Chrome、Edge扩展插件可用于辨认用户?插件愈多愈容易认出来
最近有人发现,Chrome以及Edge用户安装的扩展插件可以用于生成独特的“指纹”,配合其他数据诸如GPU性能表现、已安网的Windows应用、屏幕分辨率、硬件配置甚至已安装的字体等,可以用于准确追踪用户在在线浏览的痕迹。
一位网名为“zoccc”的网页开发者制作了一个名为“Extension Fingerprints”的网页,这个网页就是基于追踪用户安装的插件设计而成。里面包括了1000多种常见及热门的Chrome插件,用户只需要点击进去,网页就可以自动推算出用户安装了哪些插件,并且同时算出有多少访问过这网页的用户是安装了同样的插件。
这里要先说明一下网页一般是怎样得知用户装了哪些Chrome扩展插件。当开发者开发出一款Chrome扩展插件时,他们可以申明哪些资产是属于“web accessible resources”,而这些申明了的资产是可以被其他网页或者插件访问。早在2019年就有人发现,可以利用这些“web accessible resources”来检查用户安装了哪些Chrome插件,并且以此来生成用户的指纹。zoccc表示,有的插件为了防止被侦测出来,会秘密加入一个凭证,其他插件或网页想要访问这些“web accessible resources”就需要先有这个凭证。不过研究人员之后就发现,加入了秘密凭证的插件,比起没有加入的插件,访问“web accessible resources”的时间要更长。因此只需要对比一下两者的时间差异,就可以得知用户有没有安装这些插件。
在与BleepingComputer的沟通中zoccc也表示,安装了3个或以上的Chrome插件就已经可以让用户生成独一无二的插件指纹。如果把这些插件纪录与其他用户数据例如时区或者代理一起使用,就可以非常容易地分辨出用户,而Edge的插件也可以用同样的方法来检测出来。
笔者也点开了这个网页,里面显示只有0.004%用户是与我有同样的插件。当然,随着访问这个页面的人数增加,那这个比例也会有所升高,不过即便是0.01%也算是可以很准确的辨认出不同用户。因此,笔者建议大家还是尽量少安装插件,只安装对于自己真正有用的插件就好,或者干脆换用Firefox,因为Firefox插件在每个浏览实例上的ID都不一样。
相关文章
- 【技术种草】cdn+轻量服务器+hugo=让博客“云原生”一下
- CLB运维&运营最佳实践 ---访问日志大洞察
- vnc方式登陆服务器
- 轻松学排序算法:眼睛直观感受几种常用排序算法
- 十二个经典的大数据项目
- 为什么使用 CDN 内容分发网络?
- 大数据——大数据默认端口号列表
- Weld 1.1.5.Final,JSR-299 的框架
- JavaFX 2012:彻底开源
- 提升as3程序性能的十大要点
- 通过凸面几何学进行独立于边际的在线多类学习
- 利用行动影响的规律性和部分已知的模型进行离线强化学习
- ModelLight:基于模型的交通信号控制的元强化学习
- 浅谈Visual Source Safe项目分支
- 基于先验知识的递归卡尔曼滤波的代理人联合状态和输入估计
- 结合网络结构和非线性恢复来提高声誉评估的性能
- 最佳实践丨云开发CloudBase多环境管理实践
- TimeVAE:用于生成多变量时间序列的变异自动编码器
- 具有线性阈值激活的神经网络:结构和算法
- 内网渗透之横向移动 -- 从域外向域内进行密码喷洒攻击