1. Firefox Resource Reader ในการระบุตัวตนด้วยลายนิ้วมือคืออะไร?
สคีม่า resource:// URI ใน Firefox ก่อน Quantum (เวอร์ชัน <57) อนุญาตให้เข้าถึงไฟล์ภายในเบราว์เซอร์ รวมถึงสคริปต์ การตั้งค่า และข้อมูลการแปลภาษา แม้จากหน้าเว็บธรรมดาผ่านแท็ก <script>
แม้ว่า Firefox จะไม่เคยเปิดเผยไฟล์เหล่านี้ให้กับการระบุตัวตนด้วยลายนิ้วมือโดยเจตนา แต่การแยกส่วนที่ไม่ดีทำให้สคริปต์ที่เป็นอันตรายสามารถดึงทรัพยากรภายในได้ เช่น:
- ไฟล์ภาษาท้องถิ่นและเวอร์ชัน (
firefox-l10n.js,greprefs.js) - ข้อมูลเมตาของการสร้าง (แบรนด์ ประเภทการสร้าง ธงการตรวจจับ Tor)
- การตั้งค่าเริ่มต้น (การตั้งค่าการซิงค์ การกำหนดค่า PDF.js)
ความแปลกประหลาดของ Firefox เก่าช่วยให้เว็บไซต์สามารถดึงรายละเอียดเบราว์เซอร์ที่ไม่ซ้ำกัน ซึ่งอาจทำให้ความเป็นส่วนตัวของผู้ใช้ถูกละเมิดหากรวมกับเทคนิคการระบุตัวตนด้วยลายนิ้วมืออื่นๆ
2. แพลตฟอร์มตรวจจับลายนิ้วมือของทรัพยากร Firefox อย่างไรในอดีต
ก่อน Firefox Quantum (2017) สคริปต์สามารถใช้ประโยชน์จากสคีม่า resource:// เพื่อระบุ:
- การตรวจจับแพลตฟอร์มและภาษาท้องถิ่น
- การเข้าถึงไฟล์เช่น
firefox-l10n.jsสามารถเปิดเผยภาษาที่ตั้งค่าเริ่มต้นของระบบ (en-US,fr-FR, ฯลฯ) - รูปแบบภาษาท้องถิ่นที่ไม่เป็นมาตรฐาน (เช่น
es-ARเทียบกับes-ES) อาจบ่งบอกถึงการสร้าง Firefox ที่กำหนดเอง
- การระบุตัวตนของการสร้างและเวอร์ชัน Firefox
- ไฟล์เช่น
firefox-branding.jsหรือgreprefs.jsเปิดเผยว่าเบราว์เซอร์เป็น:- การสร้างอย่างเป็นทางการ (การปล่อยมาตรฐาน)
- ESR (Extended Support Release)
- เวอร์ชัน Beta/Nightly
- Tor Browser (ผ่านการขาดการอัปเดต)
- การรั่วไหลของการกำหนดค่าเริ่มต้น
- สคริปต์สามารถดึงแฮชของไฟล์การตั้งค่า (
services-sync.js,webide-prefs.js) เพื่อตรวจจับการเปลี่ยนแปลงที่ไม่ปกติหรือการสร้าง Firefox ที่กำหนดเอง - ไฟล์ที่ขาดหายไป (เช่น
000-tor-browser.js) สามารถตรวจสอบเพื่ออนุมานการใช้งาน Tor Browser
เทคนิคนี้กลายเป็นสิ่งที่ล้าสมัยหลังจาก Firefox Quantum (v57+) เนื่องจากการแยกทรัพยากรที่เข้มงวดขึ้น
3. FlashID จัดการการระบุตัวตนด้วยลายนิ้วมือของทรัพยากร Firefox เก่าอย่างไร
ตั้งแต่สภาพแวดล้อม FlashID สมัยใหม่ใช้เบราว์เซอร์ที่ทันสมัยเป็นหลัก ช่องโหว่ของ Firefox เก่าจึง ไม่สามารถใช้ได้ตามค่าเริ่มต้น
คุณอาจชอบ
