Потенциально уязвимые плагины

Не стоит путать плагины и аддоны. Аддоны (англ. Add-on) — это тип браузерного расширения, который вы обычно загружаете из Chrome Store или Firefox add-ons. Аддоны запускаются вместе с процессом браузера. Примерами популярных браузерных аддонов являются AdBlock и Ghostery.

В отличие от аддонов, плагины обычно предустановлены вместе с браузером или же загружены со сторонних веб-сайтов. Примеры плагинов — Adobe Flash и Widevine. Плагины обычно запускаются как отдельные процессы, которые получают все права текущего пользователя устройства, что приводит к различным уязвимостям.

В чем опасность оставлять плагины включенными

Некоторые плагины (такие как Flash и Widevine) имеют задокументированные API, которые позволяют получать различные данные для уникализации устройства. Другие плагины могут иметь открытые или приватные API, которые могут представлять опасность для онлайн-конфиденциальности. Поскольку плагины по существу являются закрытыми бинарными файлами, нет возможности оценить, какие дыры в безопасности имеет конкретный плагин.

Снятие отпечатков через список плагинов

Другая опасность, исходящая от браузерных плагинов, — уникальная идентификация через список установленных плагинов. Даже если у веб-сайта нет возможности использовать API плагинов для получения уникальных данных пользователя, веб-сайт по-прежнему может собирать такого рода данные из списка установленных плагинов. Этот список также может содержать версии установленных плагинов и существенно сузить сегмент пользователей. Несколько браузерных сессий могут быть сопоставлены на основании этих данных в сочетании с другими отпечатками.

Предустановленные плагины в Firefox и Chrome

По умолчанию, Firefox не имеет установленных плагинов. 

Chrome включает в себя четыре плагина:

• Chrome PDF плагин
• Chrome PDF Viewer
• Native client
• Widevine Content Decryption Module

Как Indigo работает с плагинами

В разделе «Расширенные настройки» → «Браузерные плагины» вы найдёте две опции:

• Включить потенциально уязвимые плагины
• Включить Flash-плагин

Обе опции по умолчанию отключены. В отключенном состоянии:

• В Stealthfox плагины отключены.
• В Mimic предустановленные плагины включены, но веб-сайты не имеют к ним доступа.

В Indigo Flash и другие Chrome плагины отключены по двум причинам. Во-первых, есть вероятность, что Flash плагин — самый опасный из всех, так как он был использован самым первым для уникальной идентификации пользователей. Во-вторых, Flash в некоторых случаях является самым необходимым плагином.

Мы рекомендуем всегда отключать обе опции. Если вы решили включить любой из двух по уважительной причине, имейте в виду, что вы подвергаете себя потенциальному риску раскрытия уникально идентифицируемых данных на веб-сайтах.

Можем ли мы изменить данные, которые показывает плагин Flash?

Несмотря на то, что это теоретически возможно, в реальности подмен не имеет смысла. Для этого потребуется разбирать каждую версию Flash плагина и подменять бинарный код, что сам по себе сложный и трудоёмкий процесс, к тому же сборка модифицированных Flash плагинов будет нелегальной.

В подмене данных нет необходимости, так как разработчики современных браузеров понимают, какая угроза исходит от Flash. На данный момент в популярных браузерах Flash по умолчанию отключён. Именно поэтому отключая Flash вы "слиться с пользователями в сети", тогда как при включённом Flash вы явно выделяетесь из общего дистрибутива.