Расширения Google Chrome позволяют снять цифровой отпечаток браузера

Екатерина Быстрова 20 Июня 2022 - 08:53

...

Расширения Google Chrome позволяют снять цифровой отпечаток браузера

Исследователь в качестве эксперимента создал веб-сайт, использующий установленные у посетителей расширения браузера Google Chrome для снятия его цифрового отпечатка и последующей идентификации и отслеживания этого пользователя.

Цифровой отпечаток, как правило, подразумевает использование различных характеристик устройства пользователя, которые помогают веб-сервисам «узнавать» посетителя. Среди таких характеристик могут быть инсталлированные приложения, мощность GPU, разрешение экрана, аппаратная начинка и даже установленные шрифты.

На выходных веб-разработчик, известный под онлайн-псевдонимом “z0ccc“, поделился своим методом снятия цифрового отпечатка — “Extension Fingerprints“. Суть заключается в том, что создать трекинг-хеш можно с помощью установленных аддонов Google Chrome.

Известно, что при создании Chrome-расширения можно отметить определённые активы в качестве “доступных из Сети ресурсов“, к которым могут получить доступ веб-страницы и другие аддоны.

Как правило, такие ресурсы представляют собой файлы изображений, у которых указано свойство “web_accessible_resources“. Например, это может выглядеть так:

"web_accessible_resources": [
     {
       "resources": [ "logo.png" ],
       "matches": [ "https://anti-malware.ru/*" ]
     }
 ],

Всё это можно использовать для проверки установленных в системе пользователя расширений Google Chrome. Выделив инсталлированные аддоны, условный злоумышленник может создать цифровой отпечаток браузера посетителя.

«Фетчинг определённых защищённых расширений занимает дольше времени, чем неустановленных аддонов. Замеряя временные промежутки, вы можете вычислить, какие расширения пользователь установил», — объясняет “z0ccc“ на GitHub-странице своего проекта.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 03 Октября 2025 - 11:04

Уязвимости сайтов Домашние пользователи

В Yoast SEO Premium для WordPress нашли XSS-уязвимость

В популярном плагине Yoast SEO Premium для WordPress обнаружена новая уязвимость — CVE-2025-11241. Проблема затрагивает версии 25.7-25.9 и получила 6,4 балла по шкале CVSS (средняя степень риска).

Баг связан с некорректным регулярным выражением, используемым для очистки атрибутов в контенте постов.

Из-за ошибки авторы с правами уровня Contributor и выше могли внедрять в записи произвольные HTML-атрибуты, включая обработчики JavaScript-событий. В результате в браузере администратора или посетителей запускался вредоносный скрипт.

Хотя эксплуатация требует наличия учётной записи с доступом к публикации материалов, для сайтов с несколькими авторами риск вполне реальный. Через такие XSS-вставки злоумышленники могут воровать cookies, повышать свои привилегии или запускать другие атаки.

Команда разработчиков Yoast отреагировала оперативно: уязвимость закрыли в версии 26.0. В changelog отдельно указано, что дефект позволял пользователям с правами edit_posts (Contributor+) запускать XSS при включённой ИИ-функции плагина.

Помимо патча, обновление исправило проблемы с удалением редиректов, баги в подсказках для RTL-языков и поведение фильтров и поиска на странице редиректов. Минимальная версия плагина теперь — 26.0, чтобы пользователи как можно быстрее перешли на исправленный релиз.

Расширения Google Chrome позволяют снять цифровой отпечаток браузера

Читайте также