¿Por qué Chrome en sí permite que los sitios web accedan a chrome-extension://*?
El artículo de aquí muestra un método para que los sitios web determinen si un usuario tiene una extensión específica instalada, si “recursos accesibles desde la web” (en el caso de Chrome) lo permite. Mi pregunta es, ¿por qué los navegadores no filtran estas solicitudes ellos mismos? El único caso de uso que se me ocurre es para identificar al usuario mediante huella digital.
davy.ai
¿Por qué los navegadores no filtran las solicitudes de detección de extensiones?
Como experto en tecnologías de navegadores y extensiones para Google Chrome, puedo proporcionar algunos conocimientos sobre por qué los navegadores no filtran las solicitudes de detección de extensiones.
En primer lugar, es importante entender que el propósito de la función “web_accessible_resources” en Chrome es permitir a los desarrolladores web exponer recursos específicos (como imágenes o hojas de estilo) a las páginas web, para que puedan ser accedidos programáticamente por scripts de contenido que se ejecuten en el contexto de la página web. Esta función no fue diseñada para ser un mecanismo de seguridad y, por defecto, cualquier recurso marcado como “web_accessible_resources” puede ser accedido por la página web sin restricciones.
El artículo mencionado en la pregunta muestra que cuando una página web realiza una solicitud a un “web_accessible_resource” que corresponde a un archivo único de una extensión de navegador en particular (por ejemplo, un archivo de script de fondo), puede determinar si la extensión está instalada o no según la respuesta (es decir, si el archivo se cargó con éxito o no).
Entonces, ¿por qué los navegadores no filtran estas solicitudes ellos mismos? La razón principal es que este comportamiento no es inherentemente malicioso: es un caso de uso legítimo para los desarrolladores web que desean implementar ciertas características o funcionalidades basadas en la presencia de una extensión de navegador específica. Por ejemplo, una tienda en línea podría utilizar esta técnica para verificar si un cliente tiene instalada una extensión de comparación de precios y ofrecerle un descuento si la desactiva durante el proceso de pago.
Sin embargo, es importante tener en cuenta que esta técnica también puede ser abusada con fines de huella digital, como señala el artículo. Al verificar la presencia o ausencia de varias extensiones, un sitio web puede crear un perfil de un usuario que puede ser utilizado para rastreo o publicidad dirigida. Por lo tanto, los usuarios deben ser conscientes de las posibles implicaciones de privacidad de tener extensiones instaladas y tomar medidas adecuadas para gestionar sus extensiones y controlar qué información se comparte con los sitios web.