Clicky

插件

Updated 1/7/19 by Alesja Tsernoseva

插件和浏览器附加组件不可混为一谈。附加组件是一种浏览器扩展程序,您通常可以从Chrome商店这样的地方下载。附加组件是在浏览器进程中运行的。浏览器附加组件的例子有AdBlock和Chostery。

相较之下,插件通常预装在浏览器中,或从第三方网站被下载。插件的例子有Flash和Widevine。插件通常在一个单独的进程中运行,它该进程拥有当前活跃用户的所有权利,从而可能导致各种漏洞。

开启插件的风险

一些如Flash或Widevine这样的插件有一个记录在案的API,允许它从母机获取各种惟一可识别的数据点。 其他的插件也可能有这样一个API,无论是公共还是私有的,都可能会给在线隐私带来威胁。由于插件本质上是闭源的二进制文件,所以没有可靠的方法来评估某个插件可能拥有哪些安全漏洞。

通过枚举法生成指纹

另一风险来自于浏览器插件枚举。即使网站不能或不愿通过插件API获取唯一可识别的数据,它仍然可以以插件列表的形式收集唯一可识别数据。一个包含每个版本的插件列表可以显著缩小用户所属的段。多个浏览会话可以基于这些数据单独链接在一起,或者与其他数据点相结合。

Firefox和Chrome中的默认插件

默认情况下,Firefox没有安装插件。 Chrome则有四个捆绑插件:

  • Chrome PDF
  • Chrome PDF viewer 
  • Native client (本机客户端)
  • Widevine Content Decryption Module (Widevine内容解密模块)

Multilogin中的插件的选项

“新建浏览器配置文件”视图中的“插件”页面上有两个选项:

  • Enable potentially vulnerable plugins 开启易受攻击的插件
  • Enable Flash plugin 开启Flash插件

这两个选项都是默认禁用的。这意味着,在Stealthfox浏览器配置文件中不启用任何插件,但是在Mimic浏览器中,启用四个默认Chrome插件,但实际上网站并无法访问它们。


软件有分别开启Flash插件和其他所有Chrome默认插件的开关。这么设计的原因有二。第一,Flash插件比其他插件更危险,因为它是第一个被网站用于用户指纹识别的插件。其次,在某些情况下,Flash也是四个中最需要的插件。

我们建议在任何时候都禁用这两个选项。如果您出于某种原因选择开启其中一个,请记住,您正暴露在向网站显示独特的可识别数据的潜在风险中。

我们可以替换Flash插件获取的数据吗?

虽然这在理论上是可行的,但它在现实生活中却毫无意义。理论上讲,这需要对每个版本的Flash插件进行拆解,并在其中注入自己的二进制代码,这是一项永无止境任务。在现实生活中,用这种方式修改Flash插件是不合法的。 

这也是不必要的,因为所有现代浏览器的开发人员已经意识到Flash插件带来的威胁。在所有流行的浏览器中,它都是默认禁用的。禁用它会让你融入大众之中,主动开启它则会让你脱颖而出。


How did we do?