最近有人發(fā)現(xiàn)，Chrome以及Edge用戶安裝的擴(kuò)展插件可以用于生成獨(dú)特的“指紋”，配合其他數(shù)據(jù)諸如GPU性能表現(xiàn)、已安網(wǎng)的Windows應(yīng)用、屏幕分辨率、硬件配置甚至已安裝的字體等，可以用于準(zhǔn)確追蹤用戶在在線瀏覽的痕跡。

一位網(wǎng)名為“zoccc”的網(wǎng)頁(yè)開(kāi)發(fā)者制作了一個(gè)名為“Extension Fingerprints”的網(wǎng)頁(yè)，這個(gè)網(wǎng)頁(yè)就是基于追蹤用戶安裝的插件設(shè)計(jì)而成。里面包括了1000多種常見(jiàn)及熱門的Chrome插件，用戶只需要點(diǎn)擊進(jìn)去，網(wǎng)頁(yè)就可以自動(dòng)推算出用戶安裝了哪些插件，并且同時(shí)算出有多少訪問(wèn)過(guò)這網(wǎng)頁(yè)的用戶是安裝了同樣的插件。

這里要先說(shuō)明一下網(wǎng)頁(yè)一般是怎樣得知用戶裝了哪些Chrome擴(kuò)展插件。當(dāng)開(kāi)發(fā)者開(kāi)發(fā)出一款Chrome擴(kuò)展插件時(shí)，他們可以申明哪些資產(chǎn)是屬于“web accessible resources”，而這些申明了的資產(chǎn)是可以被其他網(wǎng)頁(yè)或者插件訪問(wèn)。早在2019年就有人發(fā)現(xiàn)，可以利用這些“web accessible resources”來(lái)檢查用戶安裝了哪些Chrome插件，并且以此來(lái)生成用戶的指紋。zoccc表示，有的插件為了防止被偵測(cè)出來(lái)，會(huì)秘密加入一個(gè)憑證，其他插件或網(wǎng)頁(yè)想要訪問(wèn)這些“web accessible resources”就需要先有這個(gè)憑證。不過(guò)研究人員之后就發(fā)現(xiàn)，加入了秘密憑證的插件，比起沒(méi)有加入的插件，訪問(wèn)“web accessible resources”的時(shí)間要更長(zhǎng)。因此只需要對(duì)比一下兩者的時(shí)間差異，就可以得知用戶有沒(méi)有安裝這些插件。

在與BleepingComputer的溝通中zoccc也表示，安裝了3個(gè)或以上的Chrome插件就已經(jīng)可以讓用戶生成獨(dú)一無(wú)二的插件指紋。如果把這些插件紀(jì)錄與其他用戶數(shù)據(jù)例如時(shí)區(qū)或者代理一起使用，就可以非常容易地分辨出用戶，而Edge的插件也可以用同樣的方法來(lái)檢測(cè)出來(lái)。

筆者也點(diǎn)開(kāi)了這個(gè)網(wǎng)頁(yè)，里面顯示只有0.004%用戶是與我有同樣的插件。當(dāng)然，隨著訪問(wèn)這個(gè)頁(yè)面的人數(shù)增加，那這個(gè)比例也會(huì)有所升高，不過(guò)即便是0.01%也算是可以很準(zhǔn)確的辨認(rèn)出不同用戶。因此，筆者建議大家還是盡量少安裝插件，只安裝對(duì)于自己真正有用的插件就好，或者干脆換用Firefox，因?yàn)镕irefox插件在每個(gè)瀏覽實(shí)例上的ID都不一樣。