tor Browser через анализ особенностей работы с мышью
  4. OpenNews: Новый вид атак по определению ранее открытых в браузере сайтов и отслеживанию посетителей
  5. OpenNews: Оценка возможности идентификации клиента через анализ параметров HTTPS
  6. OpenNews: Исследование степени идентификации пользователя по web-браузеру
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/47103-browser
Ключевые слова: browser, chrome, firefox
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (103) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 00:48, 01/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    И как с этим бороться, скажем, пользователю Firefox?
     
     
  • 2.2, Ordu (ok), 01:10, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +12 +/
    Пользователю -- никак. Это разработчикам FF надо озаботиться, вставить одну константную задержку и ещё добавить рандомную, так чтобы спрятать разницу в выполнении запросов за шумом.

    Вторая проблема интереснее, но, в принципе, тоже решается. И опять же не пользователем.

    Пользователь бесполезен.

     
     
  • 3.8, Аноним (-), 02:15, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А это не поможет?
    https://addons.mozilla.org/ru/firefox/addon/tamper-data/versions/
     
     
  • 4.32, Аноним (-), 10:53, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > А это не поможет?
    > https://addons.mozilla.org/ru/firefox/addon/tamper-data/vers.../

    А горчичники от перелома не помогут?

     
     
  • 5.35, пох (?), 11:20, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> А это не поможет?
    >> https://addons.mozilla.org/ru/firefox/addon/tamper-data/vers.../
    > А горчичники от перелома не помогут?

    смотря что сломано, и как применять. Если тебе их пачкой в задницу затолкают - о сломанном пальчике ты на некоторое время с гарантией забудешь.


     
     
  • 6.43, user (??), 12:11, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >как применять

    вместо гипса

     
  • 3.23, тоже Аноним (ok), 09:57, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +13 +/
    А я-то думал - что это во всех браузерах год от года только задержки вставляют?
    Оказывается, это борьба за безопасность!
     
     
  • 4.58, Аноним (-), 14:28, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Браузер с бесконечной задержкой будет самым безопасным.
     
  • 3.65, DmA (??), 15:31, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Пользователю -- никак. Это разработчикам FF надо озаботиться, вставить одну константную
    > задержку и ещё добавить рандомную, так чтобы спрятать разницу в выполнении
    > запросов за шумом.
    > Вторая проблема интереснее, но, в принципе, тоже решается. И опять же не
    > пользователем.
    > Пользователь бесполезен.

    я так понимаю запросы к дополнениям идут через JS, и если его он отключен, то они идут лесом!
    Так что пользователь тоже что-то может для себя сделать!

     
     
  • 4.67, Ordu (ok), 15:41, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не совсем, но почти. Запросы к дополнениям идут через url'ы, и для того, чтобы они шли не обязательно включать js. Но вот измерение времени выполнения этих запросов возможно выполнить только при помощи js. Так что отключение js конечно же поможет. И действительно пользователь может что-то для себя сделать.

    Да, значит не такая уж и проблема, ввиду NoScript. Можно не париться, и продолжать сидеть на LTS. А то, я уж было начал дёргаться -- бекпортируют фиксы сюда или нет.

     
  • 4.68, имя (?), 15:41, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    желаю удачи путешествовать в современном вебе без жс
     
     
  • 5.89, Аноним (-), 03:06, 02/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Современный Facebook как-то обходится и без жс, пых же есть, так что на форумы на том же phpBB можно будет лазить ещё долго в современном интернете
     
  • 3.81, Аноним (-), 22:54, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Я не понимаю. Нафига вообще какие-то задержки. Почему доступ к файлам дополнения с веб-сираницы не блокируется на одном основании того, что это файлы дополнения? Это же видно по uri (начинается с chrome://), и проверка uri даст задержку, не зависящую от наличия расширения.
     
     
  • 4.85, Ordu (ok), 23:58, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Я не понимаю. Нафига вообще какие-то задержки. Почему доступ к файлам дополнения
    > с веб-сираницы не блокируется на одном основании того, что это файлы
    > дополнения? Это же видно по uri (начинается с chrome://), и проверка
    > uri даст задержку, не зависящую от наличия расширения.

    Доступ к файлам дополнения блокируется. Если конечно дополнение не указало список тех файлов, к которым страница имеет доступ.

    Но сия атака основана не на доступе, а на отсутствии доступа. Проверка отсутствия доступа выполняется дольше, в случае если дополнение установлено.

    Сходи почитай статью, на которую ссылка из статьи. Там это всё разжёвано.

     
     
  • 5.88, Дотошный аноним (?), 02:57, 02/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > время отзыва при попытке доступа к локальным файлам несуществующего дополнения немного дольше, чем при обращении к файлам установленного дополнения
    > Проверка отсутствия доступа выполняется дольше, в случае если дополнение установлено.
    > Сходи почитай статью, на которую ссылка из статьи. Там это всё разжёвано.

    В статье действительно сказано, но наоборот. И не разжёвано совсем почему проверки доступа такие странные (достаточно медленные, чтобы случайные задержки не портили статистку атаки).

     
  • 3.98, Аноним (-), 19:36, 02/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Пользователь бесполезен.

    При отсутствии пользователей разработчики как будут добывать шоколадки?

     
  • 2.4, Sabakwaka (ok), 01:29, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> И как с этим бороться, скажем, пользователю Firefox?

    Не использовать зоопарк из блоатварь расширений?
    Поставь пять нужных, имеющих по миллиарду установок и больше не балуйся.

     
     
  • 3.7, Аноним (-), 02:06, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Интересно, а как узнать число установок?
     
  • 3.18, Аноним (-), 09:22, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Поставь пять нужных

    Так ведь это целых пять бит, что увеличивает уникальность браузера в среднем в 32 раза.

     
  • 2.9, Crazy Alex (ok), 03:06, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    поставить какой-то фильтр вроде uMatrix, который бы слёту блокировал страницам доступ к расширениям?
     
     
  • 3.10, Аноним (-), 03:14, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Знать бы, как его настроить для этого.
     
     
  • 4.19, Аноним (-), 09:28, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Как файрвол. Запретить все, разрешить только то что нужно только тем сайтам которые нужны.
     
  • 4.60, DmA (??), 14:53, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +5 +/
    устанавливаем uMatrix жмём его кнопку на панели браузера, слева вверху светленьк... большой текст свёрнут, показать
     
     
  • 5.61, Аноним (-), 15:06, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо за подробную инструкцию!
     
     
  • 6.66, DmA (??), 15:35, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Спасибо за подробную инструкцию!

    Не за что!

     
  • 5.80, Аноним (-), 22:46, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    gt оверквотинг удален Как Вы думаете, нельзя ли сконструировать сайт с такой с... большой текст свёрнут, показать
     
  • 5.87, Sirob (?), 01:53, 02/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Спасибо за инструкцию.

    > Дальше, когда со сторонними сайтами разобрались оставляем тот контент, который считаем безопасным.
    > На сегодняшний день остались только картинки и стили :)

    Минус картинки: Уязвимости в GDK-Pixbuf, затрагивающие Chromium, Firefox, VLC и GNOME thumbnailer (
    https://www.opennet.ru/opennews/art.shtml?num=47104 )

     
  • 5.90, Аноним (-), 03:24, 02/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Неверно, это просто сортировка правил в таблице такая сначала по второму столбц... большой текст свёрнут, показать
     
     
  • 6.93, user (??), 09:39, 02/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >фоновым скриптам (не привязанным ко вкладкам)

    WTF? Как эту мерзость отключить навсегда?

     
  • 5.99, Аноним (-), 19:47, 02/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Значок — Википедия
    ru.wikipedia.org›Значок
    Значо́к, многозначное слово, может означать, у некоторых: маленький флаг, предназначенный для определённых целей, в военном деле. небольшой нагрудный знак. условный знак в картографии. значок или иконка — картинка...
     
  • 2.16, DmA (??), 09:01, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Кроме цифрового отпечатка браузера есть ещё ваш либо постоянный, либо слабоменяющийся  IP!
    Решение против этих двух идентификаторов пользователя давно есть - самобновляемый до самой последней версии при старте Tor Browser: у всех одинаковый и ip фиг пойми откуда!
    Обычный браузер лучше использовать при крайней необходимости, либо  толькона тех ресурсах, где про вас и так  всё знают и вы там при регистрации указывали сотовыйтелефон=паспортные данные.
     
     
  • 3.22, пох (?), 09:55, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    я очень люблю свой постоянный слабоменяющийся ip - за ним мало того что контора ... большой текст свёрнут, показать
     
     
  • 4.45, Пауль (?), 12:30, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Вывод то какой?
    Использовать старые версии браузеров!
    Такой получается вывод.
    Кстати СПАСИБО за такие подробности.
     
  • 4.50, DmA (??), 13:33, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Согласен, что Тор не панацея, но всё же меньшее из зол В остальных браузерах с... большой текст свёрнут, показать
     
  • 4.64, Аноним (-), 15:23, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Покапитанствуем в роли внимательного наблюдателя сообщение было отправлено с ... большой текст свёрнут, показать
     
     
  • 5.70, ваш К.О. (?), 16:03, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    переводя с ментовского на русский засекли соединение из города, где было получе... большой текст свёрнут, показать
     
     
  • 6.77, Аноним (-), 17:28, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > "выпуск электронных суррогатов"

    Всеж таки недалекие люди у нас законы пишут. Майнить надо разрешить, но тратить только за бугром, дабы намайненным "суррогатом" разрушать экономику ненавистных супостатов.

     
  • 6.79, пох (?), 21:32, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > анонимные тем более зло - они у нас незаконны, и вот за это ("выпуск электронных
    > суррогатов") ты сядешь с гарантией

    товарищ Майор, ну можно ж было хотя бы дипломатическую паузу-то выдержать? Никогда еще Штирлиц не был так близок к провалу!

    https://meduza.io/news/2017/09/01/v-kostromskoy-oblasti-mvd-i-fsb-zaderzhali-t

     
  • 6.103, DmA (??), 21:11, 03/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Уже не первый раз дискуссия приходит к одному и тому же результату: не иметь никаких отношений с этим государством, уехать в глубинку, выращивать там что-то для себя, как Агафья Клыкова, взять с собой книги, компьютер, Википедию, пару электронных библиотек,  какие-то орудия труда и познания. И заниматься теми вопросами, которые нравятся и жить по своей совести и как разум подсказывает. Ждать когда очередное мракобесие само себя погубит или не ждать вовсе.
     
     
  • 7.106, Аноним (-), 03:05, 04/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Полагаете, сами они к Вам тогда не придут?

    А ежели зуб заболит коли чего по-хуже - что делать будете?

     
  • 4.100, Wladmis (ok), 21:31, 02/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > И через некоторое время выясняется, что мордокнига, в которую ты через него лазил, по социальному графу уже давно знает не только кто ты, но и как ты выглядишь (и в принципе может поделиться с системами, обслуживающими камеры наблюдения, например).

    Использовать Tor для захода в Facebook — это мощно! Разве не очевидно, что использование средств анонимизации для доступа к ресурсам, где анонимность в принципе невозможна, является абсурдом?

     
     
  • 5.101, brukjteker4bhtr (?), 10:33, 03/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Он нужен не только для анонимизации, но и против Роскомпреступников.
     
     
  • 6.102, Wladmis (ok), 16:23, 03/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Он нужен не только для анонимизации, но и против Роскомпреступников.

    Понятно, что цели применения могут быть разные, но использовать его для доступа к Facebook... Его же даже не заблокировали. Хотя для обхода блокировок Тор, пожалуй, самый неудобный способ, как раз потому, что ресурсы на той стороне подозрительно относятся к посетителям с выходных нод и подсовывают капчи и пр..

    Тем более, что комментатор выше как раз говорил о том, что как плохо с анонимностью в тор, Facebook его вычислил.

     
     
  • 7.104, ресурс (?), 21:14, 03/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > потому, что ресурсы на той стороне подозрительно относятся к посетителям с выходных нод
    > и подсовывают капчи и пр..

    btw, мы это делаем вовсе не потому что мы вас всех ненавидим (мы на самом деле вас всех ненавидим одинаково, вне зависимости от использования прокси), а потому, что, к сожалению, на одного (а на деле ноль) борцов с режимом, пытающихся выглянуть в свободный мир через дырочку тора, приходит две сотни аццки-изобретательных роботов-$@тов, пытающихся у тебя что-то поломать, и пяток живых человеков-п-сов, тупо пытающихся нагадить.
    То есть никто специально exit-nodes не подсчитывает и не блокирует списком - они сами оказываются в списках по результатам анализа либо проактивной защиты. Быстро, очень быстро.

     
  • 3.25, Аноним (-), 10:23, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >постоянный, либо слабоменяющийся  IP!

    Россия - все за NAT

     
     
  • 4.34, пох (?), 11:18, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >>постоянный, либо слабоменяющийся  IP!
    > Россия - все за NAT

    почему только Россия? Везде, кроме, кажется, Германии и индусского государства Калифорния, где ipv6 адрес (еще и привязанный к маку) встречается чаще.


     
  • 4.51, DmA (??), 13:33, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >>постоянный, либо слабоменяющийся  IP!
    > Россия - все за NAT

    Точно, а правила NAT пусть хранятся в фсб :(


     
  • 4.74, DmA (??), 16:30, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >>постоянный, либо слабоменяющийся  IP!
    > Россия - все за NAT

    Россия и так за NATOм :)

     
  • 3.42, Аноним (-), 12:07, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Да, разумеется.
    Как видно из сообщения "Медузы" по ссылке ниже, "правоохранители" поняли, что облажались в своем непомерном усердии, и дело, похоже, замнут.
    Ясно, что через Tor выходят в сеть очень многие.
     
  • 2.26, пох (?), 10:24, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > И как с этим бороться, скажем, пользователю Firefox?

    найти кусок кода с GetSubstitutionInternal(const  nsACString
    & root , nsIURI  ** result){

    и заменить
    return  NS_ERROR_FILE_NOT_FOUND;
    на
    return  NS_ERROR_NOT_AVAILABLE ;

    еще красивее - заменить обе функции на возврат какого-нибудь мусора (это будет тоже уникальный отпечаток браузера, но пока о нем никто не знает, ты можешь спать спокойно) - то, что запросило этот урл - подавится, и туда ему и дорога.

    Ах, да, опеннетовские пользователи ж такие беспомощные, что эти советы им как об стену горох? Ну тогда ждите ебилдов.

     
  • 2.37, онан (?), 11:42, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Не космическая техника, сойдет и так! Уровень приватности FF по задумке руководства ограничивается удалением истории, чтобы жена не просекла по каким порносайтам лазил ее супруг.
    Фирефокс - полуфабрикат, использование его в сыром виде черевато. Это должен понимать каждый  из присутствующих!
     
     
  • 3.56, DmA (??), 14:07, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Не космическая техника, сойдет и так! Уровень приватности FF по задумке руководства
    > ограничивается удалением истории, чтобы жена не просекла по каким порносайтам лазил
    > ее супруг.
    > Фирефокс - полуфабрикат, использование его в сыром виде черевато. Это должен понимать
    > каждый  из присутствующих!

    И это к сожалению лучшее из зол, остальное на порядки хуже, ну просто соткано из зондов!

     
  • 2.78, Аноним (-), 19:44, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > И как с этим бороться, скажем, пользователю Firefox?

    Все настройки анонимности только через about:config а не с помощью дополнений. Фильмы качать - копировать только из кэша ....

    ps x | grep firefox

    ls -l /proc/...*/fd

    cp /proc/...*/fd/21 video.flv

    и так далее.

     
  • 2.86, как бороться (?), 01:08, 02/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    всего то заставить FF включить в поставку 50-100 самых употребляемых экстеншнов и сделать их неотключаемыми
     
     
  • 3.92, Аноним (-), 03:37, 02/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > всего то заставить FF включить в поставку 50-100 самых употребляемых экстеншнов и сделать их неотключаемыми

    Mozilla уже на это облажалась, в статье же есть:
    > предустановленного дополнения Screenshot при

     
  • 2.94, Аноним (-), 12:50, 02/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > И как с этим бороться, скажем, пользователю Firefox?

    Путём перехода на Pale Moon! - https://github.com/MoonchildProductions/Pale-Moon/issues/1327

     
     
  • 3.105, нах (?), 21:28, 03/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Путём перехода на Pale Moon!

    плохой, негодный совет. По вашей ссылке его авторы продемонстрировали как минимум неумение читать, и избыточное ЧСВ. До места, где атака описана и на старый jetpack-вариант расширений, они явно недочитали. (_возможно_ pm нечувствителен к этой атаке, ибо код там немного другой, но GetFlagsFromPackage c FILE_NOT_FOUND, как минимум, там есть, и это явно небезопасный код возврата - незачем кому попало знать, что там found, а что обломалось по иным причинам)

    а еще эти, гм, геи надысь забанили adnauseam! Со словами что он мешает честным людям иметь вас в жо...ой,простите, иметь с вас денег, а поскольку мы тоже обожаем заниматься тем же самым, мы с ними заодно. (с другой стороны - спасибо что честно это написали)

     

  • 1.5, Аноним (-), 01:49, 01/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    Какие задержки? С какого фига вообще страничкам есть доступ к chrome-extension://?
     
     
  • 2.6, Crazy Alex (ok), 01:56, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Вот меня тот же вопрос интересует. Что там страницы забыли-то? А тем более - с реквестами из джаваскрипта.
     
  • 2.11, Ordu (ok), 04:26, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А почему нет? Это ж удобно: если расширение добавляет на страничку какую-нибудь няшную кнопочку, то было бы круто, если бы няшное изображение этой кнопочки лежало бы локально на диске.
     
     
  • 3.12, anonimus (?), 07:46, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    И для этого нужен доступ к chrome-extension://?
     
     
  • 4.48, Ordu (ok), 12:53, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > И для этого нужен доступ к chrome-extension://?

    Да.

     
     
  • 5.49, Ordu (ok), 12:55, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну, в смысле, я полагаю, что да. Я не писал расширений и просто гадаю.
     
  • 5.82, Аноним (-), 23:02, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> И для этого нужен доступ к chrome-extension://?
    > Да.

    Нет, не нужен. Есть URL.createObjectURL, и вообще это всё должно быть вне контекста страницы, иначе даже тайминг атаки не нужны, расширение и так громко заявляет "АУ я тут, это я".

     
     
  • 6.84, Ordu (ok), 23:57, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >>> И для этого нужен доступ к chrome-extension://?
    >> Да.
    > Нет, не нужен.

    Ну видимо разработчики хрома и файрфокса с тобой не согласны. Я даже не знаю в чью квалификацию мне следует больше верить -- в твою или в их?

    > иначе даже тайминг атаки не нужны, расширение и так громко заявляет "АУ я тут, это я".

    Да, и авторы этой статьи тоже идиоты, Аноним опеннета лучше знает.

     
  • 2.24, пох (?), 09:59, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Какие задержки? С какого фига вообще страничкам есть доступ к chrome-extension://?

    url как url. Да, можно его (и еще полсотни похожих) специально в ста местах проверять и блокировать, но рано или поздно либо добавят новое место, и забудут проверить, либо забудут один из таких урлов (вот и забыли).

    Маразм изначально в другом - схерали это - url? Как и "about:", как и все прочие. Я прекрасно помню времена netscape, где единственными подобными урлами были about:mozilla и about:netscape, а все остальное было доступно через нормальные модальные диалоги, соответственно - вне сферы влияния содержимого окошка.


     
     
  • 3.36, Crazy Alex (ok), 11:28, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ну так и сделать белым списком. Дефолт без настройки - https/http - автоматом, всё остальное - только по явному разрешению. думаю, это больше, чем только от этой штуки убережёт.
     
     
  • 4.38, пох (?), 11:43, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > ну так и сделать белым списком

    ну так и сделано. Проверяется этот белый список в ста местах, причем списки немного отличаются (из моих пяти расширений двум нужно одновременно script injection и обращение к локальным ресурсам - вы ведь не хотите, чтобы ровно то, чего ради ставят privacy ext's, обращалось к внешнему хранилищу, автоматически светясь?)
    Вот и лоханулись. Причем мазильцы - в обработчике ошибки, вернув чуть больше информации, чем было можно себе позволить. (вернешь null - а оно оттуда прочитать попытается, например)

     
     
  • 5.47, Crazy Alex (ok), 12:43, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот у uMatrix/uBlock как-то одного места хватает.
     

  • 1.13, Аноним (-), 08:20, 01/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Эмм 100% чего? Допустим нет дополнений, они 100% скажут что это один пользователь?
     
  • 1.14, istepan (ok), 08:23, 01/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Блин, они бы еще к about:config дали доступ.
     
     
  • 2.91, Аноним (-), 03:29, 02/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А в какой именно репозитарий надо писать issue с данным  featurerequest на гитхабе?
    https://github.com/mozilla/
     

  • 1.15, iPony (?), 08:45, 01/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Safari - удаётся для 40.5% протестированных дополнений.

    Но хоть шанс в 59.5% есть

     
  • 1.17, Аноним (-), 09:08, 01/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И что теперь? В каком месте бояться?
     
     
  • 2.28, Аноним (-), 10:25, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Честным людям нечего бояться. У них браузер в каждом запросе паспортные данные отсылает.
     
     
  • 3.30, user (??), 10:30, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Честным органам нечего бояться. У них гостайны в газетах печатают.
     
  • 3.52, DmA (??), 13:59, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Честным людям нечего бояться. У них браузер в каждом запросе паспортные данные
    > отсылает.

    репрессии сталинизма и фашизма косили в первую очередь  честных и порядочных! Потому, что они им непонятны: все кого они не могут купить, запугать, уговорить должны быть уничтожены, а  честным и порядочным мешает совесть. Эти люди угроза номер один для сталинизма-гитлеризма.

     
     
  • 4.69, Кен (?), 15:46, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Хорошо, что твоего деда не тронули.
     

  • 1.20, Пауль (?), 09:38, 01/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Кто нибудь!!! подскажите! есть ли дистрибутив линукс LiveCD с браузером, кроме Firefox, Chrome Google, Chromium, Midori? Желательно без KDE и Gnome!

    (p.s. - Модератор не удаляй пожалуйста хотя бы сутки этот комментарий)

     
     
  • 2.27, доброжелать (?), 10:24, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    В Tiny Core Linux есть lynx
     
     
  • 3.44, Пауль (?), 12:22, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ну не столько же.
    Хотя бы Pale Moon иль другие.

    Да чего везде и всюду эта драная лиса
    Подстилка вонючая

     
  • 2.29, Аноним (-), 10:28, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >с браузером, кроме Firefox, Chrome Google, Chromium, Midori?
    >Желательно без KDE и Gnome!

    Это противоречивые требования.

     
  • 2.59, Singularity (ok), 14:47, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    В последних версиях SystemRescueCD Midori заменили на NetSurf, приятного пользования.
     
     
  • 3.62, Пауль (?), 15:14, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    О Спасибо!
    Но в SystemRescueOS как-то туго с файловым менеджером, нельзя чего то открыть (не помню)
     
  • 3.95, Пауль (?), 14:56, 02/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Только что, скачал, запустил, нет там никакого NetSurf, там тоже Firefox.
    Зачем Вы обманули?
     

  • 1.31, Аноним (-), 10:31, 01/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Какие есть браузеры с поддержкой только безопасной части js?
     
     
  • 2.33, Аноним (-), 10:57, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    IceCat
     
     
  • 3.40, онан (?), 11:45, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > IceCat

    В андроиде на нем не работает синхронизация (может только у меня одного)

     
     
  • 4.53, DmA (??), 14:00, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> IceCat
    > В андроиде на нем не работает синхронизация (может только у меня одного)

    если у вас включена синхронизация, то какая тут может быть приватность-то?


     
  • 3.55, DmA (??), 14:04, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > IceCat

    Icecat не делает js безопасным! Он просто не выполняет js код, который несвободен!( плагин LibreJS).
    Ну и при старте IceCat предлагает несколько опций, среди которых отключение js

     
     
  • 4.107, abi (?), 17:21, 06/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А как он определяет что js-код несвободен? Ищет есть ли слово GPL в скрипте?
     
  • 3.63, Пауль (?), 15:17, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Основан на Mozilla Firefox!
    Сразу нет!
     
  • 2.39, пох (?), 11:45, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Какие есть браузеры с поддержкой только безопасной части js?

    lynx.

    функционально-полные языки - опасны _всегда_. На них, представьте себе, _программу_ можно написать. То есть нечто, что будет выполнять действия по определенному алгоритму. Заранее вам неизвестные.

      

     
     
  • 3.41, user (??), 12:01, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Бесконечный цикл и доступ куда не положено - это разные опасности. Пусть тормозит в клетке.
     
     
  • 4.71, пох (?), 16:08, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Бесконечный цикл и доступ куда не положено - это разные опасности.

    очевидно, что программы, способные только на бесконечный цикл, функционально-полными не являются и нахрен никому не нужны.

    > Пусть тормозит в клетке.

    они и так в клетке. И тип клетки позволяют задетектить, вот удивительно-то, да?


     
     
  • 5.73, user (??), 16:27, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >они и так в клетке

    Хреновая клетка, судя по наличию всяких скайпов.

     
  • 5.76, user (??), 16:35, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >нахрен никому не нужны

    Какому-нибудь яндексмаркету не нужен доступ ко всяким вебкамерам и дискам, ему достаточно передать выбраные на странице параметры и показать ответ.

    Но если беспокоит риск майнить биткойны - это лечится только выключением скриптов.

     
  • 2.54, DmA (??), 14:02, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Какие есть браузеры с поддержкой только безопасной части js?

    js по определению никогда не будет среди средст безопаности, и должен быть выключен или вообще выдран из браузера


     
     
  • 3.72, пох (?), 16:08, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > js по определению никогда не будет среди средст безопаности, и должен быть
    > выключен или вообще выдран из браузера

    вместе с html, вот где настоящее-то зло!

     

  • 1.46, Пауль (?), 12:42, 01/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Кстати разработчики собираются изымать firefox из своих дистров.
    Где же вся эта свобода если в их ОС сидит зонд от гугль.
    Есть какие нибудь новости?
     
     
  • 2.83, Аноним (-), 23:05, 01/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Кстати разработчики собираются изымать firefox из своих дистров.
    > Где же вся эта свобода если в их ОС сидит зонд от
    > гугль.
    > Есть какие нибудь новости?

    Ну и пусть собираются. А мы их дистрами пользоваться не будем.

     

  • 1.75, DmA (??), 16:34, 01/09/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    недовольных браузером много, ну а  кто возьмётся  вычистить все зонды из Firefox? ну или не все, а которые найдёт, с каждым новым релизом разработчики удаляют один старый зонд и добавляют пару новых.
     
     
  • 2.96, user (??), 17:00, 02/09/2017 [^] [^^] [^^^] [ответить]  
  • +/
    браузер гипертекста проще с нуля написать, а платформа для веб-приложений будет реш#том by design
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру