1. Firefox Resource Reader 在指纹识别中是什么?
pre-Quantum Firefox(版本 <57) 中的 resource:// URI 方案 允许访问内部浏览器文件,包括脚本、配置和本地化数据,即使是从普通网页通过 <script> 标签。
尽管 Firefox 从未有意将这些文件暴露给指纹识别,但隔离不佳使得恶意脚本能够获取内部资产生成,如:
- 区域设置和版本文件 (
firefox-l10n.js,greprefs.js) - 构建元数据 (branding, build type, Tor detection flags)
- 默认首选项 (sync settings, PDF.js configuration)
这个旧的 Firefox 特性允许网站提取唯一的浏览器细节,如果与其他指纹识别技术结合,可能危害用户隐私。
2. 平台历史上如何检测 Firefox 资源指纹
在 Firefox Quantum (2017) 之前,脚本可以利用 resource:// 方案来识别:
- 平台和区域设置检测
- 访问如
firefox-l10n.js等文件可以揭示系统的默认语言 (en-US,fr-FR等)。 - 非标准区域设置格式 (例如
es-AR与es-ES) 可以暗示自定义 Firefox 构建。
- Firefox 构建和版本指纹识别
- 如
firefox-branding.js或greprefs.js等文件暴露浏览器是否为:- 官方构建 (standard release)
- ESR (扩展支持发布)
- Beta/Nightly 版本
- Tor Browser (通过缺少更新)
- 默认配置泄漏
- 脚本可以提取首选项文件的哈希 (
services-sync.js,webide-prefs.js),检测异常修改或自定义 Firefox 分支。 - 缺失文件 (例如
000-tor-browser.js) 可以检查以推断 Tor Browser 使用。
此技术在 Firefox Quantum (v57+) 之后因更严格的资源隔离而变得过时。
3. FlashID 如何处理旧版 Firefox 资源指纹识别
由于现代 FlashID 环境主要使用最新浏览器,旧版 Firefox 漏洞 默认不适用。
您可能还喜欢
